Entre la généralisation du télétravail et l’utilisation de plus en plus fréquente d’appareils mobiles au niveau professionnel, de nombreuses failles de sécurité sont détectées. Une étude récemment publiée par NordLocker révèle que la France est le 4ème pays le plus visé par les ransomwares cette année. Il s’agit là d’une énième étude confirmant ce que vous savez sûrement déjà: il est primordial aujourd’hui de protéger les données de votre entreprise. Noms, adresses mail, mots de passe, cartes de crédit… Toutes ces données étant piratables, la #cybersécurité a pris de plus en plus d’ampleur ces dernières années et est maintenant au centre des préoccupations en matière de sécurité dans le monde du travail.
En tant que spécialiste de la gestion d’appareils Android au sein des entreprises, TinyMDM protège les données circulant sur les mobiles par le biais d’un chiffrement.
Qu’est-ce que le chiffrement?
Le chiffrement de l’appareil est une couche de protection supplémentaire pour toutes les données stockées sur votre appareil Android. Le processus consiste à brouiller les données en code illisible et à les rendre indéchiffrables par quiconque sans mot de passe ou clé de récupération le permettant expressément. Android prend en charge deux méthodes de chiffrement des appareils:
Le chiffrement intégral du disque dit FDE (Full Disk Encryption)
Disponible dès Android 5, mais abandonné à partir d’Android 10. La méthode FDE utilise l’algorithme de chiffrement AES 128-Bit, ou 256-Bit sur certains appareils, et sa clé de récupération principale est conservée dans un Trusted Execution Environment (ou environnement d’exécution de confiance, entièrement sécurisé).
Le chiffrement basé sur les fichiers dit FBE (File Based Encryption)
Disponible à partir d’Android 7, qui est désormais obligatoire et appliqué automatiquement à partir d’Android 10. La méthode de chiffrement FBE permet de chiffrer des zones de stockage avec des clés de récupération uniques, différentes en fonction des utilisateurs, et générées aléatoirement par l’algorithme de chiffrement AES 256-Bit. Les clés sont également protégées par un composant similaire au Trusted Execution Environment, comme dans l’implémentation FDE.
Est-ce que TinyMDM protège mes données?
Aujourd’hui, tout appareil Android avec une version de système d’exploitation supérieure à 6, et qui possède la licence GMS (Google Mobile Services), sera toujours prêt à être chiffré. Ces deux conditions sont également requises pour être compatible avec TinyMDM, puisqu’en tant que partenaire officiel Android EMM, nous intégrons Android Enterprise (AFW) de manière transparente et par là même, le protocole de chiffrement Android. En d’autres termes, si l’appareil n’est pas chiffré de base (donc avant Android 10), le processus de chiffrement sera automatiquement appliqué lors son inscription à Android Enterprise, donc au moment où l’appareil sera enrôlé sur TinyMDM.
Par ailleurs, en plus du chiffrement des données, une solution EMM vient en aide aux entreprises à d’autres niveaux de cybersécurité: protection contre les malwares, les applications indésirables, réinitialisation de l’appareil en cas de vol, mise en place d’une politique de mots de passe… Tous les appareils Android qu’une entreprise gère via une console EMM telle que TinyMDM installent automatiquement une application DPC (Device Policy Controller) lors de l’enrôlement. Un DPC est un agent qui applique aux appareils les politiques de gestion définies dans la console MDM et qui s’assure que l’appareil Android est bien conforme à la politique de sécurité définie par l’administrateur.
Et dans le cas d’un profil de travail (BYOD)?
Le profil professionnel assure une séparation sûre et protégée entre les applications professionnelles et personnelles sur le même appareil. L’application de la politique de sécurité se fait via une application DPC installée dans le profil professionnel et contrôlée par TinyMDM. La séparation des données du profil perso et du profil pro s’appuie sur une logique de multi-utilisateurs d’Android.
En clair, même si la partie personnelle de l’appareil Android n’est pas chiffrée, la partie professionnelle le sera automatiquement à la création du profil de travail via TinyMDM. En outre, le chiffrement de type FBE (file-based encryption), obligatoire sur les appareils fonctionnant sous Android 10 ou plus, renforce encore davantage la séparation des données grâce à des clés de chiffrement différentes pour chaque profil.
Pour résumer:
- Le chiffrement Android est basé sur l’algorithme AES 256-Bit
- A partir d’Android 10, la méthode de chiffrement FBE est obligatoire et automatiquement appliquée
- Tous les terminaux enrôlés avec TinyMDM (Android 6 et +, avec la licence GMS) sont impérativement et systématiquement chiffrés lors du processus d’enrôlement
- Le fait d’utiliser une solution EMM comme TinyMDM permet de s’assurer, via le DPC, que les appareils sont bien conformes à la politique de sécurité mise en place par l’entreprise
Pour aller plus loin:
26 novembre 2021