Formation Cybersécurité (Sensibilisation)
Module 4 : Sécurité quotidienne au poste de travail
4.3 BYOD, télétravail, données pro vs perso : le bon partitionnement
Avec l'essor du télétravail et du BYOD (Bring Your Own Device), la frontière entre vie pro et vie perso s'efface — y compris en cybersécurité. Comment garantir la sécurité des données d'entreprise sur un équipement personnel, et inversement protéger sa vie privée sur un équipement pro.
Pyramide des risques du BYOD non encadré
Risques croissants en l'absence de politique BYOD et MDM (Mobile Device Management) appropriés.
Le BYOD : qu'est-ce que c'est, quel cadre ?
Le BYOD (Bring Your Own Device) désigne l'usage d'équipements personnels (smartphone, tablette, ordinateur portable) pour des tâches professionnelles. Selon les études (CESIN, IDC), 60 à 75 % des salariés français utilisent au moins un équipement personnel pour le travail, principalement le smartphone (email pro consulté, applis pro installées, photos de documents pro).
Variantes proches :
- BYOD strict : équipement 100 % personnel + accès aux ressources pro
- COPE (Corporate Owned Personally Enabled) : équipement fourni par l'employeur avec usage perso autorisé
- CYOD (Choose Your Own Device) : choix dans un catalogue d'équipements fournis par l'employeur
- COBO (Corporate Owned Business Only) : équipement de l'employeur, usage perso interdit (le plus strict)
Cadre juridique français : le BYOD est autorisé mais doit être encadré par une charte informatique formelle (article L1121-1 du Code du travail). L'employeur ne peut pas imposer le BYOD sans accord du salarié (article L1222-1 — bonne foi contractuelle), ni surveiller intégralement un équipement personnel (jurisprudence Cass. soc. 2020 sur le droit à la vie privée).
Le MDM / EMM : la solution technique du BYOD encadré
Le MDM (Mobile Device Management) et l'EMM (Enterprise Mobility Management) sont des solutions techniques qui permettent de séparer logiquement les données pro et perso sur un appareil unique :
- Partitionnement : sur Android Enterprise et iOS, création d'un « espace pro » isolé où sont installées les applis pro. Données pro et perso sont chiffrées séparément et ne peuvent pas se mélanger.
- Politique de sécurité : imposition de PIN/biométrie, chiffrement, mises à jour, restriction d'applications non approuvées dans le profil pro
- Effacement sélectif (wipe sélectif) : en cas de départ du salarié ou perte de l'appareil, l'admin peut effacer uniquement les données pro sans toucher aux photos de famille, contacts perso, applications privées
- Politique conditionnelle : accès aux ressources pro uniquement si l'appareil est conforme (à jour, chiffré, sans jailbreak)
Solutions du marché : Microsoft Intune (intégré Microsoft 365), Jamf (référence Apple), VMware Workspace ONE, MobileIron / Ivanti, Google Workspace MDM. Pour un déploiement BYOD sérieux, le MDM est indispensable.
Les règles d'or de la séparation pro/perso
Que vous soyez en BYOD, COPE ou télétravail avec équipement pro, 7 règles d'or garantissent une bonne séparation :
- Pas de fichiers pro sur cloud perso : Dropbox, Google Drive, iCloud Drive perso ne sont pas des dépôts de documents d'entreprise. Utiliser les outils pro fournis (OneDrive Entreprise, SharePoint, Google Workspace pro)
- Pas d'email pro depuis le client mail perso sans MDM/conteneurisation. Préférer l'app dédiée Outlook / Gmail séparée du compte perso
- Pas de réutilisation de mots de passe entre comptes pro et perso (chapitre 3.1) — c'est le pont qui permet la compromission croisée
- Pas de stockage de documents pro localement sur l'équipement perso sans accord employeur
- Pas de capture d'écran / photo de documents pro pour partage facile sur WhatsApp ou messagerie perso
- Pas d'installation d'applications de provenance douteuse sur l'équipement utilisé pour le travail
- Pas de partage de l'appareil avec famille / enfants si y figurent des données pro
Le télétravail : sécuriser l'environnement personnel
Depuis 2020, le télétravail s'est généralisé : selon la DARES, 30 à 40 % des salariés français pratiquent le télétravail au moins occasionnellement en 2025. Risques spécifiques :
- Wi-Fi domicile mal sécurisé : box opérateur avec mot de passe par défaut (souvent imprimé sur l'étiquette, partagé entre tous les anciens visiteurs)
- Cohabitants : enfants utilisant l'ordinateur pro, conjoint qui voit l'écran, visiteurs au domicile
