Identité mobile gérée par l'entreprise dès le point d'origine
Présentation technique destinée aux responsables des télécommunications, de la sécurité et de la conformité
Livre blanc publié par CallTower, Inc.
Résumé
Les communications mobiles sont devenues un canal essentiel pour les entreprises, mais la plupart des appels professionnels passés depuis un mobile proviennent de l’extérieur ou sont déconnectés de l’infrastructure de communication de l’entreprise. Il en résulte un fossé structurel en matière d’identité, de politique et de conformité que les plateformes en aval ne peuvent combler. Ce document définit l’identité mobile d’entreprise, identifie les risques spécifiques découlant de son absence, compare les approches existantes pour résoudre ce problème et décrit comment le Mobile Native Dialer de CallTower y répond au niveau de la couche réseau plutôt qu’au niveau de la couche application. L'argument est délibérément restreint : ce que propose CallTower ne remplace pas les communications unifiées, la gestion des appareils mobiles ou les contrôles hors canal plus généraux, mais constitue un mécanisme garantissant que chaque appel professionnel passé depuis un appareil mobile est, dès son origine, un appel transitant par l'infrastructure de communication propre à l'entreprise.
1. Le problème causé par les téléphones portables
Pendant la majeure partie de l'histoire de la téléphonie d'entreprise, l'identité de l'entreprise était un sous-produit de l'infrastructure. Le téléphone de bureau, le poste attribué, le PBX et le câblage du bâtiment convergeaient tous vers la même chose : un utilisateur professionnel identifié, sur une ligne professionnelle identifiée, via un circuit que l'entreprise contrôlait de bout en bout. Il n'était pas nécessaire d'affirmer cette identité. Elle était inhérente à la manière dont l'appel était émis.
La téléphonie mobile a bouleversé cette organisation. Un téléphone portable utilisé par un employé est fourni par un opérateur de réseau mobile dans le cadre d’un abonnement grand public ou destiné aux petites entreprises, authentifié par une carte SIM liée à cet abonné, et acheminé via le réseau central de l’opérateur avant même d’entrer en contact avec les équipements de l’entreprise. Lorsque l'employé passe un appel professionnel, rien dans le chemin d'origine n'indique au système destinataire — ni aux systèmes de politique, d'enregistrement et de conformité de l'entreprise — qu'il s'agit d'une communication professionnelle. L'appel est simplement un appel mobile qui se trouve être passé par une personne travaillant pour l'entreprise.
Ce n'est pas un écart que les plateformes en aval peuvent combler. C'est un écart qui doit être comblé dès le début de l'appel.
2. Définition de l'identité mobile d'entreprise
Avant d'aller plus loin, il convient de définir ce terme, car il est utilisé de manière assez vague dans l'ensemble du secteur.
Dans le présent document, l'« identité mobile d'entreprise » désigne trois conditions spécifiques définies au moment de l'établissement de l'appel :
Tout d'abord, la communication est associée à un numéro DID d'entreprise — un numéro professionnel détenu et géré par l'entreprise — plutôt qu'à un numéro de portable personnel attribué par un opérateur à un particulier.
Deuxièmement, la communication est authentifiée par rapport à la plateforme de communications unifiées de l'entreprise en tant qu'extension de cette plateforme, et non comme un appel externe passant par hasard par un employé.
Troisièmement, le chemin de signalisation de l'appel transite par l'infrastructure contrôlée par l'entreprise avant d'atteindre le réseau public, de sorte que les systèmes de gestion des politiques, d'enregistrement et de conformité considèrent l'appel comme un événement interne à l'entreprise plutôt que comme un événement externe.
Une solution qui ne fournit qu'un ou deux de ces éléments ne permet pas d'établir une identité mobile d'entreprise. Elle ne fournit qu'un indice partiel que les systèmes en aval doivent encore interpréter.
3. Ce que cela coûte de ne pas résoudre ce problème
La lacune en matière d'identité mobile n'est pas un problème purement théorique. Elle entraîne des risques concrets et mesurables dans quatre domaines distincts, chacun étant visible dans les rapports d'application de la loi, les issues des litiges ou les indicateurs opérationnels que les entreprises suivent déjà.
