Sécurisation de l’entreprise et des technologies mobiles (ITSM.80.001)

Introduction

Les appareils mobiles, comme les téléphones intelligents, les tablettes et les ordinateurs portables sont des composantes clés de votre organisation. Ils comportent de puissantes capacités de traitement et offrent la capacité de communiquer sans fil. Bien que les appareils mobiles favorisent la collaboration et renforcent la productivité, ils peuvent aussi accroître le risque de compromission de l’information sensible de votre organisation. Cette dernière devrait d’ailleurs mettre en œuvre des mesures de sécurité et des mécanismes de protection avant que les appareils mobiles puissent être autorisés à accéder au réseau de l’organisation.

Cette publication offre des directives pour aider votre organisation à mieux comprendre les menaces de sécurité et les risques associés aux appareils mobiles. Elle présente également des stratégies d’atténuation et des solutions de gestion des appareils mobiles que vous pouvez appliquer pour réduire les répercussions que pourrait subir votre organisation.

2 Catalyseurs opérationnels de la mobilité d’entreprise

Les appareils mobiles sont devenus une composante essentielle de la plupart des activités des organisations. Ils offrent aux employées et employés de la flexibilité, aident à améliorer la productivité et permettent une collaboration plus rapide pour la prise de décisions. Les employées et employés doivent avoir accès aux plus récentes technologies pour effectuer leurs tâches et les aider à atteindre leurs objectifs. Les organisations utilisent des appareils mobiles pour les raisons suivantes :

• Facilité d’utilisation : Les appareils mobiles sont dotés d’interfaces conviviales pouvant être personnalisées pour répondre aux besoins du personnel et de l’organisation.
• Connectivité partout, tout le temps : Le personnel peut avoir accès à distance aux données opérationnelles, aux services d’entreprise et aux applications. Ceci est particulièrement important pour le personnel qui voyage fréquemment, travaille à différents endroits et doit effectuer des patrouilles ou suivre des itinéraires de livraison.
• Personnalisation : Les organisations peuvent personnaliser les paramètres des appareils pour améliorer la commodité et la flexibilité pour les employées et employés.
• Infonuagique : Beaucoup d’organisations se servent d’infrastructures au niveau du nuage pour la prestation de services.
• Coût : Utiliser des appareils mobiles et des fournisseurs de services peut permettre de diminuer les coûts du programme et de réduire les enjeux d’obsolescence technique.

3 Aperçu de la mobilité d’entreprise

La mobilité d’entreprise permet aux appareils mobiles comme les téléphones intelligents, les tablettes et les ordinateurs portables d’avoir accès aux réseaux et aux services de votre organisation par le biais de réseaux cellulaires commerciaux et du Wi-Fi. Les segments de base de l’architecture de mobilité d’entreprise se composent d’appareils mobiles, de réseaux de communications sans fil, d’une infrastructure d’entreprise, et de services ainsi que d’applications. Si votre organisation décide d’inclure des appareils mobiles dans le cadre de son architecture d’entreprise, assurez-vous de bien comprendre les risques connexes.

3.1 Appareils mobiles

Les appareils mobiles sont disponibles à grande échelle, ils sont rentables et intègrent des fonctionnalités et des technologies actualisées pour les communications et le fonctionnement des applications. Les fonctionnalités des appareils mobiles changent constamment et permettent aux utilisatrices et utilisateurs d’effectuer ce qui suit :

• se connecter à des réseaux sans fil pour les communications voix et données,
• stocker de l’information,
• accéder aux systèmes de positionnement mondial (GPS),
• utiliser des caméras vidéo numériques.

3.2 Réseaux de communications sans fil

Il existe trois principaux types de réseaux de communications sans fil :

• réseaux cellulaires, qui sont gérés par des fournisseurs commerciaux qui fournissent une couverture en segmentant une vaste zone de service géographique en zones plus petites;
• réseaux Wi-Fi, que peuvent établir les entreprises ou les clients pour fournir un service de réseaux dans une région géographique limitée, comme une résidence, un bureau ou un lieu de travail;
• autres réseaux sans fil, dont certains peuvent ne pas être conformes à la norme en matière de Wi-Fi; par exemple, le Bluetooth est souvent utilisé pour une connexion à des appareils à proximité, comme les casques d’écoute ou les claviers.

3.3 Infrastructure d’entreprise

L’infrastructure d’entreprise fournit le matériel, les logiciels, les ressources et les services de réseau nécessaires pour créer, faire fonctionner et gérer un environnement informatique d’entreprise. Cette infrastructure permet à votre organisation de livrer des solutions et des services informatiques au personnel, aux partenaires et aux clients. L’infrastructure d’entreprise de votre organisation peut également héberger des applications propres à la mobilité ou permettre à vos systèmes d’interagir avec d’autres appareils mobiles. La capacité de la mobilité d’entreprise aide à sécuriser et à gérer les interactions entre les services d’entreprise de votre organisation et les appareils, les utilisatrices et utilisateurs autorisés, assurant ainsi une expérience fluide et sécurisée.

3.4 Services et applications

Il s’agit des services existants et en évolution fournis à l’ensemble des utilisatrices et utilisateurs d’entreprise, y compris les utilisateurs mobiles. Cela peut comprendre des communications unifiées comme les données (par exemple, courriel et clavardage), la voix (par exemple, téléphone et téléconférence), et les applications ou interfaces Web.

