Les applications sont le nouveau point de terminaison — et dans de nombreux cas, la perte de données ne nécessite pas de compromission de l'appareil, mais simplement une action de copier-coller dans la mauvaise application.
Dans un monde où le BYOD est la norme et où le travail hybride est voué à perdurer, les entreprises sont confrontées à un risque caché : l'accès aux données de l'entreprise par des applications non gérées. Qu'il s'agisse d'applications de messagerie personnelles synchronisant des pièces jointes professionnelles ou d'outils tiers malveillants stockant des données clients, le shadow IT et les fuites de données sont désormais des préoccupations majeures.
Selon l'indice de sécurité mobile 2024 de Verizon, 51 % des organisations ont connu des incidents liés aux applications mobiles La cause profonde ? Des données d'entreprise non protégées circulent via des applications non sécurisées, notamment sur des appareils personnels ou partiellement gérés. Ces applications deviennent vulnérables aux logiciels malveillants ou aux vulnérabilités non corrigées.
C'est là qu'interviennent les politiques de protection des applications (APP).
Que sont les règles de protection des applications ?
Selon Microsoft Intune, Politiques de protection des applications Les (APP) sont des règles qui garantissent la protection des données d'entreprise au sein des applications gérées. Ces politiques sont déclenchées lorsque les utilisateurs tentent d'accéder, de déplacer ou de partager des données professionnelles au sein d'une application, notamment sur BYOD ou des appareils non gérés.
En termes simples, les politiques de protection des applications Microsoft permettent aux équipes informatiques de contrôler l'accès et le traitement des données professionnelles dans les applications mobiles ou de bureau, sans nécessairement imposer une gestion complète des appareils. Ceci est particulièrement utile dans les situations où des profils personnels et professionnels cohabitent, comme un compte de messagerie professionnel utilisé sur un téléphone personnel ou l'accès à des fichiers internes via les applications Microsoft 365 sur un ordinateur personnel.
Ces contrôles de protection intégrés à l'application peuvent restreindre les actions sur les données au niveau de la couche applicative, notamment :
- Exiger un code PIN, une biométrie ou un cryptage de l'appareil avant d'accéder aux e-mails ou aux documents de l'entreprise
- Blocage du copier-coller entre les applications professionnelles et les applications personnelles
- Empêcher l'enregistrement de fichiers dans des applications de stockage cloud ou des dossiers locaux non autorisés
- Restreindre l'accès au contenu sensible, sauf si l'application est répertoriée comme « approuvée » par le service informatique
En substance, les politiques de protection des applications offrent une limite de sécurité aux données, et non à l'appareil. Elles sont particulièrement efficaces pour appliquer les politiques de protection des applications Windows dans les équipes décentralisées où la propriété des appareils est mixte.
En mettant en œuvre ces politiques, les équipes informatiques peuvent faire respecter protection des données sans compromettre la confidentialité des utilisateurs, permettant ainsi un accès flexible et conforme dans les environnements de travail modernes.
Comprendre le cadre des politiques de protection des applications
Les politiques de protection des applications (APP) sont conçues dans un souci d'évolutivité et de sécurité. Le framework APP de Microsoft propose trois niveaux de protection adaptés aux différents profils de risque des entreprises, tout en offrant une prise en charge cohérente des politiques sur les plateformes iOS et Android.
1. Compatibilité multiplateforme
Que votre organisation gère des iPhones, des appareils Android ou une combinaison des deux, les politiques de protection des applications Microsoft garantissent des résultats de sécurité cohérents. Cela permet aux administrateurs informatiques d'appliquer une protection intégrée aux applications métier critiques, telles que Microsoft Outlook ou Teams, quels que soient le propriétaire de l'appareil ou la plateforme.
2. Le modèle de configuration APP à trois niveaux
Pour aider les organisations à mettre en œuvre des politiques de protection des applications basées sur la tolérance au risque et les besoins de conformité, Microsoft définit trois niveaux de politique distincts :
a. Niveau 1 : Protection de base des données de l'entreprise
Il s’agit de la recommandation de base de Microsoft pour la plupart des organisations, offrant des garanties fondamentales sans impacter fortement l’expérience utilisateur.
