Embed Size (px)
Citation preview
1
Windows 10 avec EMM : Boîte à outils du CTP
MKT-11239 FR v1.2
2
Table des matières
En bref : L'informatique mobile révolutionne l'informatique de bureau
Évolution de l'architecture de Windows 10
Valeur réelle de l'EMM
Modèle de CTP pour Windows 10 avec EMM
Licences matérielles et logicielles
Opérations informatiques
Assistance
Temps d'inactivité des employés (indirect)
Guide de transition
Conclusion
Annexe : Feuille de calcul du CTP
3
5
6
7
8
11
12
13
14
15
16
415 East Middlefield Road
Mountain View, CA 94043, États-Unis
www.mobileiron.com
Tél : +1 877 819 3451
Fax : +1 650 919 8006
3
L'informatique mobile révolutionne l'informatique de bureau
Pendant plus de 20 ans, le paysage informatique de l'entreprise a été dominé par le PC de bureau, principal outil de productivité des travailleurs intellectuels. Cette ère est révolue à présent que les employés se tournent vers les appareils mobiles et les nouveaux systèmes d'exploitation. L'informatique nouvelle génération a donné naissance à un modèle de sécurité et de gestion à la fois souple et performant appelé « gestion de la mobilité en entreprise » (EMM, Enterprise Mobility Management). Microsoft a repensé l'architecture de son système d'exploitation pour que Windows 10 adopte ce modèle.
Gartner décrit l'EMM comme « le système d'exploitation de l'entreprise numérique »1. Gartner recommande également de « privilégier l'EMM pour la gestion de Windows 10 » pour certains cas d'utilisation, car ce modèle « permet une gestion fondamentalement plus efficace, prend en charge des cas d'utilisation inédits et offre une meilleure expérience utilisateur pour les cas d'utilisation existants »2.
La raison ? Avec la montée de l'informatique mobile, les employés ne travaillent plus avec un PC verrouillé sur le réseau d'entreprise, mais avec plusieurs appareils différents, certains personnels, d'autres appartenant à l'entreprise. Ces appareils exécutent des applications mobiles très diversifiées et se connectent à des réseaux échappant au contrôle du service informatique. Les anciens outils de gestion de clients Windows (CMT, client management tools), comme SCCM (System Center Configuration Manager) de Microsoft, LANDESK et Symantec IT Management Suite (anciennement Altiris), sont trop manuels et manquent de souplesse pour les nouveaux environnements informatiques, car leur fonctionnement se base sur l'installation et la gestion d'une image système complexe sur le PC.
L'ère du PC connecté au domaine est sur le point de disparaître.
2 « EMM Should Be Your First Choice for Managing Windows 10 and Mac OS X », Andrew Garver, 15-18 août 2016.
Gartner, Inc., Gartner Catalyst Conference
1 http://blogs.gartner.com/manjunath-bhat/2016/06/14/why-is-enterprise-mobility-management-emm-so-difficult-to-get-right/
3
4
Avec Windows 10, Microsoft répond au besoin d'une plus grande souplesse en matière de sécurité et de gestion au sein de l'entreprise. Ce système d'exploitation est révolutionnaire dans le sens où il permet au service informatique de migrer des PC gérés par des CMT vers des solutions EMM modernes comme MobileIron. Ainsi, l'ancien paradigme de l'image encodée est remplacé par une règle définie par le contexte. Grâce à cette migration, il est possible de réduire jusqu'à 80 % le coût total de propriété (CTP) d'un PC.
Les économies diffèrent d'une organisation à une autre, c'est pourquoi ce document donne une vue d'ensemble du CTP et une fiche détaillée permettant de calculer ces économies potentielles en fonction de l'environnement de déploiement existant.
PC avec CMT
PC avec EMM
(économies potentielles)
Smartphone avec EMM
Forfait appels et données
CTP annuel
CTP annuel
Coût total de propriété annuel
5
Évolution de l'architecture de Windows 10
En 1994, Microsoft a lancé Systems Management Server (SMS) v1. Devenu par la suite SCCM, ce modèle de sécurisation et de gestion des PC s'est imposé pendant deux décennies.
Le service informatique créait une image système qui était installée sur les PC sur lesquels travaillaient ensuite les employés. Cette image comportait le système d'exploitation ainsi que toutes les applications et configurations approuvées pour chaque employé. Le PC était ainsi entièrement verrouillé, préconfiguré et contrôlé par le service informatique. Il restait sécurisé tant qu'aucune modification n'était effectuée sur le système par l'employé ou une application du PC.
constituait un risque de piratage du système sous-jacent. Même après sa suppression, l'application pouvait laisser des artefacts indésirables susceptibles de réduire les performances, rendre le système instable ou masquer l'origine d'un problème. Dans une entreprise comptant des centaines ou des milliers de PC, toutes ces petites différences dans le système rendaient plus difficile la prévention contre la perte de données et augmentaient le coût des dépannages.
