SUR LE TERRAIN

Des fonctions d'administration orientées sécurité et push mail

"Dans les entreprises pour lesquelles nous développons des applications iPhone et iPad, nous constatons systématiquement une levée de boucliers des responsables de la sécurité des systèmes d'information", lance Jean-François Grang, responsable offre iPhone chez Octo Technology. De fait, l'administration d'un parc d'iPhones vise essentiellement une problématique de sécurité, avec bien souvent un focus sur le push mail. Parallèlement, l'iPad, dont le système est celui de l'iPhone, intéresse les entreprises. "Il y a beaucoup de demandes d'applications dans le décisionnel et l'éducation qu'il faudra déployer et gérer à distance, en bloquant l'accès à l'App-Store", explique Benoit Lemaire, PDG d'Ibelem.

Un terrain défriché par Apple

Avec IOS 2 puis 3, Apple avait ouvert une porte sur les fonctions d'administration. Mais il fallait passer par ActiveSync, le logiciel de synchronisation avec Exchange qui permettait de gérer les politiques de sécurité et la protection du terminal. "Cette méthode est limitée. Par exemple, elle ne permet pas de remonter la configuration logicielle", affirme Benoit Lemaire (photo). En cause, l'absence d'API donnant accès à toutes les fonctions. "Les éditeurs comme Good Technology ou Sybase était obligés d'embarquer toutes les fonctionnalités dans une application, sorte de coffre-fort qui chiffrait les données et gérait l'e-mail, alors que les entreprises souhaitent sécuriser les applications standards", explique Jean-François Grang. Deuxième écueil : IOS était monotâche. "Il était donc impossible d'installer un agent tournant en tâche de fond", précise Jean-Luc Leverge, directeur commercial chez Sybase iAnywhere.

IOS 4.0 : enfin un contrôle total

Ces lacunes ont été comblées avec IOS 4.0, grâce au multitâche et au MDM (Mobile Device Management), un ensemble d'APIs qui permet d'administrer finement le terminal. Il devient ainsi possible de détecter des terminaux "jailbreakés", de voir les applications installées, de récupérer des informations sur le réseau 3G et désactiver le push mail en roaming, de réinitialiser à distance un mot de passe, d'interdire certaines fonctions et applications (caméra et capture d'écran, Safari, YouTube, App-Store) et de configurer le VPN, le Wi-Fi, les connexions LDAP, les préférences de sécurité de Safari ou les comptes e-mail. "On peut enfin contrôler entièrement à distance le terminal, en dehors du canal de push", résume Benoit Lemaire. À noter que le système Android embarque un MDM depuis très peu de temps (avec la version 2.2).

Une gestion possible sans outils tiers

Avant même MDM, la gestion à distance d'une flotte d'iPhones était possible avec les seuls outils d'Apple. Pour l'un de ses clients, Octo Technology procède ainsi : les iPhones sont préparés par une équipe qui les connecte à une machine via leur port USB et les configure, en créant et modifiant les profils grâce à iPhone Configuration Utility, l'utilitaire fourni par Apple. Pour les filiales distantes, les profils sont récupérés grâce à un message SMS qui envoie une URL pointant vers un site web distant ou le portail de l'entreprise. Avec MDM, les possibilités sont étendues mais le principe reste le même.

Des outils tiers en phase de transition

Octo Technology a donc jusqu'à présent travaillé sans produit tiers, estimant que l'offre restait immature. "Mais un outil évolué s'avère utile lorsque la flotte est hétérogène ou dépasse 50 terminaux. Cet outil peut arriver en cours de projet car il se contente d'automatiser ce qui était réalisé manuellement", explique Jean-François Grang (photo). Ces outils tiers ont été modifiés, ces derniers mois, pour supporter MDM. Avec Afaria, Sybase iAnywhere a conservé la même architecture consistant à déployer un agent sur chaque terminal. Ibelem a pour sa part lancé un outil sans agent, estimant que MDM est lui-même un agent embarqué dans l'iPhone. Quant à Everywan de Sparus, utilisé par Neurone-IT, il ne supporte pas encore MDM. "Apple a rattrapé une partie de son retard sur le BlackBerry, qui reste la référence en matière d'administration. Mais les éditeurs tiers tardent à suivre", note à ce sujet Matthias Rousseau, responsable de l'offre mobilité chez Neurones-IT.

Vers des App-Stores intra-entreprise

Afaria inaugure la possibilité de pousser des applications d'entreprises à partir d'un App-Store privé, plutôt que de passer par l'App-Store d'Apple. Mais il faut initialement installer l'agent sur chaque terminal, et cela n'est possible qu'à l'initiative de l'utilisateur. "Celui-ci doit aller le chercher sur l'App-Store public ou activer un lien envoyé par un SMS", explique Jean-Luc Leverge (photo). PushManager Suite d'Ibelem n'a certes pas besoin d'agent mais il ne permet pas encore de déployer des applications. "Nous lui ajouterons la gestion d'un App-Store privé qui permettra de choisir les applications que chaque utilisateur pourra télécharger", prévoit Benoit Lemaire. En attendant, il faudra encore passer par l'iPhone Configuration Utility et l'App-Store public.

Les principaux outils d'administration de smartphones