Risques liés à la tenue des registres réglementaires.
Depuis fin 2021, la SEC et la CFTC ont infligé des amendes cumulées de plusieurs milliards de dollars à des courtiers et à des conseillers en investissement pour ne pas avoir conservé les communications professionnelles effectuées sur des appareils personnels et par des moyens hors canaux officiels. À elle seule, J.P. Morgan Securities a dû s’acquitter d’une amende de 200 millions de dollars pour de telles infractions. Cette tendance en matière d'application de la loi s'est étendue à la plupart des grandes institutions financières, et le raisonnement est le même : si un employé soumis à la réglementation a mené des activités professionnelles sur un canal mobile que l'entreprise n'a pas enregistré, celle-ci a manqué à son obligation de conservation des données. Un modèle de communication mobile dans lequel les appels et SMS professionnels proviennent systématiquement de l'extérieur de la plateforme de communications unifiées ne crée pas simplement un risque — il engendre précisément le vide probatoire visé par les mesures coercitives. Les entreprises des services financiers, des soins de santé et d'autres secteurs réglementés ne peuvent pas compter sur la discrétion de leurs employés pour combler ce vide.
Risques liés aux litiges et à la recherche électronique de preuves.
Même en dehors des secteurs réglementés, les communications mobiles effectuées à partir de numéros personnels peuvent engager la responsabilité juridique en cas de litige. Les tribunaux exigent de plus en plus souvent la production des communications provenant d’appareils personnels lorsque ceux-ci ont été utilisés à des fins professionnelles, ce qui implique des interrogatoires des détenteurs, la copie intégrale des appareils et des obligations de conservation qui sont coûteuses, intrusives et difficiles à mettre en œuvre de manière rigoureuse. Un appel provenant de l'infrastructure de communication de l'entreprise est capturé, conservé et peut être produit via les mêmes processus que ceux déjà utilisés par l'entreprise pour les e-mails et les enregistrements de téléphones fixes. Un appel provenant d'une ligne personnelle ne relève d'aucune de ces catégories.
Usurpation d'identité et ingénierie sociale.
Lorsque les dirigeants et les employés utilisent leur numéro de portable personnel pour leurs activités professionnelles, l'entreprise ne dispose d'aucun repère fiable permettant de détecter une usurpation d'identité. N'importe quel pirate peut usurper un numéro personnel. Le destinataire d'un appel professionnel provenant d'un numéro de portable inconnu n'a aucun moyen fiable de le vérifier. L'utilisation d'une identité professionnelle cohérente pour les appels sortants depuis un mobile — un numéro DID d'entreprise vérifiable plutôt qu'un numéro personnel — élimine l'ambiguïté dont tirent parti les attaques d'ingénierie sociale.
Les angles morts opérationnels.
Les entreprises investissent massivement dans des outils qui reposent sur la visibilité des communications au sein de la plateforme de communications unifiées : analyse des appels, intégration CRM, gestion de la qualité des effectifs, contrôle de la conformité et, de plus en plus, intelligence conversationnelle basée sur l'IA. Les appels mobiles qui contournent la plateforme de communications unifiées sont invisibles pour l'ensemble de ces outils. L'entreprise paie pour obtenir des informations, mais elle n'en tire pas parti pour une part croissante de ses communications, et cette part augmente car le travail mobile se développe. Les outils ne sont pas sous-performants ; ils manquent cruellement de données.
La structure commune aux quatre catégories est la même : chaque risque découle de communications professionnelles provenant de l'extérieur de l'infrastructure de communication de l'entreprise. En s'attaquant à la source du problème, on résout les quatre.
4. Pourquoi les solutions de rechange évidentes ne font pas l'affaire
Trois approches en matière de communications d'entreprise mobiles sont largement utilisées. Chacune d'entre elles résout une partie du problème, tout en laissant en suspens la question de l'identité.
Applications mobiles UC (Teams Mobile, Webex, Zoom Phone et autres clients de softphone similaires).