Dans le modèle traditionnel, les appareils devaient être reliés à un domaine régi par un ensemble d'objets de stratégie de groupe (GPO) servant à contrôler les actions autorisées ou interdites sur un PC. Il fallait pour cela que les appareils appartiennent à l'entreprise, fonctionnent sous Windows et soient connectés en permanence à un réseau local. Ce modèle est obsolète dans les entreprises modernes. Aujourd'hui, les employés travaillent sur différents appareils et où qu'ils soient : chez eux, à l'aéroport, dans un café, à l'hôtel, etc. L'approche traditionnelle n'est plus adaptée à ce nouveau mode de travail, car les appareils mobiles n'utilisent pas toujours le réseau local et appartiennent généralement à l'employé, pas à l'entreprise. Ces appareils ont généralement de multiples usages et sont devenus des compagnons indispensables de la vie quotidienne personnelle et professionnelle de l'employé.
Pour répondre à ces nouveaux besoins, Microsoft a repensé l'architecture de Windows de sorte que son système d'exploitation ne repose plus sur les CMT, mais adopte le modèle EMM. Preuve de l'adoption croissante des solutions EMM, Gartner a supprimé le Magic Quadrant des outils de gestion des clients en mars 2016, en raison de la stabilité de l'innovation sur le marché et la tendance globale du secteur à se tourner vers les approches modernes3.
3 « Gartner Retires the Magic Quadrant for Client Management Tools », Rich Doheny, Terrence Cosgrove, 29 mars 2016, Gartner, Inc. https://www.gartner.com/doc/3267732/gartner-retires-magic-quadrant-client
Les risques d'attaques sur l'ancienne architecture Windows étaient élevés, car il était facile de pirater tant le système de fichiers que le système d'exploitation. C'est pourquoi le service informatique devait intégrer dans l'image plusieurs agents de sécurité supplémentaires pour surveiller les menaces et les contrer. La sécurité des données sur les PC était un défi perpétuel. Chaque application téléchargée par un utilisateur
Système defichiers ouvert Noyau du système
d'exploitation non protégé
Primitives degestion non approuvées
Environnement d'applications en bac à sable
Noyau du système d'exploitation protégé
Primitives de gestion approuvées (EMM)
6
Valeur réelle de l'EMM
Les solutions EMM offrent l'efficacité et la flexibilité nécessaires pour fournir des services aux employés et sécuriser les données de l'entreprise sur les systèmes d'exploitation modernes. La transition vers ce modèle implique un changement majeur dans la mise en place des moyens pour sécuriser et gérer les ordinateurs de bureau. Comme l'écrit InfoWorld, « le service informatique doit se préparer dès maintenant au fait que les PC seront gérés et sécurisés comme des appareils mobiles, et les applications de bureau développées et déployées comme des applications mobiles »4.
Avantages du modèle EMM :
4 http://www.infoworld.com/article/3120505/computers/your-pc-is-simply-another-mobile-device.html
Réduction des coûts :
Avec une solution EMM, l'appareil est configuré à distance sans que le technicien informatique ait à le manipuler, rendant inutiles les processus CMT de gestion des images et de provisionnement des appareils qui nécessitaient un fort niveau d'intervention. De plus, la simplification des processus d'assistance et de dépannage contribue aussi à réduire le CTP associé aux PC.
BYOD sécurisé :
Pour sécuriser les données professionnelles sans compromettre la confidentialité des informations personnelles, l'EMM dresse une frontière entre ces deux types de données. Cette séparation est essentielle lors de la mise en place de programmes BYOD. Le modèle CMT est inefficace sur les PC personnels, car il requiert l'installation d'une image système de l'entreprise sur tout l'appareil.
Règles en temps réel :
Les solutions EMM permettent de mettre à jour les règles et de garantir la conformité, même lorsque le PC se trouve sur un réseau externe. Avec les CMT, le PC doit être connecté au domaine et la mise à jour des règles est dépendante de la connexion de l'utilisateur ou de l'activation du VPN.
Meilleure expérience utilisateur :
Le modèle EMM favorise le libre-service et donne à l'employé plus de responsabilités et de liberté. Cette solution est beaucoup moins intrusive que les CMT et le service informatique ne manipule jamais physiquement l'appareil. Contrairement aux CMT, l'EMM offre une expérience utilisateur cohérente sur l'ensemble des systèmes d'exploitation, y compris Android, iOS et Windows 10.
7
Modèle de CTP pour Windows 10 avec EMM
Une solution EMM comme MobileIron contribue à réduire les coûts imputés aux tâches de sécurité et de gestion des PC par rapport à l'utilisation de CMT traditionnels. Cette section présente un modèle comparatif des coûts liés au matériel, aux logiciels, aux opérations informatiques et à l'assistance. Bien que chaque organisation informatique ait sa propre structure de coûts, chacune peut faire une analyse personnalisée en s'appuyant sur ce modèle et la feuille de calcul du CTP en annexe de ce document.
Comme la transition EMM de Windows 10 n'en est qu'à ses débuts, la plupart des organisations ne disposent pas encore des données de coûts issues de leur propre expérience. Toutefois, les analyses sur le CTP publiées par Gartner ces dernières années constituent une bonne piste.
CTP publié pour les PC et les smartphones
D'après les études de Gartner, le CTP annuel d'un smartphone entièrement géré avec une solution EMM est presque 80 % inférieur à celui d'un ordinateur de bureau géré avec des CMT.
Le CTP annuel d'un ordinateur de bureau s'élève à 3 126 $5 alors que celui d'un smartphone est de 679 $6. En ajoutant les forfaits appels et données, qui ne s'appliquent pas à un ordinateur de bureau, le CTP annuel d'un smartphone atteint 1 339 $, ce qui reste 60 % inférieur à celui d'un PC.