- Objets connectés domestiques (IoT) : caméras, enceintes, télévisions connectées peuvent être compromises et observer / écouter
- Confidentialité des appels : visioconférences avec écran visible du voisinage, bruit de fond, écoutes possibles via fenêtres ouvertes
- Documents imprimés à domicile sans destruction sécurisée (poubelle commune de l'immeuble)
- Confusion vie pro / vie perso : horaires, droit à la déconnexion (loi Travail 2016)
Bonnes pratiques télétravail :
- Wi-Fi domicile en WPA3 avec mot de passe long, changé du défaut box
- Réseau invité séparé pour la famille, isolé du Wi-Fi pro
- Espace de travail dédié idéalement fermé (bureau séparé) ou écran orienté
- Casque audio pour les confidentialités des appels
- Destruction sécurisée des impressions (déchiqueteuse personnelle, ou retour au bureau pour destruction)
- Pas d'enregistrement vocal via assistants connectés (Alexa, Google Home, Siri toujours active) dans l'espace de travail
L'IA générative au travail : nouveau risque, nouvelle gouvernance
Depuis 2023, ChatGPT, Claude, Gemini, Copilot et autres assistants IA sont massivement utilisés au travail — souvent sans politique d'entreprise claire. Risques émergents :
- Fuite de données confidentielles : un salarié colle un contrat client, une analyse financière, du code source dans ChatGPT public — les données peuvent être conservées et utilisées pour l'entraînement
- Hallucinations : l'IA peut produire des informations factuellement fausses présentées avec assurance. Si elles sont reprises sans vérification (juridique, médical, technique), conséquences graves
- Prompt injection : des contenus malveillants insérés dans des documents peuvent détourner l'IA pour exécuter des actions non souhaitées
- Phishing assisté par IA : utilisé contre vous (chapitre 2.1)
Politique recommandée pour les entreprises :
- Solution IA d'entreprise avec engagement de non-utilisation pour entraînement (Microsoft Copilot Enterprise, ChatGPT Enterprise, Claude for Work, Mistral Le Chat Pro)
- Charte IA précisant ce qui peut / ne peut pas être partagé avec une IA
- Formation à l'usage responsable (vérification systématique des réponses, citation des sources, conscience des limites)
- Interdiction explicite du partage de données personnelles, secrets industriels, code source confidentiel avec des IA grand public
Pour le salarié : ne jamais coller dans une IA grand public ce que vous ne mettriez pas dans un email envoyé en clair à un inconnu. Si l'entreprise n'a pas de politique, demander au DPO ou RSSI avant tout usage avancé.
Le départ du salarié : un risque souvent oublié
Le départ d'un salarié (démission, licenciement, fin de mission) est un moment critique en cybersécurité. Risques :
- Comptes orphelins non désactivés à temps → accès résiduels potentiellement utilisés par le salarié partant ou un attaquant qui le contraint
- Données pro restant sur équipements perso en BYOD (emails, documents, contacts clients)
- Téléchargements massifs juste avant le départ (vol de fichiers vers la concurrence)
- Backdoors volontaires installés par un employé en colère (cas Tesla 2018)
- Accès tiers : SSH, VPN, API keys, services SaaS personnels créés au nom de l'entreprise
Processus de sortie sécurisé (« offboarding ») à appliquer :
- Désactivation immédiate de tous les accès (annuaire, VPN, SaaS) le jour J — pas le lendemain
- Restitution du matériel pro (ordinateur, téléphone, badges, tokens FIDO2)
- Wipe sélectif de l'espace pro sur équipements BYOD (le MDM le fait automatiquement)
- Audit des actions du salarié dans les 30 jours précédents (recherche d'exfiltration)
- Changement des mots de passe partagés auxquels il avait accès (comptes de service, coffres-forts d'équipe)
- Notification aux interlocuteurs externes (clients, fournisseurs) du nouveau contact de référence
Checklist télétravail sécurisé — 12 points
À retenir
- BYOD encadré = chartre informatique + MDM (partitionnement, wipe sélectif, politique conditionnelle).
- 7 règles d'or : pas de fichiers pro sur cloud perso, pas de réutilisation MDP pro/perso, séparation stricte.
- Télétravail : WPA3, réseau invité, espace dédié, casque audio, destruction sécurisée.
- IA générative : ne jamais coller données confidentielles dans ChatGPT public. Solution entreprise + charte.
- Offboarding = moment critique : désactivation immédiate, wipe BYOD, audit des actions 30 jours avant.
- Droit à la vie privée du salarié + droit de contrôle de l'employeur : équilibre encadré par le Code du travail.