Ces applications permettent de passer des appels professionnels via le réseau de données grâce à une application installée sur l'appareil. Elles garantissent l'identité de l'entreprise lorsqu'elles sont utilisées, car l'appel est émis depuis la plateforme de communications unifiées. La faiblesse est à la fois comportementale et technique : les utilisateurs passent souvent des appels professionnels à partir du numéroteur natif au lieu d'ouvrir l'application, ce qui annule complètement le contrôle d'identité ; et la VoIP via les données cellulaires est moins fiable que la voix native, en particulier dans les zones où la couverture de données est faible, ce qui incite les utilisateurs à revenir au numéroteur natif. Le modèle d'identité est solide en principe, mais présente des failles dans la pratique.
Gestion des appareils mobiles et conteneurs de profil professionnel (Intune, Android Work Profile, Samsung Knox, configurations gérées iOS).
Ces solutions séparent les données professionnelles des données personnelles sur l'appareil, mais elles ne font pas transiter les appels par l'infrastructure de l'entreprise. Un appel passé depuis le profil professionnel sort toujours de l'appareil sous la forme d'un appel mobile classique sur le réseau de l'opérateur, en affichant le numéro de portable personnel de l'utilisateur, à moins qu'une application de communications unifiées ne soit intercalée dans le parcours. La conteneurisation résout le problème des données ; elle ne résout pas celui de l'identité vocale.
Intégrations mobiles natives proposées directement par les fournisseurs de solutions de communications unifiées.
Ces solutions se rapprochent du modèle idéal en associant l'abonnement mobile à la plateforme de communications unifiées, ce qui permet au numéro professionnel de sonner sur l'application d'appel native. La contrainte réside dans le fait que ces offres sont généralement liées à des partenariats spécifiques avec des opérateurs et à des zones de couverture géographiques bien définies. Une entreprise disposant d'un environnement multi-opérateurs, d'utilisateurs internationaux ou d'un mélange d'appareils BYOD et d'appareils à la charge de l'entreprise ne peut souvent pas se standardiser sur une seule offre directe. Une solution unifiée nécessite un fournisseur qui se situe entre le réseau mobile et la plateforme de communications unifiées et qui est capable d'assurer l'intégration sur l'ensemble du périmètre de l'entreprise.
C'est précisément le rôle que joue CallTower Mobile Native Dialer.
5. Qu'est-ce que le numéroteur natif CallTower Mobile ?
CallTower est un fournisseur de solutions de communication cloud pour les entreprises dans le domaine des communications unifiées (UC) depuis 2002. Il propose une connectivité PSTN et l'intégration de plateformes pour Microsoft Teams (via Operator Connect et Direct Routing), Cisco Webex Calling et Zoom Phone. CallTower Mobile Native Dialer étend cette offre au domaine mobile en établissant une connexion contrôlée par l'entreprise entre l'appareil mobile et la plateforme de communications unifiées au niveau de la couche réseau, et non au niveau de la couche applicative.
L'appareil mobile de l'utilisateur est équipé d'une eSIM d'entreprise émise par CallTower. L'eSIM peut être installée sur un appareil fourni par l'entreprise en tant que carte SIM principale, ou sur un appareil personnel (BYOD) en tant que deuxième ligne, en complément de la carte SIM personnelle de l'utilisateur. Une fois installée, l'appareil se connecte au cœur de réseau mobile de CallTower en tant qu'abonné VoLTE sur la ligne professionnelle de l'entreprise. Dans certains pays, cette connexion peut utiliser les réseaux GSM ou 2G.
L'entreprise attribue un numéro DID d'entreprise à cette carte SIM — il s'agit généralement du numéro Microsoft Teams existant de l'utilisateur, de son numéro Webex Calling ou d'un autre numéro DID d'entreprise déjà géré sur la plateforme de communications unifiées. Le rôle de CallTower en tant que fournisseur Microsoft Teams Operator Connect et fournisseur de services d'appels mobiles certifié Cisco signifie que le numéro DID n'est pas un numéro parallèle superposé au mobile ; il s'agit du même numéro professionnel, attribué au mobile via le même plan de contrôle que l'entreprise utilise déjà pour ses téléphones de bureau et ses softphones.