4 Vulnérabilités liées à la sécurité des appareils mobiles

L’utilisation d’appareils mobiles, de réseaux sans fil, et de services voix et données expose les organisations à un éventail de menaces. Ces menaces comprennent des activités délibérées que posent des auteurs de menace ou des gestes non intentionnels commis par des utilisatrices et utilisateurs autorisés. Par exemple, des auteurs de menace peuvent se concentrer sur une entreprise spécifique dans le but de compromettre ses clients. Les organisations doivent également tenir compte des attaques par hameçonnage, des incidents liés à des rançongiciels, de l’accès non autorisé à des données et des vulnérabilités touchant les réseaux. Ces risques doivent être traités et suffisamment atténués pour atteindre des niveaux de risque acceptables. Enfin, la perte ou le vol d’appareils mobiles peut aussi entraîner des risques liés à la sécurité pour votre organisation, étant donné que les auteurs de menace peuvent compromettre l’appareil et accéder à vos systèmes et données.

Il existe diverses stratégies d’atténuation pour s’attaquer à ces menaces, et la plupart d’entre elles sont interconnectées. Plus particulièrement, l’infrastructure de mobilité d’entreprise et les capacités d’entreprise existantes peuvent offrir de solides fonctionnalités de sécurité pour protéger les appareils mobiles et les communications des employées et employés.

Les appareils mobiles sont, en règle générale, exposés à un risque plus élevé que les appareils qui sont utilisés uniquement dans les installations de l’organisation, sur les réseaux d’une organisation. Par conséquent, ils ont souvent besoin d’une protection supplémentaire. Vous devriez connaître les vulnérabilités de sécurité critiques suivantes lors de l’utilisation d’appareils mobiles :

• manque de contrôles de sécurité physique
• appareils mobiles non autorisés
• réseaux non autorisés
• applications non autorisées
• interactions avec d’autres systèmes
• contenu non approuvé
• services de localisation

4.1 Exploitation de ces vulnérabilités par les auteurs de menace

Certaines menaces visent à compromettre directement l’appareil mobile, alors que d’autres sont conçues, au bout du compte, pour infiltrer et compromettre l’entreprise. Certaines des principales menaces que les auteurs de menace exploitent sur les appareils mobiles comprennent :

• identifier, cibler et installer des maliciels dans l’appareil;
• utiliser les connexions réseau de l’appareil (cellulaire, Wi-Fi, Bluetooth) à des fins malveillantes, comme l’exploitation de failles pour compromettre l’appareil ou faire le suivi de son emplacement;
• utiliser l’appareil pour infiltrer d’autres réseaux organisationnels;
• accéder à l’appareil pour faire le suivi d’un emplacement à l’aide d’un GPS et d’autres services de localisation;
• activer le microphone ou la caméra pour accéder aux données;
• intercepter les communications voix et données pour exfiltrer les données sensibles;
• utiliser des logiciels tiers pour accéder aux fonctionnalités de l’appareil;
• modifier l’appareil, notamment en changeant son matériel ou ses logiciels à distance, en accédant physiquement à l’appareil ou en intervenant dans le processus de la chaîne d’approvisionnement;
• exploiter les failles dans les logiciels qui se trouvent dans les systèmes d’exploitation (SE) et les applications.

5 Menaces et risques ciblant l’entreprise

Les appareils mobiles sont devenus une composante essentielle des activités opérationnelles. Toutefois, cette dépendance accrue face aux technologies mobiles s’accompagne d’un large éventail de risques et de menaces que les organisations doivent aborder de façon proactive, ce qui comprend les atteintes à la protection des données, les accès non autorisés, et la menace persistante des attaques par maliciel et par hameçonnage. Les exemples suivants illustrent certains de ces défis.

5.1 Perte de justificatifs d’authentification

La perte de justificatifs d’authentification, comme des mots de passe, des jetons ou des clés privées pour les certificats, ouvre des possibilités d’accès non autorisé à des systèmes sensibles, à des applications et à des données. Un accès non autorisé peut entraîner une atteinte à la protection des données, la compromission de renseignements confidentiels, et une possible utilisation inappropriée des ressources organisationnelles. Le Centre pour la cybersécurité recommande la mise en œuvre de l’authentification multifacteur (AMF) résistante à l’hameçonnage et de former les utilisatrices et utilisateurs sur les principes en matière de pratiques exemplaires en cybersécurité, comme la gestion des mots de passe.

Pour en savoir plus, prière de consulter le document Conseils de sécurité sur les gestionnaires de mots de passe : (ITSAP.30.025).

5.2 Élimination inadéquate d’anciens appareils mobiles contenant des configurations et des données sensibles

L’accès à des configurations sensibles par des personnes non autorisées peut poser un risque important, y compris un risque possible d’accès non autorisé aux données et un risque de compromissions. Les données résiduelles sur des appareils qui ne sont pas nettoyés adéquatement posent une menace constante, même après que les appareils ont été correctement éliminés. Un manquement au règlement sur la protection des renseignements personnels peut entraîner des conséquences juridiques, des amendes et dommages à la réputation.

Pour obtenir de plus amples renseignements, prière de consulter les documents Nettoyage et élimination d’appareils électroniques (ITSP.40.006) et Nettoyage des supports de TI (ITSP.40.006).

