Infographique

9 fonctionnalités Knox qui protègent parfaitement votre smartphone à usage professionnel

Oct 30. 2017

9 fonctionnalités Knox qui protègent parfaitement votre smartphone à usage professionnel
Si vous en doutiez encore, le lancement du Galaxy S8 vous aura convaincu : un smartphone est un outil de travail à part entière, qui garantit flexibilité et productivité. Mais qu’en est-il de la sécurité ? Grâce à ces 9 fonctionnalités, vous confierez les données de votre entreprise aux appareils mobiles de vos collaborateurs en toute sérénité.

1. Des exigences strictes en matière de mots de passe
Vous déployez Knox Pemium pour gérer les smartphones de votre organisation ? Vous pouvez fixer des règles en matière de mots de passe à différents niveaux : pour accéder, d’une part, à l’appareil proprement dit et, d’autre part, au conteneur professionnel ou workspace. Voici quelques possibilités…

• Définissez les exigences formelles des mots de passe pour empêcher qu’on les pirate ou qu’on les devine : longueur minimale, proportion de chiffres, de majuscules et de minuscules…
• Configurez le verrouillage de l’appareil après une certaine période d’inactivité. Les utilisateurs ne pourront y accéder à nouveau qu’avec leur mot de passe.
• Assortissez le mot de passe d’un délai de validité. Passé ce délai, l’utilisateur devra remplacer son code.
• Choisissez d’afficher ou non le mot de passe en cours de saisie. Un mot de passe qui s’affiche s’avère pratique pour l’utilisateur, mais risqué pour les données de votre entreprise.
• Déterminez si les utilisateurs peuvent ouvrir l’appareil ou le workspace avec leur empreinte digitale ou non.
• Imposez une double authentification pour le workspace, par exemple l’association d’un mot de passe et d’une empreinte digitale.

2. Restriction du partage de données
Les données de votre entreprise sont en sécurité sur Knox Workspace. Et grâce à la prise en charge de plus de 600 stratégies informatiques et aux 1 800 API MDM, vous – l’administrateur – faites en sorte qu’elles le restent. Coup d’œil sur quelques exemples…

• Paramétrez le client de messagerie pour qu’il n’envoie que des e-mails chiffrés numériquement.
• Bloquez le partage de photos sur les médias sociaux au départ du conteneur.
• Empêchez les collaborateurs de copier des informations de l’environnement personnel sur l’espace professionnel – et inversement.
• Déterminez si les utilisateurs peuvent faire des captures d’écran dans le workspace sécurisé. Cette fonctionnalité est désactivée par défaut.
• Dressez une liste de sites web approuvés où les utilisateurs peuvent charger des documents. Le chargement sera alors uniquement possible sur les URL de cette liste.
Knox bloque systématiquement certaines actions pour des raisons de sécurité. Vous ne pouvez, par exemple, pas transférer de données de l’environnement Workspace sur une carte SD externe. Un collaborateur prend une photo sur l’espace professionnel ? Elle n’apparaîtra que dans la galerie du workspace. De quoi exclure tout risque de fuite de données par distraction ou imprudence.

3. L’iris : une clé fiable pour accéder à Workspace
Les nouvelles versions de Knox (2.7 et ultérieures) permettent aux utilisateurs d’ouvrir leur workspace via un scan de l’iris – du moins si le téléphone prend cette fonctionnalité en charge. Une excellente nouvelle, car l’authentification par empreintes digitales n’est pas infaillible.

Les empreintes digitales peuvent, en effet, être falsifiées. Qui plus est, les dessins du bout de vos doigts ne restent pas éternellement les mêmes : une blessure ou un travail manuel peuvent modifier vos empreintes. Votre iris est plus stable. Les cybercriminels ne sont pas encore parvenus à copier un iris.

4. Associez une connexion VPN à un serveur proxy HTTP
Plus vous lâchez du lest, plus vos collaborateurs sont productifs. C’est la raison pour laquelle de plus en plus d’entreprises encouragent le télétravail. Une connexion VPN est le moyen le plus couramment utilisé pour permettre un travail aussi fluide qu’au bureau – les collaborateurs peuvent, par exemple, accéder directement à toutes les données de l’entreprise.
Mais il y a un mais : un smartphone Android classique laisse à désirer quand il s’agit d’établir une connexion VPN avec un serveur proxy HTTP. Or de nombreuses entreprises utilisent ce genre de serveur pour surveiller et optimiser le trafic web sortant.
Knox garantit une interaction optimale entre un VPN et un proxy HTTP. De même qu’entre vos collaborateurs internes et externes : ils travaillent facilement et en toute sécurité sur un réseau dont vous gardez le contrôle.

