Le développement rapide de l'électronique portable, et en particulier des smartphones et tablettes, a créé une multitude de nouveaux défis pour la sécurité des informations d'entreprise. En effet, si toute la cybersécurité était basée sur la création d'un périmètre sécurisé et sa protection ultérieure, maintenant que presque chaque employé utilise ses propres appareils mobiles pour résoudre des tâches de travail, il est devenu très difficile de contrôler le périmètre de sécurité. Cela est particulièrement vrai pour les grandes entreprises dans lesquelles chaque employé a un nom d'utilisateur et un mot de passe provenant de la messagerie électronique et d'autres ressources d'entreprise. Souvent, lors de l'achat d'un nouveau smartphone ou d'une nouvelle tablette, un employé de l'entreprise entre ses informations d'identification dessus, oubliant souvent de se déconnecter de l'ancien appareil. Même s'il n'y a que 5% de ces employés irresponsables dans l'entreprise, sans un contrôle approprié par l'administrateur, la situation avec l'accès des appareils mobiles au serveur de messagerie se transforme très rapidement en un véritable gâchis.
De plus, les appareils mobiles sont souvent perdus ou volés et utilisés par la suite pour rechercher des informations compromettantes, ainsi que l'accès aux ressources et aux données de l'entreprise représentant un secret commercial. En règle générale, la cybersécurité de l'entreprise est plus nuisible si un attaquant accède au courrier électronique d'un employé. Grâce à cela, ils peuvent accéder à la liste globale des adresses et contacts, au calendrier des réunions auxquelles l'employé malchanceux devrait participer, ainsi qu'à sa correspondance. De plus, les attaquants ayant accès au courrier de l'entreprise pourront envoyer des messages de phishing ou infectés par des logiciels malveillants à partir d'une adresse e-mail de confiance. Tout cela ensemble offre aux attaquants des possibilités pratiquement illimitées de mener des cyberattaques, ainsi que d'utiliser l'ingénierie sociale pour atteindre leurs objectifs.
Afin de surveiller les appareils mobiles inclus dans le périmètre de sécurité, il existe la technologie ABQ, ou Autoriser / Bloquer / Quarantaine. Il permet à l'administrateur de contrôler la liste des appareils mobiles autorisés à synchroniser les données avec le serveur de messagerie et, si nécessaire, à bloquer les appareils compromis et à mettre en quarantaine les appareils mobiles suspects.
Cependant, comme tout administrateur de la version gratuite de Zimbra Collaboration Suite Open-Source Edition le sait, son interaction avec les appareils mobiles est très limitée. À strictement parler, les utilisateurs de la version gratuite de Zimbra ne peuvent recevoir et envoyer des e-mails qu'en utilisant le protocole POP3 ou IMAP, sans avoir la capacité intégrée de synchroniser les données de l'agenda, des carnets d'adresses et des notes avec le serveur. Non implémenté dans la version gratuite de Zimbra Collaboration Suite et de la technologie ABQ, qui met automatiquement fin à toutes les tentatives de création d'un périmètre d'informations fermé dans l'entreprise. Dans les conditions où l'administrateur ne sait pas quels appareils sont connectés à son serveur, des fuites d'informations peuvent apparaître dans l'entreprise et la probabilité de mener une cyberattaque selon le scénario décrit ci-dessus augmente fortement.
L'extension modulaire Zextras Mobile aidera à résoudre ce problème dans l'édition Open Source de Zimbra Collaboration Suite. Cette extension vous permet d'ajouter une prise en charge complète du protocole ActiveSync à la version gratuite de Zimbra et, grâce à cela, elle ouvre de nombreuses possibilités d'interaction entre les appareils mobiles et votre serveur de messagerie. Entre autres fonctions diverses, l'extension Zextras Mobile fournit un support complet pour ABQ.
Nous vous avertissons immédiatement qu'étant donné qu'un ABQ mal configuré peut empêcher certains utilisateurs de synchroniser les données de leurs appareils mobiles avec le serveur, vous devez aborder la question de leur configuration avec le plus grand soin et prudence. La configuration d'ABQ se fait à partir de la ligne de commande Zextras. C'est sur la ligne de commande que le mode de fonctionnement ABQ dans Zimbra est configuré, et les listes d'appareils sont également gérées.
Il est implémenté comme suit: après qu'un utilisateur se connecte au courrier d'entreprise sur un appareil mobile, il envoie des données d'autorisation au serveur, ainsi que les informations d'identification de son appareil, qui rencontrent un obstacle sous la forme d'ABQ, qui analyse les informations d'identification et les compare avec celles qui figurent sur la liste des appareils autorisés, mis en quarantaine et bloqués. Si l'appareil ne figure dans aucune des listes, ABQ agit avec lui en fonction du mode dans lequel il fonctionne.
L'ABQ de Zimbra propose trois modes de fonctionnement:
Permissif : Dans ce mode de fonctionnement, après l'authentification de l'utilisateur, la synchronisation est effectuée automatiquement à la première demande d'un appareil mobile. Dans ce mode de fonctionnement, il est possible de bloquer des appareils individuels, mais tout le monde pourra synchroniser librement les données avec le serveur.
