Identité mobile contrôlée par l’entreprise au point d’origine
Aperçu technique pour les leaders des télécommunications, de la sécurité et de la conformité
Livre blanc publié par CallTower, Inc.
Résumé exécutif
Les communications mobiles sont devenues un canal principal pour les entreprises commerciales, pourtant la plupart des appels mobiles proviennent de l’extérieur ou sont autrement déconnectés de l’infrastructure de communication de l’entreprise. Le résultat est un écart structurel en matière d’identité, de politique et de conformité que les plateformes en aval ne peuvent pas combler. Cet article définit l’identité mobile d’entreprise, nomme les risques spécifiques qui découlent de son absence, compare les approches existantes au problème et décrit comment le Mobile Native Dialer de CallTower le traite au niveau réseau plutôt qu’au niveau applicatif. L’argument est étroit par conception : ce que CallTower offre n’est pas un substitut aux communications unifiées, à la gestion des appareils mobiles ou à des contrôles hors canal plus larges, mais un mécanisme pour s’assurer que chaque appel d’affaires passé à partir d’un appareil mobile est, dès le moment de sa création, un appel sur l’infrastructure de communication propre à l’entreprise.
1. Le problème créé par le mobile
Pendant la majeure partie de l’histoire de la téléphonie d’affaires, l’identité d’entreprise était un sous-produit de l’infrastructure. Le téléphone de bureau, l’extension assignée, le PBX et le câblage de l’immeuble pointaient tous vers la même chose : un utilisateur d’affaires connu, sur une ligne d’affaires connue, sur un trajet contrôlé par l’entreprise de bout en bout. L’identité n’avait pas besoin d’être affirmée. C’était inhérent à la façon dont l’appel est né.
Mobile a dissous cet alignement. Un combiné transporté par un employé est provisionné par un opérateur de réseau mobile sous un compte grand public ou une petite entreprise, authentifié par une SIM liée à cet abonné, puis acheminé via le réseau central de l’opérateur avant de toucher à quoi que ce soit que l’entreprise possède. Lorsque l’employé passe un appel d’entreprise, rien dans le chemin d’origine n’indique au système récepteur — ni aux systèmes de politique, d’enregistrement et de conformité de l’entreprise — qu’il s’agit d’une communication d’affaires. L’appel est simplement un appel mobile passé par quelqu’un qui travaille pour l’entreprise.
Ce n’est pas un écart que les plateformes en aval peuvent combler. C’est un écart qui doit être comblé au moment où l’appel commence.
2. Définition de l’identité mobile d’entreprise
Avant d’aller plus loin, le terme doit être défini, car il a été utilisé de façon large dans toute l’industrie.
L’identité mobile d’entreprise, telle qu’utilisée ici, désigne trois conditions spécifiques établies lors de l’origine de l’appel :
Premièrement, la communication est associée à un TDI corporatif — un numéro d’entreprise détenu et administré par l’entreprise — plutôt qu’à un numéro de mobile personnel attribué par un opérateur à une personne.
Deuxièmement, la communication est authentifiée par rapport à la plateforme UC de l’entreprise comme une extension de cette plateforme, et non comme un appel externe passé à ou depuis un employé.
Troisièmement, le chemin de signalisation de l’appel transite par l’infrastructure contrôlée par l’entreprise avant qu’elle n’atteigne le réseau public, de sorte que les systèmes de politiques, d’enregistrement et de conformité voient l’appel comme un événement d’affaires natif plutôt que comme un événement externe.
Une solution qui ne fournit qu’un ou deux de ces éléments n’établit pas d’identité mobile d’entreprise. Il fournit un signal partiel que les systèmes en aval doivent encore interpréter.
3. Ce que ça coûte de ne pas résoudre ce problème
Le fossé dans l’identité mobile n’est pas une préoccupation théorique. Il produit une exposition spécifique et mesurable dans quatre catégories, chacune visible dans les dossiers d’exécution, les résultats de litige ou les indicateurs opérationnels que les entreprises suivent déjà.
Exposition à la tenue de dossiers réglementaires.
Depuis la fin de 2021, la SEC et la CFTC ont imposé des milliards de dollars d’amendes combinées aux courtiers-négociants et aux conseillers en placement pour non-respect des communications commerciales effectuées sur des appareils personnels et par des moyens hors chaîne. J.P. Morgan Securities a à lui seul payé une amende de 200 millions de dollars pour de telles violations. Le schéma d’application s’est étendu à la plupart des grandes institutions financières, et la théorie de l’affaire est cohérente : si un employé réglementé exerçait des activités sur un canal mobile que l’entreprise n’a pas captée, celle-ci a manqué à son obligation de tenue de registres. Un modèle de communications mobiles dans lequel les appels et textos professionnels proviennent régulièrement de l’extérieur de la plateforme UC ne crée pas seulement un risque — il produit exactement l’écart de preuve ciblé par les actions d’application. Les entreprises des services financiers, de la santé et d’autres secteurs réglementés ne peuvent pas compter sur la discrétion des employés pour la fermer.