5.3 Utilisation inappropriée d’applications de médias sociaux

Les auteurs de menace peuvent exploiter des vulnérabilités informatiques dans des applications de médias sociaux installées sur des appareils mobiles organisationnels. Si les applications comportent des vulnérabilités, le plus souvent à cause d’un code mal rédigé, les auteurs de menace peuvent tirer parti de celles-ci pour accéder au stockage de données organisationnelles. Les applications de médias sociaux procèdent à l’exploration de données pour comprendre et prédire le comportement humain, et si elles sont installées sur des appareils de l’organisation ou des réseaux, elles peuvent recueillir des données sur votre organisation, notamment des listes de contacts ou certaines facettes du réseau organisationnel. Il est recommandé de mettre en œuvre un contrôle organisationnel pour les autorisations attribuées aux applications et d’utiliser des restrictions relatives à la gestion des postes mobiles.

5.4 Exploitation d’appareils perdus ou volés

Les auteurs de menace peuvent exploiter les appareils perdus ou volés pour tenter d’accéder à l’infrastructure d’entreprise ou se faire passer pour des utilisatrices et utilisateurs autorisés. Le déguisement d’identité est une menace importante pouvant mener à l’exploitation des ressources de l’organisation, à des interruptions opérationnelles et à la compromission de renseignements commerciaux confidentiels.

5.5 Auteurs de menace faisant le suivi du comportement des employées et employés

Les auteurs de menace peuvent observer le comportement des employées et employés par le biais d’appareils compromis afin de porter atteinte à la vie privée et de recueillir des renseignements personnels, qui peuvent ensuite être utilisés pour tendre un piège ou faire du chantage. Ce type d’intrusion peut nuire à la vie personnelle et professionnelle de l’employée ou employé et peut entraîner des répercussions majeures en lien à la réputation de l’organisation et au climat de confiance en milieu de travail.

Pour obtenir plus de renseignements, prière de consulter les documents Piratage psychologique (ITSAP.00.166) et Empreinte numérique (ITSAP.00.133).

5.6 Utilisatrices et utilisateurs d’équipement autorisés tentant une utilisation inappropriée de leurs privilèges

Si le personnel ne respecte pas les stratégies de sécurité, cela pourrait entraîner une augmentation des vulnérabilités et du risque d’atteinte à la protection des données. Il pourrait également y avoir une compromission de l’intégrité des appareils, les rendre ainsi plus vulnérables aux menaces de sécurité. Des employées et employés peuvent abuser de leurs privilèges en tentant d’accéder à des applications ou à des services non autorisés, ou en se connectant directement à des plateformes commerciales qui sont interdites.

5.7 Magasins d’applications non approuvés

Le risque principal que posent les applications téléchargées à partir de magasins d’applications non approuvés est la possible compromission de la sécurité d’un appareil et des données utilisateur causée par un maliciel. Les applications peuvent être remaniées pour inclure des maliciels sans que l’utilisatrice ou utilisateur s’en rende compte. Cette personne pourrait être exposée à son insu à des activités nuisibles ou à une surveillance non autorisée. Une telle situation peut mener au vol d’identité, à des pertes financières et à d’importantes atteintes à la vie privée tant pour le personnel que pour l’organisation.

6 Stratégies d’atténuation

Dans le but de protéger l’information sensible et les réseaux, les organisations devraient mettre en œuvre une stratégie de défense en profondeur. Cela implique de déployer plusieurs couches de sécurité dans l’ensemble d’un système de TI pour assurer la redondance en cas de défaillance d’un contrôle de sécurité ou si une vulnérabilité est exploitée. Une stratégie de défense en profondeur comporte trois couches qui mettent l’accent sur trois éléments clés : les personnes, la technologie et les capacités opérationnelles.

Dans le cadre de la stratégie de défense en profondeur, la section suivante présente des conseils supplémentaires sur la gestion des appareils mobiles (MDM pour Mobile Device Management) et d’autres mesures d’atténuation que votre organisation peut prendre pour mieux se préparer à sécuriser les appareils mobiles.

6.1 Mettre en œuvre une stratégie de sécurité pour les appareils mobiles

Une stratégie de sécurité des appareils mobiles devrait définir quelles ressources peuvent être accessibles par le biais d’appareils mobiles, le niveau d’accès accordé aux appareils mobiles, et quels types d’appareils mobiles sont autorisés à accéder aux ressources de l’organisation (par exemple, les appareils fournis par l’organisation et les appareils personnels). La stratégie devrait également préciser les serveurs de gestion des appareils mobiles qui sont administrés, les stratégies relatives aux serveurs MDM mises à jour ainsi que toutes les autres exigences touchant les technologies MDM. La stratégie de sécurité des appareils mobiles devrait être consignée dans le plan de sécurité ministérielle.

6.2 Mettre en œuvre une stratégie et des ententes relatives à l’utilisation pour le déploiement Prenez vos appareils personnels (PAP)

La stratégie Prenez vos appareils personnels (PAP) devrait définir clairement les pouvoirs accordés à votre organisation en vertu des lois, de la réglementation et des ententes avec les utilisatrices et utilisateurs pour gérer, surveiller et réagir aux menaces provenant d’appareils mobiles personnels. Les principaux facteurs à considérer devraient inclure :

• prendre en compte l’incidence de la surveillance des capacités sur les risques d’atteinte à la vie privée;
• décrire les stratégies d’intervention en fonction de modèles de déploiement;
• définir les pouvoirs de l’organisation dans le triage et la réponse aux incidents de sécurité touchant des appareils personnels.