Par conséquent, les organisations sont susceptibles d'économiser jusqu'à 80 % du CTP en passant de Windows 7 à Windows 10, et en adoptant un modèle de sécurité et de gestion EMM en remplacement des CMT.
Analyse Gartner : CTP des PC gérés par des CMT5 et des smartphones gérés avec une solution EMM6
Coût annuel PC entièrement géré
Smartphone entièrement géré Description
Total des coûts directs
1 539 $ 245 $
(905 $ avec forfait appels/données)
Ces chiffres représentent les coûts annuels en matériel, logiciels et main-d'œuvre de la gestion d'un PC ou d'un smartphone. Pour les smartphones, il faut y ajouter 660 $ pour le forfait appels et données, qui ne concerne pas les PC, ce qui fait passer le CTP annuel d'un smartphone de 245 $ à 905 $.
Total des coûts indirects
1 587 $ 434 $ Il s'agit du coût annuel des temps d'inactivité par utilisateur final. Ce coût varie en fonction des salaires (par ex., les temps d'inactivité des cadres les mieux payés coûtent davantage). Les coûts indirects imputables aux PC sont supérieurs, car les solutions CMT nécessitent une intervention physique du technicien informatique, alors que le provisionnement et la maintenance via une solution EMM se font à distance ou sont effectués par l'employé lui-même.
Coût total de propriété
3 126 $ 679 $
(1 339 $ avec forfait appels/données)
Le CTP annuel d'un smartphone est 78 % inférieur à celui d'un PC.
Même en incluant les forfaits mobiles appels et données, le CTP annuel d'un smartphone reste 57 % inférieur.
5. « Desktop Total Cost of Ownership: 2013 Update », Federica Troni et Michael Silver, 14 mars 2013, Gartner, Inc. http://www.gartner.com/document/2371417
6 « Use TCO to Assess Choice in Devices, Support Policies and Management Approaches », Federica Troni et Michael Silver, 4 novembre 2014, Gartner, Inc. http://www.gartner.com/document/2898217
8
Les possibilités de réaliser des économies sont vastes et varient selon les organisations. Y parvenir ne serait-ce qu'en partie représente déjà un gain substantiel qui pourrait bénéficier à des initiatives informatiques stratégiques comme la modernisation des applications ou la transformation de l'entreprise.
Il faut aussi tenir compte de l'investissement transitionnel en temps et en ressources nécessaire avant de pouvoir tirer pleinement parti de la combinaison de Windows 10 avec l'EMM. Le guide de transition à la fin de ce document liste les éléments à prendre en compte lors de la migration d'un modèle CMT vers une solution EMM.
Éléments du CTP pour Windows 10 avec EMM
Cette section compare les principaux coûts associés à la sécurité et la gestion dans un environnement géré par des CMT et un environnement EMM. Ces coûts sont répartis en quatre catégories :
1. Licences matérielles et logicielles2. Opérations informatiques3. Assistance4. Temps d'inactivité des employés (indirect)
Les trois premières sont des coûts directs. La quatrième représente un coût indirect, mais à prendre en compte dans l'analyse, car le modèle EMM requiert une intervention physique bien moindre du service informatique. Ainsi, l'employé ne confie que rarement, voire jamais, son appareil à un technicien informatique pour une installation ou une réparation.
Le but de cette section est de permettre à chaque organisation de définir le CTP atteignable de ses PC après transition dans chacun de ces quatre éléments.
1. Licences matérielles et logicielles
Matériel informatique
• Les coûts matériels du terminal sont identiques entre les modèles CMT et EMM, car tous deux fonctionnent avec les mêmes PC Windows 10. Avec le modèle EMM, le besoin en serveur d'application back-end est moindre, tandis que le modèle CMT nécessite moins de bande passante pour la distribution des logiciels.
Logiciels
• Modèle CMT : outre l'investissement dans les outils de gestion des clients, la solution traditionnelle de sécurité et de gestion des PC implique également l'achat de licences pour plusieurs composants logiciels secondaires : chiffrement, anti-logiciels malveillants, VPN, prévention contre la perte des données (DLP) orientée contenu, environnement d'applications en bac à sable, infrastructure de bureau virtuel (VDI), agents d'application des correctifs et agents de sauvegarde.
• Modèle EMM : MobileIron contrôle les fonctionnalités intégrées de Windows 10, rendant inutiles nombre de composants logiciels secondaires traditionnels puisque ces derniers seront soit intégrés dans la solution MobileIron ou directement dans Windows, soit techniquement incompatibles, ou encore remplacés par des contrôles complémentaires. La plateforme EMM occupe désormais une place centrale dans la sécurité de l'entreprise. Selon une hypothèse de Gartner en matière de planification stratégique, « d'ici 2020, la combinaison des fonctionnalités de sécurité des plateformes mobiles et des solutions EMM répondra à 80 % des besoins en sécurité mobile des entreprises »7. Windows 10 est une preuve supplémentaire de l'adoption par les entreprises de cette solution pour centraliser les règles de sécurité.