Litige et exposition à la découverte électronique.
Même en dehors des industries réglementées, les communications mobiles effectuées sur des numéros personnels deviennent une responsabilité légale lorsque des litiges surviennent. Les tribunaux exigent de plus en plus la production de communications à partir d’appareils personnels lorsque des affaires étaient effectuées sur ceux-ci, ce qui impose des entrevues avec les gardiens, des obligations d’imagerie et de préservation des dispositifs coûteuses, invasives et difficiles à exécuter proprement. Un appel qui provient de l’infrastructure de communication de l’entreprise est capturé, conservé et produit par les mêmes processus que l’entreprise utilise déjà pour les courriels et les relevés téléphoniques de bureau. Un appel qui vient d’une ligne personnelle n’est rien de tout cela.
Usurpation d’identité et ingénierie sociale.
Lorsque des cadres et des employés font des affaires à partir de numéros mobiles personnels, l’entreprise n’a pas de base autoritaire pour détecter l’usurpation d’identité. Tout attaquant peut falsifier un numéro personnel. Tout destinataire d’un appel professionnel provenant d’un numéro de cellulaire inconnu n’a aucun moyen fiable de le vérifier. Établir une identité d’entreprise cohérente sur les appels mobiles sortants — un TDI corporatif vérifiable plutôt qu’un numéro personnel — élimine l’ambiguïté exploitée par les attaques d’ingénierie sociale.
Angles morts opérationnels.
Les entreprises investissent massivement dans des outils qui dépendent de la visibilité des communications sur la plateforme UC : analyse d’appels, intégration du CRM, gestion de la qualité du personnel, surveillance de la conformité et, de plus en plus, intelligence conversationnelle alimentée par l’IA. Les appels mobiles qui contournent la plateforme UC sont invisibles pour tous. L’entreprise paie pour l’information, elle ne reçoit pas une part croissante de ses communications, et la part croît parce que le travail mobile est en croissance. Les outillages ne sous-performent pas; Il manque de données.
La structure commune dans les quatre catégories est la même : chaque risque est une conséquence des communications d’affaires provenant de l’extérieur de l’infrastructure de communication de l’entreprise. Adresser le point d’origine couvre les quatre.
4. Pourquoi les alternatives évidentes sont insuffisantes
Trois approches des communications mobiles d’affaires sont largement déployées. Chacun aborde une partie du problème tout en laissant la question d’identité ouverte.
Applications mobiles UC (Teams mobile, Webex, Zoom Phone et clients softphone similaires).
Ces applications passent des appels professionnels via le réseau de données via une application sur l’appareil. Ils établissent l’identité de l’entreprise lorsqu’ils sont utilisés, car l’appel provient de la plateforme UC. La faiblesse est comportementale et technique : les utilisateurs passent fréquemment des appels professionnels depuis le composeur natif au lieu d’ouvrir l’application, ce qui annule complètement le contrôle d’identité; et la VoIP sur données cellulaires est moins fiable que la voix native, particulièrement dans les zones à faible couverture de données, ce qui ramène les utilisateurs au composeur natif. Le modèle d’identité est solide en principe et fuit en pratique.
Gestion d’appareils mobiles et conteneurs de profils de travail (Intune, Android Work Profile, Samsung Knox, configurations gérées iOS).
Ces données séparent les données commerciales et personnelles sur l’appareil, mais elles ne génèrent pas d’appels via l’infrastructure d’entreprise. Un appel passé depuis le profil professionnel quitte toujours l’appareil comme un appel mobile ordinaire sur le réseau de l’opérateur, présentant le numéro de cellulaire personnel de l’utilisateur, sauf si une application UC est dans le chemin. La conteneurisation résout le problème des données; Cela ne résout pas le problème de l’identité vocale.
Intégrations mobiles natives offertes directement par des fournisseurs UC.
Celles-ci se rapprochent du bon modèle en associant l’abonnement mobile à la plateforme UC afin que le numéro d’entreprise puisse sonner sur le composeur natif. La contrainte, c’est que ces offres sont généralement liées à des relations et des empreintes géographiques précises entre les opérateurs. Une entreprise avec un environnement multi-opérateurs, des utilisateurs internationaux ou un mélange d’appareils BYOD et responsables des entreprises ne peut souvent pas standardiser sur une seule offre directe. Une solution unifiée nécessite un fournisseur situé entre le réseau mobile et la plateforme UC et capable d’assurer l’intégration sur toute l’empreinte de l’entreprise.
