Qu'est-ce que la gestion moderne des périphériques ?

Bref historique

L'une des approches post-traditionnelles pour moderniser la gestion des périphériques nous vient des éditeurs de systèmes d'exploitation (OS) : c'est le concept d'annuaire Active Directory (AD) couplé aux objets GPO (stratégie de groupe) centralisés. Une autre implique que des fournisseurs tiers ajoutent des solutions de gestion des périphériques dotées de capacités qui manquent au système d'exploitation.

Trois éléments limitent ces approches de la gestion des périphériques :

• La connectivité des périphériques avec le réseau d'entreprise pour distribuer les GPO (stratégies de groupe), les scripts et les logiciels.
• Les permissions utilisateur. Si l'utilisateur final possède des droits d'administrateur local, il peut manuellement contourner les restrictions fixées par la gestion traditionnelle, y compris celles concernant l'annuaire Active Directory. Comme les outils de gestion traditionnelle affectent d'autres logiciels sur le périphérique, notamment les correctifs du système d'exploitation, les problèmes potentiels sont évidents, un véritable cauchemar pour les équipes IT.
• Le provisionnement d'un périphérique par l'équipe IT. Il n'existait aucun moyen de préprovisionner automatiquement les périphériques sans passer par le service IT, et la tactique de provisionnement la plus courante était l'application d'une image. Mais cette technique coûteuse et répétitive exige une infrastructure et des mises à jour constantes.

En savoir plus : Solutions Ivanti de gestion des périphériques mobiles

Évolution vers l'EMM

Le concept de MDM a évolué en EMM (gestion mobile d'entreprise) suite à l'initiative de Gartner, en 2014, visant à fusionner plusieurs stratégies existantes, comme l'expliquait le rapport « 2014 Magic Quadrant for Mobile Device Management (MDM) ».¹

Cette nouvelle appellation regroupe d'autres sous-catégories et stratégies auparavant distinctes :

• MAM, la gestion des applications mobiles centrée sur le contrôle du cycle de vie des logiciels d'un périphérique.
• MCM, la gestion du contenu mobile centrée sur le contrôle du cycle de vie des données d'applications spécifiques, indépendamment du périphérique.
• MIM, la gestion des informations mobiles centrée sur le contrôle du cycle de vie des données, indépendamment du périphérique.

Google a finalement adopté un modèle de gestion EMM avec Android 5 et Android Enterprise (AE). Ces systèmes d'exploitation fournissent des fonctions natives pour gérer le modèle, déployer des logiciels, appliquer des restrictions et autoriser un accès sécurisé aux services de l'entreprise.

Même s'il existe différents modèles de déploiement AE, comme les modèles iOS, l'idée directrice d'une gestion centralisée et d'un modèle d'applications cloisonnées en sandbox reste la même : s'assurer qu'aucune application ne puisse compromettre le noyau (kernel) du système d'exploitation du périphérique.

Cette approche de la gestion des périphériques s'est avérée plus efficace et plus convaincante. Avec elle, une seule solution peut assurer le bon niveau de sécurité, de contrôle et de visibilité de tous les périphériques. Dans le même temps, l'entreprise peut aussi fournir à ses collaborateurs un accès sécurisé aux services d'entreprise, même lorsqu'ils travaillent sur le terrain.

Gestion des périphériques mobiles et gestion moderne des périphériques

En réalité, ces deux concepts, qui partagent les mêmes initiales (MDM), se ressemblent comme deux gouttes d'eau. Le déroulé du sigle a changé, mais pour une bonne raison.

Vous vous souvenez de l'architecture qu'Apple a lancée dans l'univers IT avec son iOS ? Si elle a été développée à l'attention des établissements d'enseignement, Apple avait bien l'intention de l'étendre au marché des entreprises jusque-là dominé par des acteurs historiques comme Microsoft.

Dans le cadre de cette stratégie, le modèle iOS a peu à peu été étendu aux périphériques macOS (ordinateurs de bureau et portables, notamment) et l'API de gestion des périphériques a évolué avec chaque version. Apple a fait évoluer toujours plus macOS vers un type de système d'exploitation mobile à la sécurité intégrée et aux API natives gérées.

Ce mouvement (imité par d'autres fournisseurs, comme nous le verrons plus loin) a affecté la nomenclature : la « gestion des périphériques mobiles » s'appliquait désormais à un écosystème réseau où les outils MDM géraient d'autres postes client (souvent distants) qui n'étaient pas mobiles.

Ainsi, aujourd'hui, les périphériques comme les ordinateurs de bureau et portables (y compris les appareils personnels utilisés professionnellement, ou BYOD) sont inscrits dans ce que nous appelons des systèmes de « gestion moderne des périphériques », applicables à tous les postes client, et pas seulement aux périphériques mobiles.