Les principales caractéristiques comprennent:
- Protection par code PIN et cryptage des données au niveau de l'application.
- Effacement sélectif pour supprimer les données de l'entreprise sans affecter le contenu personnel.
- Attestation d'appareil Android pour valider l'intégrité de l'appareil et empêcher toute falsification.
Ce niveau est idéal pour les déploiements à usage général où la sensibilité des données est modérée et la diversité des appareils est élevée.
b. Niveau 2 : Protection des données renforcée par l'entreprise
Destiné aux utilisateurs qui manipulent régulièrement des informations confidentielles ou réglementées, ce niveau ajoute Prévention de perte de données (DLP) des fonctionnalités qui imposent des limites plus strictes entre les applications professionnelles et personnelles.
Les contrôles améliorés incluent :
- Blocage du partage de données entre les applications gérées (d'entreprise) et non gérées (personnelles)
- Restreindre les emplacements de sauvegarde des fichiers de travail
- Empêcher les sauvegardes vers des services cloud non autorisés
- Application d'un accès conditionnel spécifique à l'application
Bien que ces mesures renforcent la sécurité, elles peuvent introduire des frictions mineures, comme une interopérabilité limitée des applications, ce qui constitue un compromis équitable pour sécuriser les données de grande valeur.
c. Niveau 3 : Protection élevée des données de l'entreprise
Conçu pour les utilisateurs à haut risque et les organisations privilégiant la sécurité, ce niveau est idéal pour les services financiers, les soins de santé, le gouvernement ou tout secteur où un accès non autorisé peut entraîner des pertes matérielles ou des atteintes à la réputation.
Les mécanismes avancés comprennent :
- Défense contre les menaces mobiles (MTD) intégration pour détecter les menaces telles que les logiciels malveillants, le jailbreak/root, les tentatives de phishing ou les réseaux non sécurisés.
- Contrôles d'accès contextuels, tels que le blocage de l'accès si l'appareil est jailbreaké ou utilise un Wi-Fi non sécurisé.
- Politiques PIN avancées, y compris l'application biométrique, l'expiration du PIN et les limites de nouvelle tentative.
- Intégrité des applications et détection des menaces d'exécution.
Il est fortement recommandé aux organisations victimes d'attaques ciblées ou opérant dans des secteurs sensibles d'adopter ce niveau. L'adoption de l'un de ces trois niveaux permet aux organisations d'adapter en toute confiance leurs politiques de protection des applications à tous les appareils et plateformes, tout en équilibrant l'expérience utilisateur, la posture de risque et les obligations de conformité.
Comment configurer les politiques de protection des applications (APP) avec Scalefusion
Pré-requis :
a. Assurez-vous de posséder l’une des licences requises suivantes :
- Microsoft 365 E5/E3
- Mobilité d'entreprise + Sécurité E5/E3
- Microsoft 365 Entreprise Premium
- Microsoft 365 F1/F3
- Microsoft 365 Gouvernement G5/G3
b. Vous devez disposer d’un compte Office 365 avec des privilèges administratifs pour accorder à Scalefusion les autorisations nécessaires.
Remarque: Scalefusion prend actuellement en charge les politiques de protection contre la perte de données (DLP) pour :
- Microsoft Outlook
- Microsoft OneNote
- Microsoft Excel
- Microsoft PowerPoint
- Microsoft Word
Configuration étape par étape
Étape 1 : Connectez-vous à Scalefusion avec un compte administrateur Office 365
- Accédez au tableau de bord Scalefusion.
- Utilisez vos informations d’identification d’administrateur Office 365 pour vous connecter.
Étape 2 : Accéder aux politiques d'Office 365
- Dans le tableau de bord, accédez à Profil et politiques de l’appareil.
- Cliquez sur Politiques Office 365.
Étape 3 : Autoriser Scalefusion à gérer les politiques Intune
- Cliquez sur le bouton AUTORISER.
- Lorsque vous y êtes invité, accordez à Scalefusion les autorisations requises pour gérer les stratégies de protection Intune au nom de votre organisation.
Étape 4 : Configurer les politiques de protection contre la perte de données
- Une fois autorisé, vous pouvez créer et gérer des politiques DLP directement depuis le tableau de bord Scalefusion.