7 « When and How to Go Beyond EMM to Ensure Secure Enterprise Mobility », Manjunath Bhat, Dionisio Zumerle, 10 juin 2016, Gartner, Inc. http://www.gartner.com/document/3343519
9
Logiciels traditionnels (environnement de départ) Logiciels récents et contrôles complémentaires (après transition)
Outils de gestion des clients (CMT)
MobileIron + Windows 10
MobileIron s'intègre à Windows 10 pour provisionner et configurer les services de terminaux via des contrôles basés sur des règles et un magasin d'applications professionnelles. MobileIron Bridge étend ces fonctionnalités afin que les administrateurs puissent déployer des configurations de style GPO granulaires, modifier et gérer le registre, fournir des applications Win32 non encapsulées MSI via un magasin d'applications d'entreprise, et consulter et gérer le système de fichiers sans avoir à connecter le PC au domaine. MobileIron Bridge comble les failles des stratégies de groupe entre les systèmes CMT traditionnels et le modèle EMM pour accélérer la migration vers ce dernier.
Chiffrement des disques et des fichiers
MobileIron + BitLocker
Microsoft BitLocker se positionne désormais comme la méthode de chiffrement par défaut sur les systèmes Windows. MobileIron fournit le mécanisme de surveillance qui détermine si le chiffrement est activé ou non, ainsi que le mécanisme de correction qui supprime les données d'entreprise en cas d'absence de chiffrement. En parallèle, les organisations peuvent utiliser Microsoft BitLocker Administration (MBAM) pour le déploiement du chiffrement, la récupération des clés et la création de rapports. Il est possible que certaines organisations nécessitant une gestion BitLocker très complexe s'appuient sur des outils tiers plutôt que MBAM.
Suite anti-logiciels malveillants
MobileIron + services de détection des menaces
Les suites anti-logiciels malveillants traditionnelles avec signature ne sont pas utiles sur les systèmes d'exploitation en bac à sable modernes, car la propagation des attaques sur des fichiers est étroitement limitée par la conteneurisation native des données intégrée dans le système d'exploitation. MobileIron contrôle régulièrement l'intégrité des appareils et des OS pour veiller à ce que tout défaut de conformité soit identifié et que les mesures correctives appropriées soient prises. Toutefois, Gartner estime que, d'ici 2018, 5 à 15 % des organisations déploieront, en plus, un service de détection des menaces pour identifier tout comportement suspect et les attaques instantanées8. MobileIron se charge de l'application des règles et des mesures de correction lorsqu'une menace est détectée par ces services. La recherche de comportements suspects par les suites anti-logiciels malveillants peut aussi se révéler utile lorsque l'appareil exécute d'anciennes applications Win32.
VPN de l'appareil MobileIron + Windows 10
Le VPN étendu à l'appareil est progressivement remplacé par le VPN par application. La séparation des données personnelles et professionnelles sur le réseau protège efficacement la vie privée des employés. Grâce au tunnel sécurisé mis en place par MobileIron Tunnel pour les applications professionnelles, nul besoin d'une infrastructure VPN dédiée.
Environnement d'applications en bac à sable
MobileIron + Windows 10
Windows 10 crée un environnement natif en bac à sable pour les applications récentes, rendant inutiles les outils secondaires conçus à cet effet. Toutefois, de nombreuses organisations utilisent encore d'anciennes applications Win32. Le convertisseur d'applications de bureau de Microsoft permet de convertir ces applications au format UWP (Universal Windows Platform). Cette méthode est moins risquée que d'exécuter une application non convertie, bien qu'une application sans code Win32 reste plus sûre. Il est possible de mettre en place des contrôles complémentaires lors de la période de transition comme établir une liste noire des vecteurs d'attaque connus, exécuter uniquement les applications signées et utiliser, dans un premier temps, un produit anti-logiciels malveillants qui recherche les comportements suspects. La création d'une liste blanche d'applications offre une sécurité supplémentaire, mais au détriment de la flexibilité. MobileIron sert aussi de moteur de règles pour Windows Information Protection (WIP) dont le but est d'éviter la fuite de données depuis les applications autorisées vers les applications non autorisées sur l'appareil.
8 « Market Guide for Mobile Threat Defense Solutions », John Girard, Dionisio Zumerle, 28 juillet 2016, Gartner, Inc. https://www.gartner.com/doc/3393617/market-guide-mobile-threat-defense
10
Logiciels traditionnels (environnement de départ) Logiciels récents et contrôles complémentaires (après transition)
DLP orientée contenu MobileIron + Windows 10
Les solutions DLP orientées contenu examinent le système de fichiers sur un appareil en vue d'identifier les informations sensibles telles que les numéros de carte bancaire. Ainsi, les organisations peuvent définir des règles pour limiter le risque de perte de données. Ces solutions ne sont techniquement pas réalisables sur des systèmes d'exploitation récents en bac à sable et renforcés comme Windows 10, car elles nécessitent que le système d'exploitation autorise une application à analyser le contenu des autres applications et de l'ensemble du système de fichiers. Pour y remédier, il faut définir des règles DLP via MobileIron au niveau de l'application afin d'empêcher tout partage de données non autorisé. Certaines organisations peuvent continuer à utiliser des solutions DLP en réseau existantes qui surveillent le trafic en provenance et en direction d'un appareil mobile pour identifier les données sensibles.
