Sécurité mobile : MDM et BYOD
Définition
La sécurité mobile englobe les politiques, outils et technologies protégeant les appareils mobiles et les données d'entreprise qu'ils contiennent. Le MDM (Mobile Device Management) permet de gérer à distance une flotte d'appareils. Le BYOD (Bring Your Own Device) encadre l'utilisation des appareils personnels à des fins professionnelles.
| Modèle |
Propriétaire |
Gestion IT |
Flexibilité utilisateur |
| BYOD |
Employé |
Partielle (profil MDM) |
Élevée |
| COPE (Corporate-Owned, Personally Enabled) |
Entreprise |
Complète |
Moyenne |
| COBO (Corporate-Owned, Business Only) |
Entreprise |
Complète |
Faible |
| CYOD (Choose Your Own Device) |
Entreprise |
Complète |
Moyenne (choix limité) |
Contexte
CompTIA A+ teste la compréhension du MDM, des politiques BYOD, des méthodes d'authentification mobile et des mesures de protection des données. Le technicien doit savoir configurer un profil MDM, appliquer des politiques de sécurité et effectuer un effacement à distance.
Détails techniques
Fonctionnalités MDM
| Fonctionnalité |
Description |
| Remote wipe |
Effacement complet de l'appareil à distance |
| Remote lock |
Verrouillage immédiat à distance |
| Geolocation / Geofencing |
Suivre la position, restreindre par zone |
| Policy enforcement |
Forcer PIN, chiffrement, complexité mot de passe |
| App management |
Installer/supprimer des apps, app store privé |
| Content management |
Contrôler l'accès aux documents d'entreprise |
| Profile provisioning |
Configurer Wi-Fi, VPN, email automatiquement |
| Compliance reporting |
Vérifier que l'appareil respecte les politiques |
Architecture MDM
┌─────────────┐ Push notification ┌──────────────┐
│ Console MDM │ ──────────────────────→ │ Appareil │
│ (serveur IT) │ │ mobile │
│ │ ← Statut, conformité ── │ (agent MDM) │
└──────┬───────┘ └──────┬────────┘
│ │
├── Politiques de sécurité ├── Profil Wi-Fi/VPN
├── Déploiement d'apps ├── Profil email
└── Rapports de conformité └── Chiffrement activé
Méthodes de verrouillage d'écran
| Méthode |
Sécurité |
Commodité |
| Glissement (swipe) |
Aucune |
Maximale |
| PIN (4-6 chiffres) |
Faible-moyenne |
Bonne |
| Mot de passe alphanumérique |
Élevée |
Moyenne |
| Schéma (pattern) |
Faible (traces visibles) |
Bonne |
| Empreinte digitale |
Élevée |
Excellente |
| Reconnaissance faciale (3D) |
Très élevée (Face ID) |
Excellente |
Protection des données
| Mesure |
Description |
| Chiffrement complet |
Android : chiffrement basé fichier (FBE) ; iOS : toujours activé |
| Conteneur d'entreprise |
Sépare données pro/perso (Android Work Profile) |
| Certificats d'entreprise |
Authentification VPN/Wi-Fi par certificat |
| DLP (Data Loss Prevention) |
Empêche le copier-coller entre apps pro et perso |
| Mise à jour forcée |
L'IT exige une version OS minimum |
Menaces spécifiques aux mobiles
| Menace |
Description |
Mitigation |
| Jailbreak / Root |
Contourne les restrictions de sécurité OS |
Détection MDM, blocage |
| Sideloading |
Installation d'APK hors store officiel |
Interdire les sources inconnues |
| SMS phishing (smishing) |
Lien malveillant par SMS |
Formation utilisateur |
| Wi-Fi malveillant (evil twin) |
Faux hotspot imitant un réseau légitime |
VPN obligatoire |
| Vol / perte |
Accès physique aux données |
Remote wipe, chiffrement |
Solutions MDM courantes
| Solution |
Éditeur |
Plateformes |
| Microsoft Intune |
Microsoft |
iOS, Android, Windows |
| Jamf |
Jamf |
macOS, iOS |
| VMware Workspace ONE |
Broadcom |
Multi-plateforme |
| Google Endpoint Management |
Google |
Android, Chrome OS |
Exemple concret
Une entreprise adopte une politique BYOD. Le service IT déploie Microsoft Intune. Chaque employé installe l'application Portail d'entreprise sur son smartphone personnel, s'authentifie avec son compte Microsoft 365 et accepte le profil MDM. Intune applique automatiquement : PIN à 6 chiffres minimum, chiffrement obligatoire, VPN d'entreprise, et la possibilité d'effacement du profil professionnel (sans toucher aux données personnelles) en cas de départ.