- Définissez des politiques qui contrôlent le partage de données, telles que la restriction des fonctions copier-coller, l’application du chiffrement et la définition des exigences d’accès.
Étape 5 : Attribuer des politiques aux groupes d'utilisateurs
- Attribuez les politiques configurées à des groupes d’utilisateurs ou à des appareils spécifiques selon vos besoins.
- Assurez-vous que les applications ciblées sont installées sur les appareils des utilisateurs.
Étape 6 : Surveiller et gérer les politiques
- Utilisez le tableau de bord Scalefusion pour surveiller le déploiement et l’efficacité des politiques.
- Apportez les ajustements nécessaires pour vous aligner sur les exigences organisationnelles.
En suivant ces étapes, les organisations peuvent mettre en œuvre efficacement des politiques de protection des applications sur l’ensemble de leur parc d’appareils, garantissant ainsi la sécurité et la conformité des données sans compromettre la productivité des utilisateurs.
| Pour des conseils détaillés, reportez-vous à la documentation officielle de Scalefusion : Politiques de protection des applications Intune. |
Avantages de l'utilisation de politiques de protection des applications
Les politiques de protection des applications offrent une approche ciblée pour sécuriser les données d'entreprise au sein d'applications spécifiques, garantissant ainsi leur sécurité, même sur des appareils non gérés ou personnels. Cette protection ciblée réduit le risque de fuite de données tout en préservant la flexibilité des utilisateurs.
a. Protection des données au niveau de l'application
Contrairement aux politiques au niveau de l'appareil, les politiques de protection des applications s'appliquent directement aux applications. Cela garantit la protection des données sensibles dans des applications comme Outlook, Teams ou OneDrive, sans nécessiter de contrôle sur l'ensemble de l'appareil. Exemple : le smartphone personnel d'un utilisateur peut accéder aux e-mails professionnels via Outlook, mais les actions telles que copier/coller et la sauvegarde des données sont limitées par la politique.
b. Confinement spécifique à la plateforme
- Sur Android : les politiques de protection des applications s'appliquent aux applications à l'intérieur du Profil de travail, créant un conteneur sécurisé pour les applications d'entreprise.
- Sur iOS : les politiques s’appliquent aux applications accessibles via un Identifiant Apple géré, sécurisant les données de l'entreprise sans interférer avec les applications personnelles.
Cela garantit la protection intégrée à l'application et la gouvernance des données, quelle que soit la plate-forme.
c. Contrôle étendu grâce à l'intégration UEM
Lorsqu'elles sont intégrées à une solution UEM comme Scalefusion, les politiques de protection des applications offrent un contrôle amélioré :
- Les équipes informatiques ne peuvent déployer que des applications approuvées, atténuant ainsi les risques liés à l’informatique fantôme.
- Les tableaux de bord centralisés permettent une application cohérente sur toutes les plateformes, y compris les politiques de protection des applications Windows.
- Intégration avec systèmes de gestion d'identité comme Azure AD permet des politiques d’accès conditionnel basées sur la posture de l’application, de l’utilisateur ou de l’appareil.
L'intégration des politiques de protection des applications Microsoft à une solution UEM offre aux organisations un meilleur contrôle et une meilleure sécurité sur les applications mobiles, garantissant que les données de l'entreprise restent protégées, quel que soit l'appareil ou la plate-forme.
Pourquoi configurer des applications via Scalefusion UEM ?
Comparaison : configuration manuelle et configuration basée sur UEM
| Fonctionnalité | Configuration manuelle | Configuration basée sur UEM |
| L'application de la politique | Limité à la gestion au niveau de l'appareil | Centralisé sur toutes les plateformes |
| Cohérence entre les appareils | Difficile d'appliquer des politiques uniformes | Application cohérente sur Android, iOS et Windows |
| Contrôle des appareils non gérés | Limité ou inexistant | Contrôle total grâce aux politiques de protection des applications |
| Suivi de la conformité | Audits et suivis manuels | Pistes d'audit automatisées pour la conformité |
| Accès conditionnel | Non disponible ou difficile à mettre en œuvre | Intégration transparente avec la gestion de la posture des appareils |
La gestion des applications sur plusieurs appareils et plateformes peut rapidement devenir chaotique sans une approche unifiée. Scalefusion UEM offre une plateforme centralisée pour la gestion des applications, garantissant des politiques de sécurité cohérentes et une conformité transparente sur l'ensemble de votre parc d'appareils, qu'ils soient d'entreprise ou BYOD.
