Apportez votre propre téléphone à un (nouveau) emploi: conséquences?
Je commence un nouvel emploi et j'ai le choix de recevoir un téléphone de l'entreprise ou d'apporter le mien. J'envisage d'utiliser mon propre téléphone, pour éviter d'avoir un appareil supplémentaire, mais je veux mieux comprendre les conséquences de cette décision.
J'ai un iPhone. Un plus récent avec iOS 8. Je resterai avec mon opérateur sans fil actuel.
Je comprends qu'ils peuvent effacer à distance mon téléphone après avoir quitté l'entreprise (ou s'il est perdu ou volé), et je suis d'accord, car j'ai déjà sauvegardé toutes les applications importantes.
J'ai trouvé cet Apple concernant iPhones d'entreprise , qui déclare que ces choses spécifiques peuvent et ne peuvent pas être observées par la société:
Exemples de ce qu'un serveur de gestion tiers peut et ne peut pas voir sur un appareil iOS personnel.
MDM peut voir:
- Nom de l'appareil
- Numéro de téléphone
- Numéro de série
- Nom et numéro de modèle
- Capacité et espace disponibles
- numéro de version iOS
- Applications installées
MDM ne peut pas voir:
- Courrier personnel, calendriers et contacts
- SMS ou iMessages
- Historique du navigateur Safari
- FaceTime ou journaux d'appels téléphoniques
- Rappels et notes personnels
- Fréquence de toute utilisation
- Emplacement de l'appareil
(MDM est Gestion des appareils mobiles )
Mais je ne sais pas si cela s'applique à tous les iPhones dans toutes les entreprises.
Préoccupations/questions
- Comment cela se fait-il exactement? Ils configurent simplement quelque chose dans les paramètres, et je fournis mon mot de passe d'écran de verrouillage pour leur donner la permission?
- Est-ce qu'un de mes comportements ou données, en dehors des applications fournies par l'entreprise, peut être observé?
- Quelles applications ou utilitaires de "niveau racine" puis-je m'attendre à avoir installés?
- Des restrictions seront-elles imposées sur la façon dont je peux utiliser mon téléphone ou sur les applications que je peux installer?
- Y a-t-il autre chose dont je dois être conscient?
J'ai trouvé cette question connexe, qui discute des conséquences du BYOD du point de vue de la société: Quels sont les problèmes avec le bricolage lié aux smartphones?
Je voulais juste sonner et dire que la liste que vous avez là-bas n'est pas entièrement précise à 100%, mais elle est proche.
Gardez à l'esprit que cela variera selon le fournisseur MDM et le système d'exploitation mobile, mais MobileIron peut voir votre emplacement si votre employeur autorise la fonctionnalité ( et vous choisissez d'accepter de partager vos données de localisation.
Comment cela se fait-il exactement? Ils configurent simplement quelque chose dans les paramètres, et je fournis mon mot de passe d'écran de verrouillage pour leur donner la permission?
Votre employeur doit vous diriger vers un portail où vous enregistrez votre appareil et installez l'application MDM. L'employeur ne peut pas voir/extraire ni connaître votre NIP personnel.
Est-ce qu'un de mes comportements ou données, en dehors des applications fournies par l'entreprise, peut être observé?
Comportement - oui, si vous tenez compte des données de localisation.
Données en dehors des applications fournies par l'entreprise - non.
Cependant, votre employeur peut voir une liste de toutes les applications installées sur votre téléphone, vous pouvez donc y réfléchir à deux fois avant d'installer des applications "douteuses".
Quelles applications ou utilitaires de "niveau racine" puis-je m'attendre à avoir installés?
Je ne sais pas exactement comment répondre à celle-ci. On dirait que vous demandez s'ils peuvent installer l'équivalent d'un rootkit sur votre téléphone? En réalité, je suis enclin à répondre non.
Des restrictions seront-elles imposées sur la façon dont je peux utiliser mon téléphone ou sur les applications que je peux installer?
Oui, votre employeur peut mettre des applications sur liste noire.
Y a-t-il autre chose dont je dois être conscient?
Oui, veuillez vous référer à l'infographie ci-dessous. (emplacement)
Mon entreprise traverse actuellement le processus de mise en œuvre d'un MDM pour tous les téléphones professionnels ... Alors peut-être quelque chose que je peux aider.
La société installera des profils et des politiques sur l'appareil mobile qui (en plus de ce que vous avez décrit ci-dessus dans l'image) peuvent appliquer les éléments suivants:
- Connexion VPN constante (possibilité d'intercepter le trafic réseau vers et depuis votre appareil)
- Filtrage de contenu avancé
- Code de contournement du verrouillage d'activation
- Application de la politique de mot de passe
Ce n'est en aucun cas une liste exhaustive, partageant simplement les connaissances que j'ai avec une expérience de travail jusqu'à présent.
Pour ce que ça vaut, je resterais toujours à l'écart du BYOD à moins que cela ne soit absolument nécessaire, je n'aime simplement pas que quelqu'un d'autre ait accès à mon appareil principal.