Infrastructure de bureau virtuel (VDI)
Applications récentes + Windows 10
La VDI est une technologie de transition. Les solutions VDI exécutent l'image du PC sur un serveur, pas l'appareil lui-même, de sorte que les applications restent accessibles à distance sans que le PC contienne de données en local. Cette technologie présente deux inconvénients majeurs. Son déploiement est onéreux et l'expérience utilisateur est mauvaise, car l'application n'est pas optimisée pour une interface tactile moderne. La priorité reste la modernisation des applications, pas leur virtualisation. La VDI peut tout de même servir de mécanisme de transition afin que les anciennes applications restent disponibles sur les nouveaux appareils jusqu'à leur modernisation. Cependant, l'approche la plus efficace semble être la diffusion des applications.
Application des correctifs MobileIron + Windows 10
Avec MobileIron, l'administrateur peut connaître la disponibilité des correctifs, voir lesquels concernent un appareil particulier et choisir le moment et la méthode de distribution. Grâce à MobileIron Bridge, l'administrateur peut également supprimer des applications si nécessaire. Certaines versions du système d'exploitation sont très volumineuses et peuvent surcharger le réseau selon l'étendue de la distribution. C'est pourquoi il est essentiel de connaître parfaitement la capacité du réseau afin d'organiser le déploiement.
Sauvegarde Applications récentes + Windows 10
Les applications récentes synchronisent les données vers un service back-end, sur site ou dans le cloud. Ainsi, très peu de données, voire aucune, se trouvent uniquement sur le terminal. Les applications de partage et de synchronisation des fichiers d'entreprise (EFSS) et les applications de messagerie fonctionnent déjà de cette façon, à l'instar de presque toutes les nouvelles applications d'entreprise tierces. Une fois la transition terminée, une sauvegarde complète de l'appareil sera inutile, et même potentiellement impossible via un service tiers, comme avec iOS, en raison de l'installation des applications dans un environnement en bac à sable.
11
2. Opérations informatiques
Administration de la plateforme CMT/EMM
• Il faut administrer les deux types de plateformes. MobileIron nécessite généralement 1 à 2 ETP pour administrer 10 000 appareils, tandis que les systèmes CMT en requièrent davantage. La plupart des grandes organisations ont déjà installé un CMT pour les PC et une solution EMM pour les appareils mobiles, ce qui devrait faciliter le calcul de cet élément de coût.
Gestion des images
• Modèle CMT : le service informatique doit créer, tester et gérer une image système pour déployer le système d'exploitation, ainsi que les applications et les configurations autorisées par la société. La création et le test de chaque image peuvent prendre 40 à 60 heures. L'image système doit d'abord être installée manuellement sur chaque nouveau PC, ce qui représente plus d'une heure de travail, puis le PC doit être remis physiquement à l'employé. La configuration et l'installation des certificats sur la machine requièrent encore l'intervention d'un administrateur et de l'employé. Les images sont généralement mises à jour au moins deux fois par an. Il est possible d'effectuer régulièrement la distribution des images et les mises à jour de configuration à distance, mais uniquement lorsque la machine se trouve sur le réseau de l'entreprise.
• Modèle EMM : avec MobileIron, nul besoin de créer une image système. En effet, le service informatique définit des règles relatives à la configuration des appareils et déploie un magasin d'applications professionnelles. Il peut également configurer et sécuriser simultanément un grand nombre d'appareils à distance sur n'importe quel réseau sans fil. Les appareils sont prêts à être utilisés par les employés en seulement quelques minutes et non plus plusieurs jours sans aucune intervention d'un technicien informatique. Le provisionnement des certificats est automatique et ne nécessite donc pas d’action de la part de l'employé. Les tâches du service informatique pour déployer de
nouvelles configurations, règles ou modifications sont simplifiées. Le processus est automatisé et reste transparent pour l'employé. Pour cela, le technicien informatique crée une configuration VPN par application ainsi qu'un profil SCEP (Simple Certificate Enrollment Protocol) sur le serveur MobileIron, puis les attribue à un groupe. Les appareils de tous les employés de ce groupe reçoivent automatiquement les paramètres appropriés et l'accès aux applications autorisées. De plus, le VPN par application peut être configuré de sorte à se lancer automatiquement au démarrage de l'application, identifier son propre serveur, et authentifier l'employé (à l'aide des certificats) sans intervention de ce dernier.
Formation des employés
• Modèle CMT : toutes les routes mènent au service informatique dans le modèle CMT. Les employés ont besoin de savoir comment faire une demande d'assistance, mais n'ont pratiquement aucun contrôle sur leur PC.
• Modèle EMM : avec MobileIron, le libre-service est au cœur du modèle de déploiement. Les employés s'inscrivent, puis choisissent leurs applications, ce qui nécessite une certaine formation.
Distribution des logiciels
• Modèle CMT : les administrateurs doivent créer des packages de distribution des applications et (dans certains cas) des scripts d'installation personnalisés pour déployer les applications sur les PC. Ce processus est laborieux et peut prendre deux à quatre jours par application quel que soit le nombre de PC. Le temps nécessaire et le taux de réussite de la livraison dépendent de la complexité de l'application, par exemple9 :
• Nécessite-t-elle des configurations natives spécifiques ?
• Dépend-elle de certaines fonctions du système d'exploitation ou d'autres applications ?
• Un redémarrage est-il nécessaire pendant ou après l'installation ?
• Des tests du système et de l'intégration doivent-ils être effectués ?