Interactif : dans ce mode de fonctionnement, immédiatement après l'authentification de l'utilisateur, le système de sécurité demande les données d'identification de l'appareil et les compare avec la liste des appareils autorisés. Si le périphérique est répertorié comme autorisé, la synchronisation se poursuit automatiquement. Si ce périphérique ne figure pas dans la «liste blanche», il sera automatiquement mis en quarantaine afin que l'administrateur puisse décider ultérieurement d'autoriser ce périphérique à se synchroniser avec le serveur ou de le bloquer. Dans ce cas, l'utilisateur recevra une notification. L'information de l'administrateur se produit régulièrement, une fois dans une période de temps configurable. Dans ce cas, chaque nouvelle notification ne contiendra que de nouveaux appareils mis en quarantaine.
Strict : Dans ce mode de fonctionnement, après l'authentification de l'utilisateur, une vérification est immédiatement effectuée pour vérifier que les données d'identification de l'appareil figurent dans la liste autorisée. Dans le cas où il y apparaît, la synchronisation se poursuit automatiquement. Dans le cas où l'appareil ne figure pas dans la liste des autorisés, il tombe immédiatement dans la liste des bloqués, et l'utilisateur reçoit une notification par mail.
De plus, si vous le souhaitez, l'administrateur Zimbra peut désactiver complètement ABQ sur son serveur de messagerie.
Le réglage du mode de fonctionnement ABQ s'effectue à l'aide des commandes:
zxsuite config global set attribute abqMode value Permissive
zxsuite config global set attribute abqMode value Interactive
zxsuite config global set attribute abqMode value Strict
zxsuite config global set attribute abqMode value Disabled
Vous pouvez découvrir le mode ABQ actuel à l'aide de la commande
zxsuite config global get attribute abqMode .
Si vous utilisez des modes ABQ interactifs ou stricts, vous devez souvent travailler avec des listes de périphériques autorisés et bloqués, ainsi que des périphériques en quarantaine. Supposons que deux appareils soient connectés à notre serveur: un iPhone et un Android avec les données d'identification correspondantes. Plus tard, il s'avère que le PDG de l'entreprise a acquis l'iPhone l'autre jour et a décidé de travailler avec du courrier dessus, et Android appartient au gestionnaire habituel, qui n'a pas le droit d'utiliser le courrier professionnel sur un smartphone pour des raisons de sécurité.
Dans le cas du mode interactif, tous seront mis en quarantaine, d'où l'administrateur devra transférer l'iPhone à la liste des appareils autorisés et Android à la liste des appareils bloqués. Pour ce faire, il utilise les commandes
zxsuite mobile abq autoriser iPhone et
zxsuite mobile abq bloquer Android . Après cela, le PDG sera en mesure de travailler pleinement avec le courrier de ses appareils, tandis que le gestionnaire devra toujours le visualiser exclusivement à partir d'un ordinateur portable professionnel.
Il convient de noter qu'en utilisant le mode interactif, même si le gestionnaire de son appareil Android saisit correctement son nom d'utilisateur et son mot de passe, il n'aura toujours pas accès à son compte, mais se rendra dans une boîte aux lettres virtuelle dans laquelle il recevra une notification son appareil a été mis en quarantaine et il ne pourra pas utiliser son courrier.
Dans le cas du mode strict, tous les nouveaux appareils seront bloqués et une fois qu'il sera clair à qui ils appartenaient, l'administrateur n'aura qu'à ajouter le PDG à la liste des appareils iPhone autorisés à l'aide de la commande
zxsuite mobile ABQ set iPhone Allowed , en laissant le numéro de téléphone du gestionnaire.
Le mode de fonctionnement permissif est mal compatible avec toutes les règles de sécurité de l'entreprise, cependant, si vous devez toujours bloquer l'un des appareils mobiles autorisés, par exemple, si le gestionnaire se
ferme soudainement avec un scandale, vous pouvez le faire en utilisant la commande
zxsuite mobile ABQ set Android BloquéDans le cas où les employés reçoivent des gadgets de bureau pour travailler avec le courrier, la prochaine fois que le propriétaire change, le périphérique peut être complètement supprimé des listes ABQ, afin de décider ultérieurement de l'autoriser ou non à se synchroniser avec le serveur. Pour ce faire, utilisez la commande
zxsuite mobile ABQ delete Android .
Ainsi, comme vous pouvez le voir, en utilisant l'extension Zextras Mobile à Zimbra, vous pouvez implémenter un système de contrôle très flexible pour les appareils mobiles utilisés, adapté aux entreprises ayant des politiques assez strictes concernant l'utilisation des ressources de l'entreprise en dehors du bureau, ainsi que pour les entreprises qui sont assez libérales dans ce plan.
Pour toutes questions relatives à la Suite Zextras, vous pouvez contacter le représentant de Zextras Katerina Triandafilidi par e-mail katerina@zextras.com