5. Effacez toutes les données d’un appareil perdu ou volé
Lorsqu’un appareil tombe dans de mauvaises mains, l’administrateur IT peut supprimer à distance toutes les données du conteneur professionnel. Une suppression bien utile en cas de vol ou de perte de votre smartphone.
Les administrateurs IT peuvent également tracer et verrouiller des appareils via leur console MDM. L’appareil est finalement retrouvé et remis en service ? Le logiciel MDM se réinstalle automatiquement dès que l’appareil se connecte à un réseau Wi-Fi.

6. Contrôle de sécurité automatique au démarrage et à l’utilisation
Samsung Knox est une plateforme qui offre une sécurité intégrée. Cette sécurité commence au démarrage (boot) de l’appareil. Un contrôle du matériel est d’abord effectué – le Hardware Root of Trust. Secure Boot s’assure que les chargeurs de démarrage n’ont pas été modifiés et Trusted Boot que toutes les mises à jour ont été effectuées.
Grâce à ces opérations successives, l’appareil vérifie que son logiciel de sécurité Knox n’a pas été compromis. Si tel était le cas, un hacker aurait le champ libre.
Pendant l’utilisation de l’appareil (runtime), Periodic Kernel Measurement et Real-time Kernel Protection détectent les activités suspectes – par exemple une instruction du kernel qui pose un problème de sécurité. Et comme à la phase de démarrage, si Knox constate une atteinte à la sécurité, l’appareil est bloqué sur-le-champ.

7. Geofencing : une barrière virtuelle autour des appareils mobiles
L’administrateur IT peut établir un périmètre géographique, ou geofence. Il peut alors déterminer si un appareil se trouve à l’intérieur ou à l’extérieur de la zone délimitée et soumettre automatiquement l’appareil à des politiques préalablement définies. Quelques exemples…

• Vous désactivez la fonction caméra dans des zones spécifiques pour éviter que les utilisateurs prennent des photos sans autorisation et emportent des informations confidentielles à l’extérieur.
• Vous empêchez le passage automatique en mode « écran verrouillé » au sein de l’environnement professionnel sécurisé. Vous dopez ainsi la productivité de vos collaborateurs.
• Vous faites en sorte que les appareils qui se trouvent hors du périmètre n’aient pas accès au réseau de l’entreprise. De quoi protéger vos données sensibles.

8. Data Loss Prevention (DLP) : protection des données sensibles
Avec les services basés dans le cloud et les téléphones mobiles, les données professionnelles circulent hors des murs de l’entreprise, ce qui accroît le risque de fuite de données. Certaines informations sont, bien sûr, plus confidentielles que d’autres. C’est pourquoi vous pouvez, depuis Knox 2.6, classer les données et les gérer sur la base de leurs exigences en termes de sécurité et de sensibilité.
Pour ce faire, activez Data Loss Prevention (DLP) et sélectionnez les applis qui peuvent ouvrir ou créer des données sensibles. Ces données sont baptisées « DLP content ». Vous voulez encore plus de sécurité ?
• Accroissez encore la sécurité en fixant un délai de validité. Le DLP content disparaîtra automatiquement de l’appareil à l’issue de ce délai.
• Imposez des restrictions sur les données sensibles au niveau du réseau et du presse-papiers.

9. Conservez les clés de chiffrement et de déchiffrement en lieu sûr
Les données sensibles sont chiffrées pour rester à l’abri des regards indiscrets (chiffrement). Elles sont décodées pour que les collaborateurs autorisés puissent les utiliser (déchiffrement). Grâce à la TrustZone d’ARM, les clés de cryptographie ne sont pas à la portée de tous.
La solution repose sur une séparation entre le Normal World peu sécurisé et le Secure World hautement surveillé. Par défaut, presque tous les logiciels de smartphone tournent dans le Normal World. Le Secure World est spécialement destiné aux calculs cruciaux et aux données confidentielles.
Dans le Normal World, un hacker pourrait retrouver les codes de chiffrement en accédant au magasin de clés (KeyStore). Dans le Secure World de TrustZone, c’est impossible, grâce au magasin de clés TIMA.

Les fonctionnalités Knox protègent l’entreprise et la vie privée des collaborateurs
La TrustZone d’ARM et les autres fonctionnalités décrites dans cet article arment efficacement votre entreprise contre les fuites de données et les logiciels malveillants. Elles protègent aussi la vie privée des collaborateurs : ils ont la certitude que leur employeur ne regarde pas leurs photos et leurs e-mails personnels. Tout le monde est tranquille !

En savoir plus sur la sécurité offerte par Samsung Knox ?
Découvrez les fonctionnalités ainsi que des études de cas sur www.samsung.com/be_fr/knox.