Cybersécurité Utilisateur

Formation Cybersécurité (Sensibilisation)

Module 4 : Sécurité quotidienne au poste de travail

Module 4 : Poste de travail 16 min de lecture

4.3 BYOD, télétravail, données pro vs perso : le bon partitionnement

Avec l'essor du télétravail et du BYOD (Bring Your Own Device), la frontière entre vie pro et vie perso s'efface — y compris en cybersécurité. Comment garantir la sécurité des données d'entreprise sur un équipement personnel, et inversement protéger sa vie privée sur un équipement pro.

Pyramide des risques du BYOD non encadré
Compromission complète du SI via le BYOD compromis
Fuite de données massive (emails pro sur cloud perso)
Surveillance employeur sur données personnelles
Vol/perte de l'appareil avec mix pro/perso
Malware perso impactant les ressources pro
Conflit horaires travail/vie privée

Risques croissants en l'absence de politique BYOD et MDM (Mobile Device Management) appropriés.

1

Le BYOD : qu'est-ce que c'est, quel cadre ?

Le BYOD (Bring Your Own Device) désigne l'usage d'équipements personnels (smartphone, tablette, ordinateur portable) pour des tâches professionnelles. Selon les études (CESIN, IDC), 60 à 75 % des salariés français utilisent au moins un équipement personnel pour le travail, principalement le smartphone (email pro consulté, applis pro installées, photos de documents pro).

Variantes proches :

  • BYOD strict : équipement 100 % personnel + accès aux ressources pro
  • COPE (Corporate Owned Personally Enabled) : équipement fourni par l'employeur avec usage perso autorisé
  • CYOD (Choose Your Own Device) : choix dans un catalogue d'équipements fournis par l'employeur
  • COBO (Corporate Owned Business Only) : équipement de l'employeur, usage perso interdit (le plus strict)

Cadre juridique français : le BYOD est autorisé mais doit être encadré par une charte informatique formelle (article L1121-1 du Code du travail). L'employeur ne peut pas imposer le BYOD sans accord du salarié (article L1222-1 — bonne foi contractuelle), ni surveiller intégralement un équipement personnel (jurisprudence Cass. soc. 2020 sur le droit à la vie privée).

2

Le MDM / EMM : la solution technique du BYOD encadré

Le MDM (Mobile Device Management) et l'EMM (Enterprise Mobility Management) sont des solutions techniques qui permettent de séparer logiquement les données pro et perso sur un appareil unique :

  • Partitionnement : sur Android Enterprise et iOS, création d'un « espace pro » isolé où sont installées les applis pro. Données pro et perso sont chiffrées séparément et ne peuvent pas se mélanger.
  • Politique de sécurité : imposition de PIN/biométrie, chiffrement, mises à jour, restriction d'applications non approuvées dans le profil pro
  • Effacement sélectif (wipe sélectif) : en cas de départ du salarié ou perte de l'appareil, l'admin peut effacer uniquement les données pro sans toucher aux photos de famille, contacts perso, applications privées
  • Politique conditionnelle : accès aux ressources pro uniquement si l'appareil est conforme (à jour, chiffré, sans jailbreak)

Solutions du marché : Microsoft Intune (intégré Microsoft 365), Jamf (référence Apple), VMware Workspace ONE, MobileIron / Ivanti, Google Workspace MDM. Pour un déploiement BYOD sérieux, le MDM est indispensable.

3

Les règles d'or de la séparation pro/perso

Que vous soyez en BYOD, COPE ou télétravail avec équipement pro, 7 règles d'or garantissent une bonne séparation :

  1. Pas de fichiers pro sur cloud perso : Dropbox, Google Drive, iCloud Drive perso ne sont pas des dépôts de documents d'entreprise. Utiliser les outils pro fournis (OneDrive Entreprise, SharePoint, Google Workspace pro)
  2. Pas d'email pro depuis le client mail perso sans MDM/conteneurisation. Préférer l'app dédiée Outlook / Gmail séparée du compte perso
  3. Pas de réutilisation de mots de passe entre comptes pro et perso (chapitre 3.1) — c'est le pont qui permet la compromission croisée
  4. Pas de stockage de documents pro localement sur l'équipement perso sans accord employeur
  5. Pas de capture d'écran / photo de documents pro pour partage facile sur WhatsApp ou messagerie perso
  6. Pas d'installation d'applications de provenance douteuse sur l'équipement utilisé pour le travail
  7. Pas de partage de l'appareil avec famille / enfants si y figurent des données pro
Publicité
4

Le télétravail : sécuriser l'environnement personnel

Depuis 2020, le télétravail s'est généralisé : selon la DARES, 30 à 40 % des salariés français pratiquent le télétravail au moins occasionnellement en 2025. Risques spécifiques :

  • Wi-Fi domicile mal sécurisé : box opérateur avec mot de passe par défaut (souvent imprimé sur l'étiquette, partagé entre tous les anciens visiteurs)
  • Cohabitants : enfants utilisant l'ordinateur pro, conjoint qui voit l'écran, visiteurs au domicile
  • Objets connectés domestiques (IoT) : caméras, enceintes, télévisions connectées peuvent être compromises et observer / écouter
  • Confidentialité des appels : visioconférences avec écran visible du voisinage, bruit de fond, écoutes possibles via fenêtres ouvertes
  • Documents imprimés à domicile sans destruction sécurisée (poubelle commune de l'immeuble)
  • Confusion vie pro / vie perso : horaires, droit à la déconnexion (loi Travail 2016)