9 « Sample App Package Benchmarking », Terrence Cosgrove, Gartner, Inc. (non publié)
12
• Modèle EMM : avec MobileIron, le service informatique administre et distribue les applications via un magasin d'applications professionnelles. Les applications Windows récentes exploitent la plateforme Windows universelle (UWP), et ne nécessitent donc pas de package. Les employés choisissent et installent les applications qu'ils souhaitent depuis le magasin d'applications professionnelles de MobileIron. Le processus d'installation est beaucoup plus simple pour l'employé, et les dépendances sont minimes hormis peut-être la version du système d'exploitation. Lorsqu'une nouvelle version de l'application est disponible, le service informatique publie la mise à jour qui est ensuite automatiquement installée sur l'appareil. MobileIron peut également distribuer des applications Win32 traditionnelles encapsulées MSI pour en faciliter la distribution, mais ce processus reste tout de même laborieux à l'instar de la création de packages traditionnels. C'est en optant pour une stratégie de modernisation de leurs applications que les organisations réaliseront les économies de coûts les plus importantes, en tireront le meilleur parti et offriront à leurs employés la meilleure expérience. Il est possible que certaines organisations ne puissent envisager cette approche à court terme en raison de la difficulté à moderniser une application Win32 essentielle à leur activité. Dans ces situations, le service informatique dispose de quatre options pour la distribution des anciennes applications :
1. Utiliser MobileIron Bridge avec des scripts pour déployer l'application Win32 non encapsulée MSI.
2. Utiliser l'un des nombreux encapsuleurs disponibles pour convertir le traditionnel « setup.exe » au format MSI, puis distribuer la version MSI de l'application directement via le magasin d'applications professionnelles de MobileIron.
3. Utiliser le convetisseur d’applications de bureau de Microsoft pour convertir les applications Win32 au format UWP sans faire appel à un développeur. Les applications ainsi converties peuvent être distribuées via MobileIron, à l'instar des fichiers MSI, et ne laissent pas d'artefacts. Les applications UWP offrent de nombreux avantages, notamment les notifications en temps réel. Une fois ces
applications converties au format UWP, les tâches récurrentes de création de package sont considérablement réduites.
4. Fournir un accès à distance aux anciennes applications via la VDI (bureau virtualisé) ou leur diffusion.
La conversion et l'accès à distance restent cependant des approches court-termistes au problème posé par les anciennes applications. La meilleure réponse à long terme consiste à utiliser la migration vers Windows 10 comme catalyseur pour évaluer de façon critique les applications existantes et ainsi identifier les applications Win32 à moderniser et celles à supprimer.
3. Assistance
Personnel de niveau 1/2/3
• Modèle CMT : le coût de l'assistance pour les déploiements traditionnels de Windows peut être élevé en raison de la complexité de la gestion permanente et des différences entre les terminaux. Les vulnérabilités du système de fichiers et les dépendances du système d'exploitation augmentent le risque d'attaque sur l'appareil et complexifient le dépannage. Il est également difficile d'identifier l'origine d'un problème, mais les CMT fournissent des informations détaillées facilitant le dépannage. Les ratios varient selon l'organisation et les niveaux de service, mais l'assistance sur les terminaux gérés par des CMT nécessite environ trois ETP pour 1 000 appareils.
• Modèle EMM : avec une solution EMM et des systèmes d'exploitation modernes comme Windows 10, la stabilité du système devrait être meilleure et, d'après notre expérience, les utilisateurs signalent moins d'incidents qu'avec les PC traditionnels. Le nombre limité de dépendances et de connexions entre les applications et le système d'exploitation minimise les problèmes et simplifie le dépannage, réduisant ainsi le ratio technicien/appareil en comparaison de l'utilisation des CMT. L'assistance sur les terminaux gérés par EMM nécessite environ un ETP pour 1 000 appareils.
13
Formation du personnel d'assistance
• Modèle CMT : les problèmes techniques rencontrés par les employés peuvent être complexes et difficiles à corriger. Pour trouver une solution rapide et appropriée, le personnel d'assistance doit avoir une connaissance approfondie de l'architecture sous-jacente du système d'exploitation et des applications.
• Modèle EMM : d'après notre expérience, l'identification de l'origine d'un problème est généralement plus simple, car la majorité des sous-systèmes des systèmes d'exploitation modernes sont des boîtes noires qui limitent les dépendances.
4. Temps d'inactivité des employés (indirect)
Temps sans appareil
• Modèle CMT : les processus informatiques nécessitent un fort niveau d'intervention et les employés doivent laisser leur ordinateur, parfois pour de longues périodes. Cela a une incidence sur la productivité des employés.
• Modèle EMM : avec MobileIron, les processus informatiques requièrent une intervention moindre et s'effectuent à distance. Ainsi, la logistique pour le dépannage et la réparation est simplifiée pour les employés comme le service informatique, et l'appareil n'est presque jamais entre les mains du technicien.
14
Guide de transition
La section précédente a comparé le CTP de l'environnement de départ, qui est Windows avec CMT, au modèle Windows avec EMM après la transition. Mais les transitions, quels qu'en soient les avantages sur le long terme, peuvent être un véritable défi pour une organisation sans un guide structuré. Plusieurs facteurs vont déterminer la rapidité à laquelle une organisation peut passer d'une solution CMT à une solution EMM, et atteindre les économies de coûts prévues :
• Adoption de Windows 10 : l'ancien système CMT doit être fonctionnel jusqu'à la migration complète des terminaux vers Windows 10. Dans la plupart des organisations, de nouveaux appareils Windows 10, notamment les tablettes comme Microsoft Surface ou des appareils HP ou Lenovo similaires, sont le point de départ d'adoption de la solution EMM. Même après la migration, les CMT peuvent encore être utilisés pour la gestion des serveurs Windows back-end.