L’objectif est d’établir un cadre opérationnel robuste pour atténuer efficacement les risques liés à la sécurité dans les environnements PAP. Votre organisation devrait envisager des mesures d’atténuation comme la séparation des réseaux Wi-Fi invités et PAP de votre réseau Wi-Fi d’entreprise. Pour savoir si la mise en œuvre d’un modèle de déploiement PAP convient à votre organisation, prière de consulter la publication Sécurité des appareils des utilisateurs finaux pour les modèles de déploiement Prenez vos appareils personnels (PAP) (ITSM.70.003).

6.3 Établir et mettre en œuvre des programmes de formation et de sensibilisation du personnel

La sécurité de l’information incombe à toutes les personnes de l’organisation. Votre organisation devrait clairement définir, communiquer et renforcer les responsabilités des employées et employés avec des programmes de formation et de sensibilisation. Le fait d’ouvrir une seule pièce jointe d’un courriel malveillant ou d’accéder à un seul site Web malveillant risquerait de compromettre l’ensemble du réseau. La diligence du personnel est un facteur important pour la continuité des activités face aux cybermenaces actuelles. Il est essentiel que la haute direction soutienne activement et fasse progresser les initiatives de sensibilisation, en les intégrant au cadre stratégique de l’organisation.

6.4 Effectuer des évaluations des menaces et des risques pour l’utilisation d’appareils mobiles

Les appareils mobiles ont souvent besoin d’une protection complémentaire, car leur caractère mobile les expose à plus de menaces que d’autres appareils. Avant de concevoir et de déployer des solutions de gestion des appareils mobiles, les organisations devraient procéder à des évaluations des menaces et des risques (EMR). Les EMR aident les organisations à déterminer les exigences de sécurité et à élaborer des solutions de gestion des appareils mobiles qui comportent des contrôles de sécurité adéquats.

Dans le cadre d’une EMR, l’organisation doit être en mesure de faire ce qui suit :

• identifier les ressources d’intérêt, les vulnérabilités et les contrôles de sécurité liés à ces ressources;
• quantifier les menaces les plus probables, la probabilité qu’elles aboutissent à une attaque réussie et les répercussions en découlant;
• analyser cette information pour identifier où les contrôles de sécurité devraient être améliorés ou ajoutés.

Des facteurs tels que les voyages internationaux peuvent avoir une incidence sur l’évaluation des menaces et des risques. Les organisations doivent tenir compte des risques associés à l’utilisation d’appareils mobiles à l’étranger. Des évaluations des risques liés aux déplacements ou aux ententes de télétravail à l’étranger sont abordées dans la publication du Centre pour la cybersécurité Sécurité des appareils lors des déplacements et du télétravail à l’étranger (ITSAP.00.188). De plus, la publication Conseils sur les appareils mobiles à l’intention des voyageuses et voyageurs connus du public (ITSAP.00.088) décrit les menaces et les mesures de sécurité courantes associées à la protection des appareils mobiles avant, pendant et après un voyage.

6.5 Mettre en œuvre les mesures de sécurité nécessaires

Les organisations devraient évaluer les avantages de chaque mesure de sécurité, déterminer les contrôles qui sont nécessaires, et mettre en œuvre les solutions qui offrent une posture de sécurité adéquate. Les organisations devraient entre autres tenir compte des mesures de sécurité suivantes :

• Appliquer des stratégies de sécurité du ministère sur des appareils mobiles, comme restreindre l’accès au matériel et aux logiciels, gérer les interfaces réseau sans fil, et surveiller, détecter et signaler automatiquement les violations liées à la stratégie.
• Prendre en charge des communications de données fortement chiffrées et le stockage de données.
• Nettoyer de manière sécuritaire un appareil avant de le réattribuer et nettoyer à distance un appareil s’il a été perdu ou volé.
• Exiger l’authentification des appareils avant d’autoriser un appareil mobile à accéder à des ressources ministérielles.
• Restreindre les applications tierces pouvant être installées sur des appareils mobiles.
• Déterminer les autorisations attribuées à chaque application et vérifier les signatures numériques sur les applications.
• Détecter et documenter des anomalies au sein de l’infrastructure des appareils mobiles, notamment les changements de configuration non autorisés apportés aux appareils mobiles.

Lorsqu’une application a recueilli des données, ces dernières ne sont plus sous le contrôle de l’organisation. Les utilisatrices et utilisateurs ne devraient pas se fier à des affirmations « d’anonymisation » de données formulées par des développeuses et développeurs d’applications. S’appuyer uniquement sur le contrôle des magasins d’applications ne suffit pas à garantir qu’une application ne compromettra pas les données. Les magasins d’applications effectuent principalement une analyse visant à détecter des maliciels évidents et ils peuvent autoriser la collecte de données en arrière-plan à des fins publicitaires ou analytiques.