Comment Windows 10 a-t-il impacté la MDM ?

Quand Windows 10 est né, Microsoft s'est montré très malin en introduisant un modèle de gestion de type « MDM/EMM » pour moderniser la gestion habituelle des périphériques par l'équipe IT. C'est un tournant, parce que Windows, malgré les progrès des concurrents comme Apple, reste installé sur plus de 36 % des terminaux^2.

Windows 10 n'est pas une évolution de Windows 7 et 8, mais de Windows Phone 8 et 10, avec une API MDM disponible pour gérer tous les aspects d'un périphérique : DLP (prévention des pertes de données), restrictions, distribution des logiciels, etc..

En quoi est-ce un changement radical ? Windows 10 adopte l'approche des systèmes d'exploitation mobiles et allège ainsi les tâches d'onboarding et de provisionnement des périphériques dans sa solution EMM. Soudain, les administrateurs IT peuvent gérer des périphériques Windows, macOS, iOS et Android depuis la même plateforme centralisée.

Qu'est-ce que la gestion unifiée des terminaux (UEM) ?

En parallèle, les fournisseurs de périphériques IoT (Internet of Things, l'Internet des objets) commencent à adopter les « 4 grands » systèmes d'exploitation pour fonctionner. C'est le cas par exemple de Windows IoT, qui fournit aussi des fonctions MDM/EMM, et d'Android AOSP, utilisé pour des TV, des box, des kiosques, des périphériques dédiés, etc. Les mêmes fonctions de gestion des périphériques ont commencé à s'appliquer.

C'est à ce stade que l'EMM s'est transformée en gestion unifiée des terminaux (UEM). Avec elle, un service IT va, à l'aide des technologies mentionnées ici, centraliser la gestion de tous les périphériques sur tout son réseau et afficher toutes les connaissances et les informations qui les concernent sur une seule et même console.

C'est possible parce que les plateformes UEM peuvent interagir avec d'autres solutions qui s'intègrent dans le modèle UEM via des API. Les fournisseurs de solutions peuvent ainsi étendre les services destinés aux périphériques modernes gérés sans compromettre leur système d'exploitation en sandbox.

Le graphique ci-dessous montre toute l'importance de pouvoir gérer des périphériques aux systèmes d'exploitation différents.

Comment la MDM peut-elle optimiser la charge de travail de l'équipe IT ?

Comme nous venons de le voir, la MDM permet au réseau d'enrôler et de provisionner automatiquement les périphériques qui s'y connectent. L'équipe IT, ainsi libérée d'une énorme quantité de tâches répétitives, peut se concentrer sur d'autres défis, plus stratégiques. Quels sont les autres avantages de la MDM ?

• Si un périphérique appartient également à un programme d'enrôlement automatisé des périphériques, comme MS AutoPilot ou Apple Automated Device Enrollment (ADE), le service IT n'a qu'à l'envoyer directement à l'utilisateur final : le programme se charge automatiquement du provisionnement.
• L'onboarding, la gestion, la distribution de logiciels, les mesures de sécurité, etc., ne nécessitent pas de connexion directe au réseau de l'entreprise pour se déclencher. Il suffit d'une connexion Internet, et la MDM intègre des contremesures qui garantissent que le périphérique n'est pas provisionné uniquement pour une utilisation personnelle.

Ces derniers avantages sont devenus vitaux quand la pandémie a frappé début 2020. La plupart des entreprises ont dû évoluer rapidement, et basculer dans l'urgence vers une stratégie axée sur le BYOD et les ordinateurs portables (remplaçant ainsi les lieux de travail traditionnels et les postes ).  Le déployement s'est effectué à l'échelle du réseau de l'entreprise, tout en restant sous la protection de la sécurité périmétrique de ce dernier.

Aujourd'hui, certains utilisateurs travaillent toujours à distance et exigent de pouvoir se connecter partout, à tout moment.Ainsi, la pression pour un accès réseau sécurisé à un mélange de solutions SaaS et on-premise, disponible 24 h/24 et 7 j/7, ne se relâche pas.

Pour cette raison, les concepts MDM sont en vogue, notamment l'accès Zero Trust (ZTA), qui impose un niveau de sécurité strict permanent, que le périphérique soit ou non sur le réseau d'entreprise et qu'il soit partiellement ou entièrement géré.

Les concepts essentiels à connaître sur la MDM

Quel concept est-il important de connaître sur la gestion moderne des périphériques et son application au système d'exploitation Windows ou macOS  d'un ordinateur de bureau ou d'un portable ? C'est que toutes les restrictions définies par les administrateurs réseau sont toujours prioritaires, même si l'utilisateur dispose de droits d'administration locale.