• Complexité des GPO : les règles EMM sont récentes dans Windows 10 et risquent de ne pas encore répliquer l'ensemble des GPO déployés par l'organisation sur ses PC existants. MobileIron Bridge comble les failles des stratégies de groupe et permet au service informatique d'appliquer les mêmes règles granulaires sans faire appel aux CMT ou connecter obligatoirement le PC au domaine. Toutefois, il faut profiter de la transition EMM pour repenser la complexité des GPO existants. Il est probable que plusieurs règles soient devenues inutiles. Même avec les performances de MobileIron Bridge, les organisations doivent scrupuleusement évaluer l'infrastructure des règles pour déterminer ce qui est indispensable plutôt que de déployer des règles complexes simplement parce qu'elles le faisaient avant.
• Anciennes applications : moins l'organisation comptera d'anciennes applications Win32, plus l'expérience utilisateur de Windows 10 sera optimale et plus la migration vers l’EMM sera rapide. Moins de la moitié des applications d'une organisation est aujourd'hui propre à Windows10, et la plupart des organisations acceptent de se défaire inéluctablement des applications Win32.
La modernisation des applications relève souvent du défi en termes de ressources. Plusieurs options à court terme existent pour faciliter le déploiement d'anciennes applications, comme la conversion via le convertisseur d'applications de bureau de Microsoft, l'accès à distance via la VDI ou la diffusion des applications. Ces approches peuvent être des mesures efficaces pour combler les failles, mais ne doivent pas intégrer une stratégie à long terme. Elles constituent uniquement une brève étape sur le chemin de la modernisation des applications.
• Inertie organisationnelle : l'approche EMM bouleverse les pratiques de gestion des PC en place et les cloisonnements organisationnels. Des responsables informatiques risquent de devoir gérer des conflits entre les équipes chargées des PC et des mobiles à mesure que les architectures de sécurité et de gestion et les processus opérationnels sont mis en place. La gestion du changement est un élément important de la migration EMM et le soutien de la direction au sein de l'organisation est indispensable.
10 « IBM’s Internal Apple Mac Savings Started With New Processes », Michael A. Silver, Terrence Cosgrove, Rich Doheny, 4 mai 2016, Gartner, Inc. https://www.gartner.com/doc/3306418/ibms-internal-apple-mac-savings
15
Conclusion
La transition vers l'EMM est une transformation des plus fondamentales en matière de sécurité et de gestion Windows depuis 20 ans. La question n'est pas de savoir si l'entreprise va adopter le concept EMM, mais quand. Selon une remarque d'InfoWorld, « il se peut que les avantages de l'EMM, combinés à l'adoption majeure du cloud computing et du développement d'applications Mobile First, permettent enfin au service informatique de se libérer de cette dette technique dans laquelle il s'enlisait. C'est aujourd'hui un impératif, car les systèmes d'exploitation, applications et protocoles sont des cibles en mouvement qui nécessitent un renouvellement régulier. Les administrateurs de la gestion des mobiles le savent d'après les mises à jour annuelles des API d'Apple et de Google et le rythme régulier des mises à jour des OS et des applications. Les administrateurs d’ordinateurs de bureau doivent s'y préparer. »11
11 http://www.infoworld.com/article/3109247/microsoft-windows/why-and-how-you-should-manage-windows-pcs-like-iphones.html
12 http://www.infoworld.com/article/3120505/computers/your-pc-is-simply-another-mobile-device.html
Pour se préparer à la transition vers l'EMM et calculer les économies de coûts potentielles, l'organisation doit analyser en détail l'infrastructure de gestion et de sécurité existante. Le modèle de CTP et la feuille de calcul de ce document sont un excellent point de départ.
Mais, comment intégrer cette transition dans les priorités d'une organisation du secteur informatique ? Quand commencer à la planifier ? Voici la recommandation d'InfoWorld : « Commencez maintenant, ou le plus tôt possible. »12
Pour découvrir comment MobileIron peut vous aider à réduire le CTP de vos PC, contactez-nous à l'adresse [email protected].
COPYRIGHT © 2016 MOBILEIRON. TOUS DROITS RÉSERVÉS.MobileIron est une marque déposée de MobileIron, Inc. aux États Unis et/ou dans d'autres pays. Les autres marques, noms commerciaux ou logos appartiennent à leurs propriétaires respectifs et ne constituent pas une promotion ou un parrainage de ces derniers.
16
Annexe : Feuille de calcul du CTP
Étape 1 : Quantifier les coûts réels actuels du déploiement dans votre environnement de bureau Windows 7 avec les outils de gestion des clients (CMT)Étape 2 : Quantifier les coûts réels actuels du déploiement dans votre environnement mobile iOS avec EMMÉtape 3 : Estimer, à partir de la vue d'ensemble décrite dans ce document, le coût d'un déploiement dans un environnement de bureau Windows 10 avec EMM
Environnement actuel : Windows 7 avec CMT
Après transition : Windows 10 avec EMM
Environnement actuel : iOS avec EMM
MATÉRIEL Coûts annuel des achats par appareil
• Coût de l'achat d'un appareil Selon l'appareil → Selon l'appareil ← Selon l'appareil
• Période d'amortissement (en années) 3 à 4 ans → 3 à 4 ans ← 2 à 3 ans
Coût annuel du matériel par appareil Calculer → Calculer ← Calculer
LOGICIELS (Sécurité et gestion) Coût annuel des licences logicielles par appareil
• Plateforme (CMT ou EMM) Tiers → Tiers ← Tiers
• Chiffrement des disques et des fichiers MBAM ou tiers → MBAM ou tiers ← s.o.