6.6 Avant de déployer une solution de gestion des appareils mobiles

Avant de mettre en place une solution de gestion des appareils mobiles, les organisations devraient évaluer les aspects suivants de sécurité liés à l’environnement en tenant compte de chaque type d’appareil mobile que l’organisation utilisera :

• Connectivité
• Protection
• Authentification
• Fonctionnalité des applications
• Gestion des solutions
• Journalisation
• Performance

Tous les composants du système devraient être mis à jour avec les correctifs les plus récents et configurés en accord avec des pratiques exemplaires de sécurité. Il est nécessaire de protéger les appareils mobiles fournis par l’organisation avant d’accorder l’accès aux utilisatrices et utilisateurs.

S’assurer que chaque appareil est pleinement sécurisé avant d’accorder l’accès aux utilisatrices et utilisateurs permet d’établir un niveau de confiance de base attribué à l’appareil avant que celui-ci soit exposé à de possibles menaces de sécurité. Tout appareil mobile fourni par l’organisation et précédemment déployé avec des profils de sécurité inconnus devrait être entièrement sécurisé et remis dans un état fonctionnel valide à l’aide de technologies MDM. Il convient également aux organisations de déployer des contrôles de sécurité supplémentaires, comme un logiciel antivirus et des technologies de prévention de la perte de données (PPD).

6.7 Assurer le maintien de la sécurité des appareils mobiles

Les organisations devraient mettre en œuvre les processus suivants pour assurer la sécurité des appareils mobiles :

• Installer régulièrement des mises à niveau et des correctifs pour renforcer la protection des appareils
• Régler les paramètres de contrôle d’accès selon les besoins pour conserver les normes de sécurité
• Maintenir un inventaire à jour donnant les détails de chaque appareil mobile, l’utilisatrice ou utilisateur auquel il est attribué et les applications installées
• Révoquer l’accès ou supprimer les applications ayant été jugées trop risquées
• Protéger les données sensibles en nettoyant les appareils mobiles avant de procéder à leur réattribution pour un nouvel usage
• Mettre en œuvre un plan d’intervention en cas d’incident qui décrit comment aborder la gestion des appareils à risque élevé et compromis

Les organisations devraient procéder à des vérifications périodiques pour veiller à ce que leurs stratégies, processus et procédures en matière d’appareils mobiles soient correctement suivis.

Les organisations dotées d’une infrastructure de TI et de processus opérationnels plus matures devraient opter pour une solution de gestion de la mobilité qui permet d’offrir des fonctionnalités d’entreprise améliorées, comme un accès mobile aux courriels, aux calendriers, aux listes de contacts de l’organisation ainsi qu’à d’autres applications organisationnelles, pouvant s’intégrer de manière transparente aux mécanismes d’authentification de l’organisation. La solution de gestion de la mobilité devrait également maintenir la sécurité de l’environnement de mobilité de l’organisation. Il existe différentes solutions de gestion des appareils mobiles comportant des capacités distinctes. Au sein de l’industrie, ces solutions sont appelées MDM, gestion de la mobilité d’entreprise (EMM pour Enterprise Mobility Management) et gestion unifiée des terminaux (UEM pour Unified Endpoint Management).

La section 7 Solutions de gestion de la mobilité donnera un aperçu des différentes catégories de solutions de gestion de la mobilité, ainsi que des stratégies pouvant vous aider à choisir la solution qui répond le mieux aux besoins de votre organisation.

6.8 Gérer le cycle de vie des appareils mobiles

Votre organisation doit s’assurer d’avoir en place un processus qui lui permet d’identifier les fournisseurs d’appareils mobiles qui fournissent des procédures et des solutions pour gérer les appareils en fin de vie. Pour ce qui est des ordinateurs portables, cela peut aussi comprendre les systèmes d’exploitation en fin de vie. L’organisation devrait également veiller à ce que ses fournisseurs se conforment aux évaluations des risques liés à l’intégrité de la chaîne d’approvisionnement (ICA). Ces évaluations devraient d’ailleurs être effectuées avant l’achat des appareils.

Il convient de veiller à ce que des procédures soient mises en place pour gérer le cycle de vie des appareils en fin de vie, de nettoyer correctement l’appareil une fois récupéré auprès de l’utilisatrice ou utilisateur, et d’éliminer l’appareil de façon sécurisée. Pour obtenir de plus amples renseignements sur le nettoyage et la destruction des appareils, prière de consulter le document Nettoyage et élimination d’appareils électroniques (ITSAP.40.006).

7 Solutions de gestion de la mobilité

Les appareils mobiles sont devenus essentiels pour beaucoup d’organisations, car ils facilitent l’exécution des activités opérationnelles. Alors qu’une quantité accrue de données sensibles transitent désormais par des points terminaux et sont partagées entre les appareils mobiles, l’échange d’information a atteint des niveaux sans précédent. Si les appareils mobiles ne sont pas gérés adéquatement, ils peuvent compromettre les données et la sécurité du réseau de votre organisation. Gérer de manière proactive ces appareils dans l’ensemble des activités opérationnelles et mettre en œuvre une solide solution de gestion de la mobilité est essentiel pour protéger votre organisation contre toute violation de données potentielle.