Du point de vue de la sécurité, vous préférerez généralement avoir votre propre appareil. Cela garde juste tout séparé. Même si vous sauvegardez votre téléphone et toutes vos données, il est probablement préférable de le garder séparé. Cela suppose également que la société autorise, par politique et par des contrôles techniques, la sauvegarde indépendante de votre appareil. Vous courez également le risque d'utiliser accidentellement le mauvais e-mail ou de mélanger des informations d'une manière que vous ne souhaitez pas. Vous pouvez également éteindre votre téléphone professionnel le week-end et vous n'avez pas à vous soucier des personnes qui vous appellent pour affaires sur ce numéro si vous quittez l'entreprise.
En termes de surveillance de votre trafic, si vous vous connectez sur leur réseau via un proxy forcé ou en utilisant leur wifi, ils ont presque certainement le potentiel pour surveiller votre trafic par opposition à votre téléphone personnel passant sur la cellule service de la société (la société cellulaire pourrait bien sûr vous surveiller dans cette situation).
Au-delà du fait d'avoir une petite chose physique de moins à tenir, il y a généralement plus d'inconvénients que de pros. Je ne vois aucune raison d'économiser de l'argent sur votre entreprise en utilisant votre téléphone (à moins qu'ils ne paient peut-être alors votre forfait?).
MDM peut être appliqué de différentes manières selon l'organisation et le fournisseur MDM. Tous les fournisseurs ne fournissent pas toutes les fonctionnalités et la mesure dans laquelle vous contrôlez votre propre téléphone variera en fonction de la configuration choisie par votre service informatique.
Votre employeur "supervisera" l'appareil en le connectant à un ordinateur exécutant Apple Configurator qui le restaurera et appliquera un profil de configuration avec un certificat dedans).
Cela leur permettra d'envoyer plus de profils sur votre appareil à distance, et ces profils peuvent inclure d'autres certificats qui peuvent être utilisés pour intercepter les connexions sécurisées de votre appareil.
Je ne sais pas s'ils vous permettent d'utiliser votre propre Apple sur l'appareil ou d'utiliser celui fourni par l'entreprise; s'il s'agit des anciennes données (photos, musique, données d'application, journal des appels) , contacts/calendriers locaux, etc.) seront sécurisés car Apple ne fournit aucune fonctionnalité permettant d'accéder à ce type de données à partir d'une solution MDM. Dans ce dernier cas, l'appareil peut être configuré pour sauvegarder sur leur Apple ID iCloud et ils peuvent ensuite le restaurer sur un autre appareil et obtenir vos données.
Je ferais très attention aux contacts, notes et e-mails - les contacts peuvent être locaux (et inaccessibles depuis MDM) mais rien ne les empêche de télécharger secrètement un nouveau profil qui configure leur serveur LDAP/CardDAV pour les contacts sur votre iPhone, et tous les nouveaux contacts que vous 'd add sera ajouté sur ce serveur distant sous leur contrôle. Idem pour les calendriers. Ce n'est pas entièrement secret car vous pouvez vérifier si de tels comptes ont été ajoutés en vérifiant les profils actuellement installés dans les paramètres de l'appareil, mais la vérification à chaque fois que vous ajoutez un nouveau contact/rendez-vous/note est-elle pratique? Je ne pense pas.
Ils peuvent également configurer un proxy HTTP global ou un VPN (qui sera toujours activé) pour acheminer votre trafic via leur réseau, et couplés à leur certificat installé sur l'appareil, ils pourront intercepter et décrypter tous les "sécurisés" ( HTTPS) depuis votre appareil. Seules les applications qui utilisent explicitement l'épinglage de certificat seront protégées contre cela. Cela leur permettra d'accéder à votre historique de navigation et à la fréquence d'utilisation.
Si vous pouvez négocier avec l'administrateur système de l'entreprise pour installer manuellement un profil (sans superviser l'appareil) qui applique les politiques de sécurité/mot de passe qu'ils souhaitent, éventuellement un VPN à la demande (vous pouvez spécifier quels domaines/IP doivent passer par le VPN et lesquels ceux qui ne le font pas, il est donc possible de l'activer uniquement pour les serveurs liés au travail tout en laissant votre autre trafic intact), mais aucune autorité de certification ne le fait. Assurez-vous de lire attentivement le profil (l'appareil affiche tout ce que le profil fera) avant de l'installer.
Sinon, ne le faites pas. C'est une mauvaise idée.
Utilisez le téléphone de l'entreprise pour les affaires et séparez les choses. Seule une personne optimiste et idéaliste espère ou s'attend à ce que vous ne rencontriez aucun problème à l'avenir.
Parfois, vous devez garder les choses séparées, c'est l'une de ces périodes, qui sait ce que l'avenir réserve et quel genre de situation vous pourriez vous retrouver dans un endroit où les données d'un côté sont `` dangereuses '' pour les données de l'autre côté.
Bien sûr, beaucoup de choses peuvent dépendre de votre style de vie, mais le partage de l'emplacement et d'autres données de votre vie personnelle peut ne pas être conseillé dans votre vie professionnelle et vice versa, évitez la contrainte et transportez deux téléphones.