C'est un point important car la plupart des logiciels sont développés de manière à s'exécuter de façon fluide sous tous les OS. Si les permissions utilisateur sont restreintes, il devient plus complexe de trouver comment faire fonctionner correctement les logiciels sans abaisser le niveau de sécurité.

Tout comme l'administrateur réseau peut stipuler les applis autorisées à s'exécuter sous iOS et Android, et définir différents niveaux d'autonomie pour l'utilisateur (en fonction de son profil), les administrateurs de Windows 10/11 et macOS peuvent désormais faire de même. Il devient inutile de limiter les autorisations utilisateur pour appliquer le niveau de sécurité voulu.

Résultat : les périphériques Windows et macOS sont automatiquement provisionnés lors de leur inscription, ce qui autorise uniquement les bons logiciels à s'exécuter et rend superflue toute intervention « pratique » de la part du service IT.

Par exemple :

• Imaginez que vous envoyez un jeu de restrictions, basé sur une API MDM native, pour autoriser uniquement les logiciels Windows standard et les applis d'entreprise à s'exécuter sur un ordinateur portable en réseau.
• Si l'utilisateur tente d'installer ou d'exécuter un logiciel non approuvé, l'OS refuse de l'ouvrir et signale à l'utilisateur que l'administrateur a désactivé cette appli.
• La même logique s'applique à l'interface de ligne de commande, à la console PowerShell, au Gestionnaire de tâches, etc.

Comment la gestion moderne des périphériques va-t-elle évoluer ?

De nombreux fournisseurs proposent déjà des applis visant à compléter la gestion MDM/EMM. Le but ? Augmenter le niveau de contrôle, fournir davantage de fonctions, récupérer et analyser les données de sécurité, et réaliser les tâches qu'une API de gestion moderne des périphériques ne peut pas réaliser seule.

Comme pour les autres progrès en matière de gestion des périphériques, un grand nombre de ces innovations sont nées dans l'univers des systèmes d'exploitation mobiles, principalement sous forme d'applications d'agent de gestion avec des fonctions comme :

• Posture du périphérique : détecter, surveiller et réparer les OS compromis.
• Notifications : communiquer directement des alertes ou messages destinés aux utilisateurs finaux, dans l'application d'agent.
• Emplacement : si nécessaire, l'application d'agent de gestion peut indiquer l'emplacement du périphérique et interagir avec ce dernier.
• MTD (Défense contre les menaces mobiles) : mettre en place une protection contre les cyberattaques, basée sur les surfaces d'attaque de périphérique, d'appli, de réseau et la protection antihameçonnage.
• App Store privé : ressource qui permet aux utilisateurs d'obtenir des applis facultatives.

Pour Windows et macOS, ces applis fonctionnent en tandem avec les configurations UEM natives pour réaliser des tâches critiques mais absentes de l'API MDM. C'est particulièrement visible dans les systèmes d'exploitation d'ordinateur de bureau ou portable, comme Windows 10/11 et macOS, où plusieurs actions clés ne sont toujours pas disponibles dans l'API MDM. Par exemple :

• Profils de gestion personnalisés (configurations personnalisées, charges de traitement personnalisées, etc.)
• Scripts.
• Distribution de logiciels basée sur une suite de tâches.
• Application flexible des correctifs.
• Gestion des vulnérabilités basée sur les risques.
• Contrôle de l'accès aux services basé sur les risques.

Qu'est-ce que la MDM 2.0 ?

Combler les disparités entre gestion des périphériques mobiles et gestion moderne des périphériques (ordinateurs de bureau/portables) nécessite la mise en place d’un modèle hybride, capable de fonctionner de manière fluide partout où il est déployé, tout en offrant des fonctionnalités enrichies. Ce concept, logiquement désigné par certains analystes et fournisseurs sous le nom de « MDM 2.0 », témoigne de cette évolution.

Avec ce modèle, chaque périphérique du réseau est inscrit auprès d'une solution UEM centralisée. Des analyses actives et passives permettent, automatiquement, de découvrir et provisionner tous ces périphériques ou de leur appliquer des correctifs, en détectant ceux qui ne sont pas gérés, sont mal sécurisés ou présentent des risques. Le parc de périphériques est aussi optimisé afin de fonctionner de façon transparente avec tous les fournisseurs de services de l'entreprise : Office365, Salesforce, SAP, etc.

_{¹ Messmer, Ellen. « Gartner Magic Quadrant Shifts Focus from MDM to Enterprise Mobility Management ».  Network World, 10 juin 2014. https://www.networkworld.com/article/2361467/gartner-magic-quadrant-shifts-focus-from-mdm-to-enterprise-mobility-management.html.}

_{² Taylor, Petroc. « Enterprise Device OS Distribution 2022 ». Statista, 27 février 2023.
https://www.statista.com/statistics/741497/worldwide-enterprise-endpoint-operating-system-distribution}