Gérer les appareils mobiles se veut une approche unifiée qui englobe diverses catégories de solutions de gestion de la mobilité; c’est ce qui est appelé dans l’industrie MDM, EMM et UEM. Les solutions de gestion de la mobilité appliquent des logiciels, des processus et des stratégies de sécurité aux appareils mobiles dans le cadre de leur utilisation. Comprendre les différentes fonctionnalités qu’offrent diverses solutions de gestion de la mobilité vous aidera à choisir la meilleure solution pour votre organisation.

Il existe peu de différence entre MDM et EMM, les deux termes sont souvent utilisés de façon interchangeable. La gestion des appareils mobiles (MDM) met l’accent sur des tâches fondamentales telles que :

• l’inscription et la configuration des appareils;
• la gestion des justificatifs d’identité;
• l’application de restrictions relatives aux mots de passe et aux fonctionnalités;
• la gestion des profils PAP;
• la simplification des fonctionnalités de gestion et de soutien des appareils, comme les vérifications d’inventaire, les réinitialisations de mot de passe et l’effacement à distance.

La gestion de la mobilité d’entreprise (EMM) englobe toutes les fonctionnalités MDM, en plus de fonctionnalités avancées additionnelles comme :

• mise en conteneur plus sophistiquée;
• gestion de justificatifs d’identité d’entreprise et mécanismes d’authentification;
• gestion des applications mobiles avancée;
• intégration à d’autres plateformes d’entreprise.

L’EMM étend également les capacités de la MDM grâce à des fonctionnalités telles que la gestion des applications mobiles et la protection contre des menaces visant les applications mobiles.

La gestion unifiée des terminaux (UEM) est une solution unifiée et globale de gestion de la mobilité qui englobe la MDM, l’EMM et d’autres capacités de gestion mobile afin de répondre aux préoccupations de sécurité liées à la gestion des données organisationnelles tout en augmentant la connectivité et la productivité. Alors que les solutions MDM et EMM sont destinées à la gestion des appareils mobiles, la gestion unifiée des terminaux (UEM) permet aux organisations de déployer, de gérer, de contrôler et de suivre d’autres appareils terminaux dans le milieu de travail, tels que les ordinateurs personnels, les tablettes, les appareils de l’Internet des objets (IdO), les imprimantes et les dispositifs portables.

Le Centre pour la cybersécurité invite les organisations à réaliser une évaluation des menaces de sécurité en ayant recours à un cadre d’applications, comme la Série sur la gestion des risques liés à la cybersécurité et à la vie privée : Une méthode axée sur le cycle de vie (ITSP.10.033), afin de déterminer leurs exigences en matière de sécurité et leur niveau de risque acceptable, plutôt que de se concentrer sur des termes. Une évaluation des menaces permettra également de mieux identifier les contrôles de sécurité nécessaires pour traiter ces domaines de menace, ce qui aidera les organisations à opter pour une solution de gestion de la mobilité.

L’identification et la mise en œuvre d’un ensemble plus restreint de contrôles techniques, combinées à d’autres contrôles et stratégies de sécurité conformément au processus de La gestion des risques liés à la cybersécurité et des risques d’atteinte à la vie privée : Une méthode axée sur le cycle de vie, peuvent aider les organisations à atténuer les risques tout en maintenant un équilibre entre l’expérience utilisateur, la souplesse opérationnelle et les capacités fonctionnelles inhérentes aux appareils mobiles. Une fois qu’ils sont mis en œuvre, il faut tester et ajuster périodiquement les contrôles afin de s’assurer qu’ils sont fonctionnels et qu’ils offrent un niveau de sécurité adéquat.

7.1 Avantages des outils de gestion des appareils mobiles

Les outils de gestion de la mobilité peuvent sécuriser, surveiller, gérer et prendre en charge des appareils mobiles comme les téléphones intelligents et les tablettes dont l’exécution se fait sur plusieurs plateformes et qui sont déployés dans un réseau. Ces outils contrôlent et protègent les données ainsi que les paramètres de configuration. Grâce à ces outils, votre administratrice ou administrateur de TI peut configurer des appareils en fonction des exigences liées aux tâches des employées et employés, et installer les applications nécessaires à des fins professionnelles.

Une vaste gamme d’outils de gestion de la mobilité sont offerts, allant de solutions de base contrôlant les paramètres de sécurité d’un appareil mobile aux solutions plus avancées permettant d’étendre et de faire appliquer des stratégies de sécurité ainsi que des contrôles associés aux appareils mobiles, et offrant une intégration fluide avec les systèmes et services de votre organisation.

Une solution optimale de gestion de la mobilité doit prendre en considération les capacités du produit et les plateformes d’appareils mobiles, ainsi que les capacités et le soutien offerts en matière de fonctionnalités de sécurité. Il faut tenir compte des types d’appareils mobiles qu’utilise votre organisation avant de choisir une solution de gestion de la mobilité.

L’organisation ne doit pas se fier à une solution MDM pour pallier une sécurité inadéquate des appareils mobiles. Les outils MDM ne peuvent pas compenser l’absence de fonctionnalités de sécurité sur une plateforme ou un appareil; ils ne peuvent utiliser que les fonctionnalités et les contrôles de sécurité pris en charge nativement par la plateforme de l’appareil mobile.

Votre organisation devrait opter pour la solution qui convient le mieux à ses activités et à ses besoins en matière de sécurité en tenant compte de ce qui suit :

• le niveau de contrôle nécessaire selon la sensibilité des données traitées;
• le budget disponible pour chacun des modèles de déploiement (par exemple, l’approvisionnement en matériel ou le soutien TI);
• le meilleur équilibre entre utilisation professionnelle et personnelle.

