Sécurité mobile : Samsung KNOX évolue avec le BYOD
Dédiée à la gestion de la mobilité en entreprise, la solution Samsung KNOX a mûri en un peu plus d’un an d’exploitation commerciale. Tour d’horizon de l’offre actuelle.
Interfaçage avec les solutions MDM* tierces, ouverture aux terminaux iOS, prise en charge de nouvelles méthodes d’authentification, offre spécialisée à destination des intégrateurs système, certification par le ministère américain de la Défense : KNOX a mûri en un peu plus d’un an sur le marché.
Samsung est à l’origine de cette solution de gestion sécurisée de la mobilité en entreprise axée sur le BYOD (acronyme de l’expression « Bring your own device » ou comment j’exploite mes terminaux numériques individuels sur mon lieu de travail).
Hier, à l’occasion d’un point presse de la division BtoB de Samsung France sur les nouvelles solutions destinées aux entreprises, ses représentants ont mis l’accent sur KNOX apparue en février 2013 dans le cadre du Mobile World Congress.
Mais il avait fallu attendre l’été pour la disponibilité générale d’une première version stable. Depuis lors, une deuxième mouture majeure a été lancée (en mai 2014), mais le principe fondateur n’a pas changé : séparer strictement les données professionnelles des usages personnels afin d’éviter les risques de sécurité liés à l’éventuelle interférence des deux univers.
Par opposition aux services qui se concentrent essentiellement sur la couche logicielle, KNOX est conçu pour apporter une cohérence au niveau du hardware, en premier lieu par une surveillance accrue des interfaces de communication en entrée-sortie. Dans plusieurs terminaux Samsung, une partie du code est implantée à même le silicium. Ce qui assure une protection active dès le démarrage de l’appareil, avant même l’amorçage du système d’exploitation.
Plus qu’un produit, KNOX est une plate-forme déclinée en plusieurs offres.
En tête de catalogue, on retrouve My KNOX, dédié à la mobilité individuelle. Un objectif pour ce service gratuit compatible uniquement avec le smartphone Galaxy S5 : permettre aux professionnels de sécuriser leurs appareils sont avoir à faire intervenir le service informatique.
Fichiers et données sont chiffrés et stockés dans un conteneur auquel seul le personnel autorisé peut accéder. Quant aux applications, elle ne peuvent accéder qu’à certaines ressources de l’appareil.
Cet environnement Android virtuel dispose de son propre écran d’accueil, de son lanceur d’applications et de ses widgets. Le portail d’administration en ligne auquel se connecte l’utilisateur permet notamment de localiser le smartphone à distance, d’en effacer les données ou encore de le verrouiller… intégralement ou partiellement.
Dans ce dernier cas, seul My KNOX est condamné : aucune tentative de déverrouillage n’est alors acceptée tant que le blocage n’est pas désactivé depuis le portail.
Les PME, première cible clientèle
Pour les responsables de la sécurité mobile en PME amenés à gérer des appareils Android et qui penchent pour une solution MDM hébergée dans le cloud (dans des data centers « situés en Europe »), il existe KNOX Express.
Cette offre rassemble Knox Workspace pour la sécurité de l’appareil et Knox EMM pour les fonctionnalités MDM. Sur le même principe que My KNOX, elle permet de créer un environnement personnalisé… mais sur tous les appareils de l’entreprise, avec les responsables informatiques à la baguette.
Les utilisateurs peuvent tout de même gérer certaines fonctionnalités de leurs appareils via un portail dédié et ajouter des applications approuvées au préalable par le service informatique, lequel dispose d’un guichet dédié : la KNOX Marketplace, où l’on trouve un éventail de solutions business. Samsung a aussi ouvert un site Web pour faciliter l’achat de licences et d’applications métier sous forme d’offres associées (bundles).
Proposé à partir de 3,60 dollars annuels par porte, KNOX Workspace est intégré au terminal, protégé du matériel aux applications via Trusted Boot et l’architecture ARM TIMA (« TrustZone-based Integrity Measurement Architecture »). Samsung assure la prise en charge de l’authentification par empreintes digitales sur les appareils compatibles.
Intégrable dans les principaux systèmes MDM (Good Technology, AirWatch, MobileIron…), VPN et Exchange ActiveSync existants, KNOX Workspace est aussi compatible avec KNOX EMM (à partir d’un dollar par poste et par mois).
Cette console d’administration centralisée dans le cloud – et dont la disponibilité en France est prévue pour début novembre – permet de gérer les produits Samsung avec « plus de 500 stratégies informatiques […] et plus de 1100 API MDM ».
Elle permet notamment d’attribuer à distance des applications aux utilisateurs et de créer des listes blanches ou noires… le tout sur des appareils Apple (iOS 6 et versions ultérieures) et Android (à partir de la version 4.0 « Ice Cream Sandwich »). L’utilisation commerciale est gratuite à condition de répondre à une enquête et de consentir à recevoir des informations de la part de Samsung.
Le socle de KNOX Express est repris dans KNOX Premium, qui ajoute un accès en 24/7 à l’assistance technique, la gestion des applications mobiles (MAM), la prise en charge de Microsoft Active Directory, davantage de stratégies iOS et la possibilité d’activer le Play Store (avec une licence Workspace). Samsung propose aussi KNOX Customization aux intégrateurs système qui souhaitent déployer des solutions spécialisées destinées à leurs clients BtoB.
Déployé progressivement sur les terminaux Samsung en fonction des mises à jour des OS mobiles, KNOX 2.0 apporte aussi la gestion des conteneurs multiples au sein d’un même appareil. Pratique pour les utilisateurs ayant deux emplois séparés, comme un médecin exerçant une activité libérale en plus de son poste dans un hôpital.
*Mobile Device Management (MDM) ou gestion de terminaux mobiles
—— A voir aussi ——
Quiz ITespresso.fr : avez-vous suivi la guerre Apple/Samsung ?
Crédit photo : wk1003mike – Shutterstock.com