À partir de ce moment-là, chaque appel passé ou reçu sur la ligne professionnelle transite par l'infrastructure de CallTower, qui se connecte directement à la plateforme de communications unifiées via les mêmes liaisons PSTN et les mêmes contrôleurs de session en périphérie que ceux que CallTower exploite pour les communications fixes de l'entreprise. Le mobile n'est pas un appelant externe acheminé vers la plateforme de communications unifiées. Il s'agit d'un terminal de la plateforme de communications unifiées. La figure 1 illustre la différence avec le modèle mobile classique.
Figure 1. Appel professionnel sortant : comparaison entre le chemin mobile classique et le chemin CallTower Mobile Native Dialer.
Cette architecture a trois conséquences.
L'appel n'est jamais acheminé vers le réseau mobile public en tant qu'appel anonyme d'un particulier. Il prend naissance sous la forme d'une session authentifiée sur un cœur de réseau mobile que CallTower exploite dans le cadre d'un accord commercial et de signalisation conclu avec l'entreprise.
La séparation des profils est appliquée au niveau de l'appareil, avant les couches réseau et applicative. Sur un appareil BYOD, l'eSIM professionnelle et la carte SIM personnelle constituent deux abonnements mobiles distincts sur le même appareil. Le numéroteur natif indique à l'utilisateur quelle ligne est active. Il n'y a donc aucune application à ouvrir et aucun risque qu'un appel passé depuis la ligne professionnelle soit accidentellement acheminé vers la ligne personnelle.
La plateforme de communications unifiées (UC) considère le mobile comme une extension. L'enregistrement des appels, la journalisation à des fins de conformité, la présence, la messagerie vocale, le transfert d'appels et la numérotation par code court fonctionnent sur le mobile, car la plateforme UC le traite exactement comme elle traite un téléphone fixe. Le « point mort » laissé par les applications MDM et UC — à savoir les appels mobiles qui échappent à la visibilité de la plateforme UC — n'existe pas, car il n'y a aucun moyen de passer un appel professionnel en dehors de cette plateforme.
6. Les trois questions, répondues de manière mécanique
La définition donnée à la section 2 soulevait trois questions concernant ce qui constitue l'identité mobile d'entreprise. Le mécanisme étant désormais défini, chacune de ces questions trouve une réponse concrète. La chaîne d'identité qui les relie est illustrée à la figure 2.
Figure 2. La chaîne d'identité allant de l'utilisateur identifié à la session mobile authentifiée.
Qui est à l'origine de l'appel ? L'appelest authentifié via une eSIM d'entreprise spécifique, qui est associée à un numéro DID spécifique sur la plateforme de communications unifiées, lequel est attribué à un utilisateur spécifique répertorié dans l'annuaire de l'entreprise. La chaîne d'identité est clairement établie à chaque étape.
Sous quel profil ? Surun appareil BYOD, les abonnements professionnels et personnels sont distincts au niveau de l'appareil, et des identités de ligne distinctes sont accessibles depuis l'application d'appel native. Le profil est déterminé par la ligne que l'utilisateur sélectionne ; il n'existe aucun mécanisme permettant d'attribuer par erreur un appel destiné à la ligne professionnelle à la ligne personnelle, ou inversement.
Par quel chemin ? L'appeltransite par le cœur de réseau mobile de CallTower et l'interconnexion avec la plateforme de communications unifiées existante de l'entreprise avant d'atteindre toute destination externe. Le chemin est déterminé par l'attachement réseau de la carte SIM, et non par le choix de l'application.
7. Pourquoi est-ce important pour la conformité et la sécurité ?
L'argument relatif à l'identité correspond directement aux risques mentionnés à la section 3.
Pour les entreprises soumises à une réglementation, tout appel professionnel passé depuis un téléphone mobile est, par définition, considéré comme un appel sur la plateforme de communications unifiées. Les mêmes mesures d'enregistrement, de conservation et de contrôle de supervision que l'entreprise applique déjà aux téléphones fixes et aux softphones s'appliquent aux téléphones mobiles sans aucune modification. La lacune en matière de conservation des enregistrements qui a donné lieu aux mesures coercitives de la SEC est comblée de manière structurelle, et non par des mesures administratives.