Il est important que votre organisation forme son personnel sur les pratiques exemplaires de sécurité et de confidentialité afin d’assurer une utilisation sécuritaire des appareils selon le modèle de déploiement choisi par votre organisation.

Outre les stratégies d’atténuation fournies dans la présente publication, prière de consulter le document Mobile Device Cybersecurity Checklist for Organizations (en anglais seulement) préparé par la Cybersecurity and Infrastructure Security Agency (CISA) pour obtenir plus de renseignements. Cette liste de vérification propose des pratiques exemplaires pour aider les organisations à protéger l’écosystème de mobilité d’entreprise en atténuant les vulnérabilités informatiques et en assurant un accès mobile sécurisé aux ressources de l’organisation.

7.2 Fonctionnalités courantes de gestion des appareils mobiles et de gestion de la mobilité d’entreprise

Les solutions MDM et EMM offrent beaucoup de fonctionnalités pour assurer la sécurité des appareils mobiles et répondre aux exigences de conformité et d’efficacité opérationnelle. En voici quelques-unes des plus courantes :

• gestion des appareils mobiles
  • déployer et inscrire
  • configurer les appareils — paramètres des appareils, restrictions et justificatifs d’identité
  • contrôler les appareils — vérification des appareils, réinitialisation de mot de passe et nettoyage à distance
  • gérer les applications — contrôle des applications qui peuvent être chargées et utilisées
  • assurer le suivi de l’inventaire
• sécurité des appareils mobiles
  • appliquer des stratégies de sécurité, de surveillance et de production de rapports en temps réel
  • appliquer des mots de passe robustes pour l’accès aux appareils mobiles
  • empêcher un accès non autorisé aux appareils à l’aide du verrouillage à distance
  • effectuer un nettoyage à distance si l’appareil est volé ou perdu
  • protéger l’appareil contre les connexions Wi‑Fi et Bluetooth non sécurisées
• facilitation de la sécurité des données de l’organisation
  • imposer le chiffrement de données pour les données en transit et les données au repos
  • imposer l’utilisation d’une connexion de réseau privé virtuel (RPV) entre l’appareil mobile et le serveur de l’organisation
  • sauvegarder automatiquement les données essentielles de l’appareil au serveur principal
• intégration de la messagerie et des courriels — intégrer et soutenir pleinement toutes les principales fonctionnalités (calendrier, contacts, assistance pour toutes les grandes plateformes)
• facilitatrices et facilitateurs d’entreprise — assurer le soutien, l’accès et le contrôle pour l’intranet et les services et applications Web de l’organisation

7.3 Capacités additionnelles en matière de solutions de gestion de la mobilité

Les grandes organisations disposant d’infrastructures complexes de gestion des appareils mobiles et nécessitant une solution plus complète peuvent envisager les capacités additionnelles suivantes proposées par certains outils de gestion de la mobilité.

7.3.1 Gestion des applications mobiles

La gestion des applications mobiles (MAM pour Mobile Application Management) implique le déploiement, la gestion et le contrôle d’applications administratives particulières sur des modèles PAP et des appareils pouvant servir à des fins personnelles et appartenant à l’organisation (COPE pour Company-Owned/Personally Enabled). La MAM permet aux organisations de séparer les applications personnelles des applications professionnelles, et de créer un magasin d’applications d’entreprise personnalisé. La MAM permet aux administratrices et administrateurs de diffuser, d’installer, de corriger et de mettre à jour les applications administratives mobiles selon les besoins, et de configurer les applications afin de respecter des stratégies spécifiques. La MAM prend également en charge la gestion des inventaires, la gestion du cycle de vie des applications ainsi que la gestion des licences des logiciels.

7.3.2 Gestion du contenu mobile

La gestion du contenu mobile (MCM pour Mobile Content Management) est un outil de sécurité qui gère l’accès au contenu sur les appareils mobiles. Elle permet aux employées et employés d’accéder aux fichiers, à l’information et aux données de nature professionnelle, d’en assurer la distribution et de les stocker, sans compromettre la sécurité ni l’expérience des utilisatrices ou utilisateurs finaux. Elle offre des capacités de collaboration optimisées sur des réseaux sécurisés et des appareils enregistrés conformément à une solution MDM. La MCM permet aux administratrices et administrateurs de limiter les droits d’accès de chaque employée ou employé, et elle autorise seulement les applications approuvées à accéder aux données et à les distribuer.

7.3.3 Gestion de l’identité et de l’accès mobile

Ce processus gère et définit les rôles et les privilèges de chaque utilisatrice ou utilisateur afin de s’assurer que l’accès aux ressources de l’organisation est limité aux personnes disposant des droits d’accès appropriés. Le processus repose sur l’authentification multifacteur, la biométrie, des certificats, des signatures de code ou des données propres à l’appareil pour contrôler la façon dont le personnel utilise les applications et les données de l’organisation.

7.3.4 Gestion des menaces visant les applications mobiles

La gestion des menaces visant les applications mobiles (MTM pour Mobile Threat Management) est un produit de sécurité des appareils mobiles qui aide les organisations à réduire le risque posé par ces appareils mobiles. Le principe de la MTM repose sur le fait que, bien que les fabricants d’appareils renforcent la posture de sécurité de leurs appareils à chaque nouvelle version, certaines vulnérabilités subsistent et de nouvelles apparaissent régulièrement.