• Suite anti-logiciels malveillants Tiers → Instantané ou anciennes applications ← Instantané
• VPN de l'appareil Tiers → VPN par application (EMM+) ← EMM+ (VPN par application)
• Environnement d'applications en bac à sable Tiers → Anti-logiciels malveillants si anciennes applications ← s.o.
• DLP orientée contenu Tiers → s.o. ← s.o.
• VDI (infrastructure de bureau virtuel) Tiers → Transition vers applications récentes ← Transition vers applications récentes
• Application des correctifs CMT+ → EMM+ ← s.o.
• Sauvegarde Tiers → Minimal comme applications récentes ← s.o.
• Autres logiciels de sécurité et de gestion Selon la société → Selon la société ← Selon la société
Coût annuel des logiciels par appareil Calculer → Calculer ← Calculer
OPÉRATIONS INFORMATIQUES Coût annuel de la main-d'œuvre informatique par appareil
Administration de la plateforme CMT/EMM :
• Nombre d'ETP 3-4 pour 10 000 appareils → 1-2 pour 10 000 appareils ← 1-2 pour 10 000 appareils
• Coût annuel par ETP Selon la société → Selon la société ← Selon la société
Coût total annuel de l'administration de la plateforme CMT/EMM Calculer → Calculer ← Calculer
Gestion des images (création et test) :
• Heures pour créer et tester une nouvelle image 60 heures → s.o. ← s.o.
• Nombre de nouvelles images par an Selon la société → s.o. ← s.o.
• Total d'heures/an pour créer/tester les nouvelles images Calculer → s.o. ← s.o.
• Coût horaire de la main-d'œuvre Selon la société → s.o. ← s.o.
Coût total annuel de la création et du test des images Calculer → s.o. ← s.o.
Gestion des images (déploiement) :
• Heures pour installer une image sur un nouveau PC 1-2 heures → s.o. ← s.o.
• Nombre de nouveaux PC déployés chaque année 25 % de la flotte → s.o. ← s.o.
• Total d'heures/an pour déployer des images sur des nouveaux PC Calculer → s.o. ← s.o.
• Coût horaire de la main-d'œuvre Selon la société → s.o. ← s.o.
Coût total annuel du déploiement des images Calculer → s.o. ← s.o.
Formation des employés
• Coût total annuel des sessions de formation des employés Selon la société → Selon la société ← Selon la société
• Coût total annuel de la documentation de formation des employés Selon la société → Selon la société ← Selon la société
Coût total annuel de la formation des employés Calculer → s.o. ← s.o.
Opérations informatiques (suite sur la page suivante)
17
Distribution des logiciels :
• Heures pour préparer une application en vue de sa distribution 16-32 heures → s.o. ← s.o.
• Total de packages d'application par an Selon la société → s.o. ← s.o.
• Total d'heures par an pour préparer les applications à distribuer Calculer → s.o. ← s.o.
• Coût horaire de la main-d'œuvre Selon la société → s.o. ← s.o.
Coût total annuel de la distribution des logiciels Calculer → s.o. ← s.o.
Coût total annuel des opérations informatiques Calculer → Calculer ← Calculer
Nombre d'appareils gérés Selon la société → Selon la société ← Selon la société
Coût annuel des opérations informatiques par appareil Calculer → Calculer ← Calculer
ASSISTANCE Coût annuel de la main-d'œuvre de l'assistance par appareil
Personnel de niveau 1/2/3 :
• Nombre d'ETP 3-4 ETP pour 1 000 appareils → À déterminer ← 1 ETP pour 1 000 appareils
• Coût annuel par ETP Selon la société → Selon la société ← Selon la société
Coût total annuel du personnel de niveau 1/2/3 Calculer → s.o. ← s.o.
Formation du personnel d'assistance
• Coût total annuel des sessions de formation de l'assistance Selon la société → Selon la société ← Selon la société
• Coût total annuel de la documentation de formation de l'assistance Selon la société → Selon la société ← Selon la société
Coût total annuel de la formation de l'assistance Calculer → Calculer ← Calculer
Coût total annuel du service d'assistance Calculer → Calculer ← Calculer
Nombre d'appareils gérés Selon la société → Selon la société ← Selon la société
Coût annuel du service d'assistance par appareil Calculer → Calculer ← Calculer
TEMPS D'INACTIVITÉ DES EMPLOYÉS (INDIRECT) Coût annuel d'une perte de productivité de la main-d'œuvre
• Nombre d'heures par an sans appareil Selon la société → Selon la société ← Selon la société
• Coût horaire de la main-d'œuvre Selon la société → Selon la société ← Selon la sociétéCoût annuel du temps d'inactivité des employés par appareil
Calculer → Calculer ← Calculer
Coût total annuel par appareil Calculer → Calculer ← Calculer
Opérations informatiques (suite)