C’est le rôle que joue CallTower Mobile Native Dialer.
5. Qu’est-ce qu’est le composeur natif CallTower Mobile
CallTower opère comme fournisseur de communications infonuagiques pour les UC d’entreprise depuis 2002, offrant la connectivité RTPC et l’intégration de plateforme pour Microsoft Teams (via Operator Connect et Direct Routing), Cisco Webex Calling et Zoom Phone. CallTower Mobile Native Dialer étend ce rôle au mobile en établissant un chemin contrôlé par l’entreprise entre l’appareil mobile et la plateforme UC au niveau réseau, et non à la couche application.
L’appareil mobile de l’utilisateur est équipé d’une eSIM d’entreprise émise par CallTower. L’eSIM peut être installée sur un appareil responsable de l’entreprise comme carte SIM principale, ou sur un appareil BYOD personnel en seconde ligne à côté de la SIM personnelle de l’utilisateur. Après l’installation, l’appareil se connecte au cœur mobile de CallTower en tant qu’abonné VoLTE sur la ligne d’affaires d’entreprise. Dans certains pays, cette connexion peut utiliser des réseaux GSM ou 2G.
L’entreprise attribue un DID corporatif à cette SIM — généralement le numéro Microsoft Teams existant d’un utilisateur, le numéro Webex Calling ou un autre DID d’entreprise déjà administré sur la plateforme UC. Le rôle de CallTower en tant que fournisseur Microsoft Teams Operator Connect et fournisseur Cisco Certified Mobile Calling signifie que le DID n’est pas un numéro parallèle superposé au mobile; C’est le même numéro d’entreprise, provisionné sur le mobile via le même plan de contrôle que l’entreprise utilise déjà pour ses téléphones de bureau et softphones.
À partir de ce moment, chaque appel passé ou reçu sur la ligne d’affaires transite par l’infrastructure de CallTower, qui se connecte directement à la plateforme UC via les mêmes relations RTC et contrôleur de frontière de session que CallTower exploite pour les communications fixes de l’entreprise. Le mobile n’est pas un appelant externe acheminé vers la plateforme UC. C’est un point d’arrivée de la plateforme UC. Le contraste avec le modèle mobile conventionnel est illustré à la Figure 1.
Figure 1. Appel d’affaires sortant, chemin mobile conventionnel versus chemin CallTower Mobile Native Dialer.
Trois implications découlent de cette architecture.
L’appel n’entre jamais dans le réseau mobile public en tant qu’appel anonyme des consommateurs. Elle prend naissance comme une session authentifiée sur un cœur mobile que CallTower exploite dans le cadre d’une relation commerciale et de signalisation avec l’entreprise.
La séparation des personas est appliquée au niveau de l’appareil, avant la couche réseau et application. Sur un appareil BYOD, l’eSIM professionnelle et la SIM personnelle sont deux abonnements mobiles indépendants sur le même appareil. Le composeur natif indique à l’utilisateur quelle ligne est active. Il n’y a pas d’application à oublier d’ouvrir, ni de chemin par lequel un appel d’affaires peut accidentellement laisser l’appareil sur la ligne personnelle.
La plateforme UC voit le mobile comme une extension. L’enregistrement d’appels, la journalisation de conformité, la présence, la messagerie vocale, le transfert d’appels et la numérotation par code court fonctionnent sur le mobile parce que la plateforme UC les traite exactement comme elle traite un téléphone de bureau. L’angle mort que laissent les applications MDM et UC — les appels mobiles qui se font hors de la visibilité de la plateforme UC — n’existe pas, car il n’existe pas de moyen pour qu’un appel d’affaires soit placé en dehors de cette plateforme.
6. Les trois questions, répondues mécaniquement
La définition à l’article 2 soulevait trois questions sur ce qui constitue l’identité mobile d’entreprise. Maintenant que le mécanisme est sur la table, chacun a une réponse concrète. La chaîne d’identité qui les lie est montrée à la Figure 2.
Figure 2. La chaîne d’identité entre l’utilisateur nommé et la session mobile authentifiée.
Qui communique? L’appel est authentifié à une eSIM d’entreprise spécifique, qui est liée à un DID spécifique dans la plateforme UC, qui est provisionné à un utilisateur nommé spécifique dans le répertoire de l’entreprise. La chaîne d’identité est explicite à chaque saut.
Sous quel personnage? Sur un appareil BYOD, les abonnements professionnels et personnels sont séparés au niveau de l’appareil, avec des identités de ligne distinctes exposées au composeur natif. La persona est déterminée par la ligne choisie par l’utilisateur; Il n’existe aucun mécanisme permettant d’attribuer à tort un appel sur la ligne d’affaires à la ligne personnelle ou vice versa.