La MTM cherche à aider les organisations à gérer le risque en mettant en œuvre des fonctions, parmi lesquelles :

• intégration à des fonctions MDM/EMM, notamment pour l’inscription, la stratégie de sécurité et les restrictions, et la vérification ou la journalisation
• gestion des versions et des correctifs des applications et des systèmes d’exploitation
• application et automatisation du filtrage de système d’adressage par domaines (DNS) et de l’utilisation du RPV
• inventaire des applications installées, détection de maliciel, liste d’applications autorisées et liste de rejet
• intervention en cas d’incident touchant un appareil mobile — cela s’intègre bien aux plateformes UEM, où des contrôles fondés sur la conformité sont souvent utilisés pour l’automatisation des interventions en cas d’incident de sécurité touchant des appareils mobiles

7.3.5 Gestion des dépenses mobiles

La gestion des dépenses mobiles (MEM pour Mobile Expense Management) permet aux organisations de faire le suivi et de contrôler les dépenses dans l’ensemble de toute l’infrastructure de mobilité. Elle permet aussi aux organisations d’établir des limites pour l’utilisation des données et des applications.

7.3.6 Mise en conteneur

La mise en conteneur est une solution de séparation de données destinée aux appareils qui stockent des données professionnelles et personnelles comme des modèles PAP et COPE. Elle permet d’isoler les données de votre organisation du reste du contenu présent sur l’appareil, dans des conteneurs chiffrés distincts.

8 Série du Centre pour la cybersécurité sur la mobilité

Pour aider à atténuer les menaces que posent les appareils mobiles, le Centre pour la cybersécurité a développé une série de publications sur la sécurité des appareils mobiles afin d’aider les organisations à considérablement réduire leur exposition aux menaces pour ce qui a trait aux appareils mobiles. Outre les publications citées précédemment dans le présent document, les ressources suivantes peuvent également s’avérer utiles pour votre organisation :

• Utiliser son dispositif mobile en toute sécurité (ITSAP.00.001)
• Considérations de sécurité pour les modèles de déploiement de dispositifs mobiles (ITSAP.70.002)
• Dispositifs mobiles et voyages d’affaires (ITSAP.00.087)
• Application des mises à jour sur les dispositifs (ITSAP.10.096)
• Considérations liées à la cybersécurité pour les réseaux 5G (ITSAP.80.116)

9 Résumé

Les appareils mobiles sont pratiques, flexibles et ils permettent aux employées et employés de travailler, où qu’ils soient et en tout temps. Toutefois, leur conception complexe et leurs fonctionnalités avancées peuvent représenter une menace pour l’information, les biens et les réseaux de votre organisation. Puisque les appareils mobiles peuvent contenir ou donner accès à de grandes quantités de renseignements sensibles, tant organisationnels que personnels, ils constituent des cibles attrayantes offrant des occasions uniques aux auteurs de menace cherchant à recueillir de l’information.

Les menaces associées à l’utilisation d’appareils mobiles sont nombreuses et nécessitent une compréhension claire ainsi que la mise en place de mesures d’atténuation afin de protéger la confidentialité, la disponibilité et l’intégrité de l’information de votre organisation. La mobilité d’entreprise devrait utiliser des protections disponibles sur le marché et tenir compte des limites des appareils dans l’architecture globale de mobilité de l’organisation, s’appuyer sur le cadre de gestion des risques de l’organisation et élaborer des stratégies de sécurité spécifiquement pour les appareils mobiles.

Au besoin, vous pouvez renforcer davantage la sécurité des appareils mobiles commerciaux pour améliorer l’intégrité et réduire les risques. Votre organisation devrait réaliser une évaluation des menaces et des risques afin de déterminer les contrôles de sécurité à adopter pour ses solutions de mobilité d’entreprise. Les contrôles de sécurité doivent être mis en œuvre et vérifiés pour l’ensemble du système d’information de l’organisation, des appareils mobiles aux services réseau qui prennent en charge les processus opérationnels et les ressources informationnelles.

Le Centre pour la cybersécurité invite les organisations disposant d’infrastructures de TI et de processus opérationnels plus matures de mettre en place une solution de gestion de la mobilité qui permet d’améliorer les fonctionnalités opérationnelles et de sécurité, et de mettre en œuvre des capacités accrues pour sécuriser, gérer, vérifier et prendre en charge les appareils mobiles en milieu de travail.

Date d’entrée en vigueur

Le présent document entre en vigueur le 4 mai 2026.

Ce document non classifié est publié avec l’autorisation du dirigeant principal du Centre pour la cybersécurité.

Le présent document remplace :

• Sécurisation de l’entreprise et des technologies mobiles (ITSM.80.001), juillet 2016
• Solutions de gestion des appareils mobiles (MDM) – Conseils à l’intention du gouvernement du Canada (ITSB-64), juillet 2013
• Sécurité des dispositifs mobiles : Sécuriser le gouvernement du Canada (ITSE.80.001), juin 2016

Historique des révisions

1. Première version : Julliet, 2016
2. Deuxième version : Mai, 2026