1. Contrôle centralisé sur toutes les plateformes : Avec Scalefusion UEM, les administrateurs informatiques peuvent gérer les applications sur toutes les principales plateformes (Android, iOS et Windows) depuis une console unique. Cette unification simplifie le processus et facilite l'application de politiques de protection des applications cohérentes sur différents appareils.
2. Application cohérente des politiques sur les appareils non gérés/BYOD : Lorsque les applications sont configurées via une solution UEM, les politiques sont appliquées même sur les appareils BYOD. Cela garantit la sécurité des données de l'entreprise, que l'appareil soit géré ou non par le service informatique.
3. Visibilité et piste d’audit pour la conformité : Scalefusion UEM offre une visibilité détaillée sur l'activité des applications et l'application des politiques. Cela facilite le suivi de la conformité aux réglementations sectorielles et aux normes de sécurité internes. Grâce à une piste d'audit intégrée, les entreprises peuvent s'assurer que leurs processus de gestion des applications respectent les exigences de conformité.
4. Prend en charge l'accès conditionnel en fonction de la position de l'appareil : L'utilisation d'une solution UEM comme Scalefusion permet de mettre en place des politiques d'accès conditionnel, garantissant que seuls les appareils conformes peuvent accéder aux applications et aux données de l'entreprise. Cela garantit le respect des protocoles de sécurité et l'accès aux données sensibles uniquement depuis des appareils sécurisés.
Enfin, Scalefusion UEM aide les organisations à garantir un niveau plus élevé de cohérence, de sécurité et de conformité, offrant un meilleur contrôle et une meilleure visibilité sur les applications de l'entreprise.
Protégez vos applications et sécurisez vos données avec Scalefusion UEM
Les applications devenant de nouveaux terminaux, leur protection n'est plus une option. Dans un environnement où les données circulent entre appareils, plateformes et réseaux, garantir la sécurité des informations de l'entreprise ne se limite pas à la gestion des appareils : il faut une protection stratégique des applications.
Avec Scalefusion UEMLes organisations peuvent configurer en toute transparence les stratégies de protection des applications de Microsoft Intune et les intégrer à la gestion des appareils. Cette approche garantit l'application uniforme des stratégies sur tous les appareils mobiles, quel que soit leur propriétaire, offrant un accès contextuel et une visibilité renforcée sur la conformité, le tout géré depuis une console unique.
Lorsque les données se déplacent plus rapidement que les appareils, votre stratégie de protection doit en faire autant.
Pour en savoir plus, contactez nos experts et planifiez une démo.
Inscrivez-vous maintenant pour un essai gratuit de 14 jours.
Références:
1. Rapport sur l'indice de sécurité mobile Verizon 2024
FAQ
1. La protection des applications doit-elle être activée ou désactivée ?
La protection des applications doit toujours être activée dans les environnements de travail où des données d'entreprise sensibles sont accessibles via des applications mobiles ou de bureau. L'activation de la protection des applications garantit l'application active des politiques de sécurité telles que le chiffrement des données, les restrictions de copier-coller et les exigences de connexion dans les applications professionnelles comme Outlook ou Teams.
2. Quelle est la différence entre la gestion des applications mobiles et la politique de protection des applications ?
La gestion des applications mobiles (MAM) désigne le processus plus large de gestion et de contrôle des applications sur les appareils mobiles, incluant des tâches telles que le déploiement, la mise à jour ou l'effacement des données de l'entreprise si nécessaire. Les politiques de protection des applications (APP), quant à elles, sont une fonctionnalité spécifique de la MAM qui se concentre uniquement sur la sécurisation des données internes aux applications, et non sur les applications elles-mêmes ou l'appareil. Ainsi, alors que la MAM couvre l'intégralité du cycle de vie des applications, l'APP se concentre sur la protection des données internes à ces applications.