Par quel chemin? L’appel transite par le cœur mobile de CallTower et la plateforme UC existante de l’entreprise avant d’atteindre une destination externe. Le chemin est fixé par la connexion réseau de la SIM, pas par la sélection de l’application.
7. Pourquoi cela est important pour la conformité et la sécurité
L’argument de l’identité correspond directement aux risques mentionnés à la Section 3.
Pour les entreprises réglementées, chaque appel d’entreprise sur un mobile devient un appel sur la plateforme UC par construction. Les mêmes contrôles d’enregistrement, de rétention et de supervision que l’entreprise applique déjà aux téléphones de bureau et aux softphones s’appliquent au mobile sans modification. Le manque de tenue des registres qui a conduit aux actions d’application de la SEC est structurellement comblé, et non géré administrativement.
Pour les équipes de sécurité, l’entreprise dispose désormais d’une identité d’entreprise cohérente et vérifiable sur les appels mobiles sortants. Les architectures zéro confiance et les contrôles d’accès basés sur l’identité obtiennent un signal mobile qu’ils n’avaient pas auparavant. Les attaques d’usurpation d’identité qui reposent sur l’absence d’un numéro d’entreprise autoritaire perdent leur fond.
Pour les outils opérationnels, la plateforme UC retrouve une visibilité sur les communications mobiles. L’analytique, la journalisation CRM, la gestion de la qualité et l’IA conversationnelle fonctionnent sur les appels mobiles de la même manière que sur n’importe quel autre appel traité par la plateforme.
8. Ce que le composeur natif CallTower Mobile n’est pas
L’argument en faveur de la solution est plus solide lorsqu’il est clair sur ses limites.
Ce n’est pas un substitut à une plateforme UC. Il s’intègre avec Teams, Webex et Zoom Phone; il ne les concurrence pas. Une entreprise sans plateforme UC n’en a aucune utilité.
Ce n’est pas une solution de gestion d’appareils mobiles. Il régit le chemin de communication, pas l’appareil lui-même. Les organisations qui doivent gérer l’appareil — chiffrement, installation d’applications, effacement à distance — ont toujours besoin de MDM en parallèle.
Ce n’est pas une réponse universelle au risque de communication hors chaîne. Les employés peuvent toujours utiliser des applications de messagerie personnelle, des courriels personnels et d’autres canaux qui se situent entièrement en dehors de l’infrastructure d’entreprise. Ce que la solution élimine, c’est le cas spécifique où une communication d’entreprise vocale ou SMS sur un combiné mobile échappe à la visibilité de l’entreprise.
9. Conclusion
Le problème d’identité mobile en entreprise est spécifique : les appels mobiles proviennent d’un contexte réseau que l’entreprise ne contrôle pas, avec une identité qui ne peut être liée de manière fiable aux systèmes d’entreprise après coup. Les applications UC résolvent partiellement ce problème, mais filtrent à travers le comportement des utilisateurs. Le MDM résout un problème adjacent. Les intégrations mobiles directement des fournisseurs le résolvent dans des limites étroites entre les opérateurs et la région.
CallTower Mobile Native Dialer règle le problème au niveau réseau, en insérant le cœur mobile contrôlé par l’entreprise dans le chemin d’appel, en connectant l’appareil à ce cœur via une eSIM d’entreprise, et en présentant le mobile à la plateforme UC comme une extension native utilisant les mêmes intégrations Operator Connect, Direct Routing et Webex Calling que CallTower offre déjà pour l’environnement fixe. Le résultat, c’est qu’un appel d’entreprise mobile est, dès le moment de son origine, un appel sur l’infrastructure de communication de l’entreprise — avec les propriétés d’identité, de politique et de conformité que cela implique.
C’est une affirmation plus restreinte que « identité mobile, résolue ». C’est aussi une affirmation qui peut être vérifiée, spécifiée dans un diagramme d’architecture et testée par rapport à un déploiement. Ce sont ces propriétés qui valent la peine d’être présentées à un acheteur.
À propos de CallTower
CallTower offre Microsoft Teams, Cisco Webex Calling, Zoom Phone et des solutions de centres de contact basées sur l’IA, le tout soutenu par un service mondial 24/7/365. Grâce à des intégrations profondes de plateformes, une architecture vocale à haute disponibilité et une expertise mondiale en gestion des numéros, CallTower permet aux organisations de standardiser leurs outils de collaboration tout en s’appuyant sur un seul partenaire pour la continuité vocale à l’échelle mondiale. CallTower Mobile Native Dialer étend encore ces intégrations à l’expérience mobile, offrant des appels d’entreprise cohérents sur tous les appareils et emplacements.