Pour les équipes de sécurité, l'entreprise dispose désormais d'une identité commerciale cohérente et vérifiable lors des appels mobiles sortants. Les architectures « zero-trust » et les contrôles d'accès basés sur l'identité bénéficient ainsi d'un signal mobile dont elles ne disposaient pas auparavant. Les attaques par usurpation d'identité, qui reposent sur l'absence d'un numéro professionnel faisant autorité, perdent ainsi tout terrain.
En matière d'outils opérationnels, la plateforme UC permet de retrouver une visibilité sur les communications mobiles. L'analyse de données, la journalisation CRM, la gestion de la qualité et l'IA conversationnelle s'appliquent aux appels mobiles de la même manière qu'à tout autre appel traité par la plateforme.
8. Ce que le numéroteur natif CallTower Mobile n'est pas
Une solution est d'autant plus convaincante qu'elle en expose clairement les limites.
Ce produit ne remplace pas une plateforme de communications unifiées. Il s'intègre à Teams, Webex et Zoom Phone ; il ne leur fait pas concurrence. Une entreprise qui ne dispose pas d'une plateforme de communications unifiées n'en a pas besoin.
Il ne s'agit pas d'une solution de gestion des appareils mobiles. Elle contrôle le canal de communication, et non l'appareil lui-même. Les entreprises qui ont besoin de gérer l'appareil (chiffrement, installation d'applications, effacement à distance) doivent tout de même recourir à une solution MDM en parallèle.
Il ne s'agit pas d'une solution universelle au risque lié aux communications hors canaux officiels. Les employés peuvent toujours utiliser des applications de messagerie personnelles, leur messagerie électronique privée et d'autres canaux qui ne relèvent absolument pas de l'infrastructure de l'entreprise. Ce que cette solution permet d'éliminer, c'est le cas précis où une communication professionnelle par appel vocal ou SMS sur un téléphone mobile échappe à la surveillance de l'entreprise.
9. Conclusion
Le problème de l'identité mobile en entreprise est spécifique : les appels mobiles proviennent d'un contexte réseau que l'entreprise ne contrôle pas, avec une identité qui ne peut être reliée de manière fiable aux systèmes de l'entreprise a posteriori. Les applications de communications unifiées (UC) apportent une solution partielle à ce problème, mais celui-ci persiste en raison du comportement des utilisateurs. La gestion des appareils mobiles (MDM) résout un problème connexe. Les intégrations mobiles proposées directement par les fournisseurs y remédient, mais dans des limites étroites en termes d'opérateurs et de zone géographique.
Le composeur natif mobile CallTower résout ce problème au niveau de la couche réseau, en intégrant le cœur de réseau mobile contrôlé par l’entreprise de CallTower dans le chemin d’appel, en connectant l’appareil à ce cœur via une eSIM d’entreprise, et en présentant le mobile à la plateforme de communications unifiées comme une extension native grâce aux mêmes intégrations Operator Connect, Direct Routing et Webex Calling que CallTower propose déjà pour l’environnement fixe. Il en résulte qu'un appel professionnel mobile est, dès son émission, un appel sur l'infrastructure de communication de l'entreprise — avec les propriétés d'identité, de politique et de conformité que cela implique.
C'est une affirmation plus précise que « l'identité mobile, un problème résolu ». C'est également une affirmation qui peut être vérifiée, détaillée dans un schéma d'architecture et testée en conditions réelles. Ce sont ces caractéristiques qui font qu'un argument mérite d'être présenté à un acheteur.
A propos de CallTower
CallTower propose des solutions pour Microsoft Teams, Cisco Webex Calling, Zoom Phone et des centres de contact basés sur l'IA, le tout soutenu par un service d'assistance mondial disponible 24 h/24, 7 j/7 et 365 j/an. Grâce à des intégrations profondes des plateformes, une architecture vocale hautement disponible et une expertise en gestion des numéros à l'échelle mondiale, CallTower permet aux organisations d'uniformiser leurs outils de collaboration tout en s'appuyant sur un partenaire unique pour assurer la continuité des services vocaux partout dans le monde. CallTower Mobile Native Dialer étend encore ces intégrations à l'expérience mobile, offrant des appels d'entreprise cohérents sur tous les appareils et dans tous les lieux.