Bonnes pratiques télétravail :

  • Wi-Fi domicile en WPA3 avec mot de passe long, changé du défaut box
  • Réseau invité séparé pour la famille, isolé du Wi-Fi pro
  • Espace de travail dédié idéalement fermé (bureau séparé) ou écran orienté
  • Casque audio pour les confidentialités des appels
  • Destruction sécurisée des impressions (déchiqueteuse personnelle, ou retour au bureau pour destruction)
  • Pas d'enregistrement vocal via assistants connectés (Alexa, Google Home, Siri toujours active) dans l'espace de travail
5

L'IA générative au travail : nouveau risque, nouvelle gouvernance

Depuis 2023, ChatGPT, Claude, Gemini, Copilot et autres assistants IA sont massivement utilisés au travail — souvent sans politique d'entreprise claire. Risques émergents :

  • Fuite de données confidentielles : un salarié colle un contrat client, une analyse financière, du code source dans ChatGPT public — les données peuvent être conservées et utilisées pour l'entraînement
  • Hallucinations : l'IA peut produire des informations factuellement fausses présentées avec assurance. Si elles sont reprises sans vérification (juridique, médical, technique), conséquences graves
  • Prompt injection : des contenus malveillants insérés dans des documents peuvent détourner l'IA pour exécuter des actions non souhaitées
  • Phishing assisté par IA : utilisé contre vous (chapitre 2.1)

Politique recommandée pour les entreprises :

  • Solution IA d'entreprise avec engagement de non-utilisation pour entraînement (Microsoft Copilot Enterprise, ChatGPT Enterprise, Claude for Work, Mistral Le Chat Pro)
  • Charte IA précisant ce qui peut / ne peut pas être partagé avec une IA
  • Formation à l'usage responsable (vérification systématique des réponses, citation des sources, conscience des limites)
  • Interdiction explicite du partage de données personnelles, secrets industriels, code source confidentiel avec des IA grand public

Pour le salarié : ne jamais coller dans une IA grand public ce que vous ne mettriez pas dans un email envoyé en clair à un inconnu. Si l'entreprise n'a pas de politique, demander au DPO ou RSSI avant tout usage avancé.

6

Le départ du salarié : un risque souvent oublié

Le départ d'un salarié (démission, licenciement, fin de mission) est un moment critique en cybersécurité. Risques :

  • Comptes orphelins non désactivés à temps → accès résiduels potentiellement utilisés par le salarié partant ou un attaquant qui le contraint
  • Données pro restant sur équipements perso en BYOD (emails, documents, contacts clients)
  • Téléchargements massifs juste avant le départ (vol de fichiers vers la concurrence)
  • Backdoors volontaires installés par un employé en colère (cas Tesla 2018)
  • Accès tiers : SSH, VPN, API keys, services SaaS personnels créés au nom de l'entreprise

Processus de sortie sécurisé (« offboarding ») à appliquer :

  1. Désactivation immédiate de tous les accès (annuaire, VPN, SaaS) le jour J — pas le lendemain
  2. Restitution du matériel pro (ordinateur, téléphone, badges, tokens FIDO2)
  3. Wipe sélectif de l'espace pro sur équipements BYOD (le MDM le fait automatiquement)
  4. Audit des actions du salarié dans les 30 jours précédents (recherche d'exfiltration)
  5. Changement des mots de passe partagés auxquels il avait accès (comptes de service, coffres-forts d'équipe)
  6. Notification aux interlocuteurs externes (clients, fournisseurs) du nouveau contact de référence
Checklist télétravail sécurisé — 12 points
Box Wi-Fi domicile en WPA3
Mot de passe Wi-Fi changé du défaut
Réseau invité séparé pour famille
VPN entreprise actif pour ressources internes
Espace de travail dédié, écran orienté
Casque audio pour les appels confidentiels
Assistants vocaux désactivés dans l'espace de travail
Destruction sécurisée des impressions
Pas de partage de l'ordinateur pro avec famille
Outils pro uniquement (pas cloud perso)
Droit à la déconnexion respecté
Pas de prompts IA avec données confidentielles
À retenir
  • BYOD encadré = chartre informatique + MDM (partitionnement, wipe sélectif, politique conditionnelle).
  • 7 règles d'or : pas de fichiers pro sur cloud perso, pas de réutilisation MDP pro/perso, séparation stricte.
  • Télétravail : WPA3, réseau invité, espace dédié, casque audio, destruction sécurisée.
  • IA générative : ne jamais coller données confidentielles dans ChatGPT public. Solution entreprise + charte.
  • Offboarding = moment critique : désactivation immédiate, wipe BYOD, audit des actions 30 jours avant.
  • Droit à la vie privée du salarié + droit de contrôle de l'employeur : équilibre encadré par le Code du travail.
Sommaire de la formation
Progression : 71%