10 juillet 2026MDM & Endpoints

MDM Android : Work Profile, COBO, COPE — quel mode pour quel usage

Déployer des appareils Android en entreprise sans définir le bon mode de gestion expose les données professionnelles à des risques concrets et complique toute réponse à incident. Work Profile, COBO ou COPE : le choix conditionne l'architecture technique, la conformité nLPD et l'expérience utilisateur.

Par ZRS-Holding Sàrl·10 min de lecture·56 lectures
Partager

Un parc Android sans mode de gestion défini, c'est une frontière poreuse

Dans une PME de 40 à 100 employés, il est courant de trouver trois ou quatre générations d'appareils Android gérés différemment selon la politique du moment : BYOD sans containerisation, appareils d'entreprise déployés manuellement, quelques terminaux en kiosque configurés à la main. Résultat : aucune traçabilité des données professionnelles, aucune révocation d'accès fiable au départ d'un collaborateur, et une surface d'exposition qui ne correspond à rien dans le registre des activités de traitement exigé par la nLPD.

Android Enterprise — le framework de gestion professionnel de Google, disponible sur tous les appareils certifiés depuis Android 5.1 et obligatoire pour les nouveaux déploiements depuis Android 10 — propose trois architectures principales : Work Profile (WP), COBO (Company-Owned Business Only) et COPE (Company-Owned Personally Enabled). Choisir entre elles n'est pas une question de préférence : c'est une décision d'architecture qui engage la sécurité, la vie privée et la conformité réglementaire pour plusieurs années.

Les trois modes Android Enterprise : architecture et périmètre

Work Profile (WP) — BYOD avec isolation applicative

Le Work Profile crée un espace de travail chiffré et isolé dans un appareil personnel. Les applications professionnelles (mail, Teams, VPN, MDM agent) s'exécutent dans ce conteneur ; l'espace personnel reste hors de portée du MDM. Le profil IT ne peut pas lire les contacts personnels, les SMS, les photos ou les applications hors conteneur.

Techniquement, les deux espaces partagent le même noyau Android mais disposent d'identifiants de processus distincts. Le MDM peut imposer des politiques dans le Work Profile — chiffrement du stockage, blocage de la capture d'écran, interdiction du copier-coller entre espaces, application d'un VPN toujours actif (Always-on VPN via l'API setAlwaysOnVpnPackage) — sans toucher à l'espace personnel.

Limites : le MDM ne peut pas effacer l'appareil entier (seulement le Work Profile), ne peut pas appliquer un mot de passe d'appareil plus strict que ce que l'utilisateur a défini, et ne peut pas contrôler les connexions Wi-Fi de l'espace personnel. En cas de perte, l'essentiel des données d'entreprise est dans le conteneur, chiffré, révocable — mais le terminal physique reste un appareil personnel.

Usage recommandé : collaborateurs nomades avec téléphone personnel, populations commerciales ou administratives avec accès mail/calendrier/Teams, PME sans budget pour des appareils de flotte.

COBO — appareil d'entreprise, usage exclusivement professionnel

Company-Owned Business Only signifie que l'appareil appartient à l'entreprise et n'est pas prévu pour un usage personnel. L'enrollment se fait via un QR code, NFC, ou — pour les appareils inscrits dans Android Zero-Touch Enrollment — par provisionnement automatique à l'allumage.

En COBO, le MDM contrôle l'intégralité du terminal : liste d'applications autorisées (allowlist ou blocklist), gestion du réseau Wi-Fi et des certificats SCEP/PKCS, restrictions matérielles (caméra, Bluetooth, USB), wipe complet à distance. L'utilisateur n'a pas accès au Google Play Store standard ; seules les applications approuvées dans le Managed Google Play apparaissent.

Usage recommandé : terminaux de terrain (entrepôt, logistique, santé), appareils partagés entre équipes, postes dédiés à une application métier unique, environnements à haute exigence de conformité (FINMA, ISO 27001).

COPE — appareil d'entreprise avec espace personnel autorisé

Company-Owned Personally Enabled combine le contrôle total de l'appareil (propriété entreprise) avec la création d'un Work Profile pour isoler les données professionnelles — tout en laissant un espace personnel fonctionnel. Disponible officiellement depuis Android 11 ; les implémentations antérieures via des profils « managed device with work profile » étaient dépréciées et peu cohérentes entre constructeurs.

En pratique, le MDM gère deux couches : l'appareil entier (peut imposer le chiffrement complet, wipe total, contrôle USB, politique de mot de passe d'appareil) ET le Work Profile (isolation des apps pro, VPN applicatif, DLP). L'espace personnel permet à l'utilisateur d'installer ses applications via le Google Play standard — mais le MDM peut bloquer certaines catégories ou applications individuelles dans cet espace si la politique le prévoit.

Usage recommandé : cadres et commerciaux portant un téléphone d'entreprise avec besoin d'applications personnelles, organisations voulant maximiser l'adoption utilisateur tout en gardant la main sur le terminal physique.

Matrice de décision : quel mode pour quel contexte

Critère Work Profile COBO COPE Propriété appareil Employé Entreprise Entreprise Usage personnel autorisé Oui (hors MDM) Non Oui (isolé) Wipe total possible Non Oui Oui Contrôle mot de passe appareil Limité Total Total Isolation données pro/perso Forte N/A Forte Zero-Touch Enrollment Non Oui Oui Coût parc (TCO) Bas Élevé Élevé

Conformité nLPD et vie privée : les points de friction

La nouvelle loi fédérale sur la protection des données (nLPD), en vigueur depuis le 01.09.2023, impose un registre des activités de traitement pour toute organisation traitant des données personnelles à grande échelle, et renforce l'obligation de sécurité technique et organisationnelle. Le choix du mode MDM touche directement deux points :

1. Traitement des données personnelles de l'employé

En Work Profile BYOD, le MDM ne collecte aucune donnée de l'espace personnel. L'attestation de conformité est simple : les logs MDM (connexions, politiques appliquées, état du chiffrement) ne portent que sur le Work Profile. En COPE, le MDM dispose d'une visibilité sur l'appareil entier — y compris l'inventaire matériel, l'IMEI, la géolocalisation si activée — ce qui peut constituer un traitement de données personnelles de l'employé. Ce traitement doit figurer dans le registre, être fondé sur une base légale (contrat de travail, intérêt légitime documenté) et faire l'objet d'une information claire aux collaborateurs.

2. Réponse à incident et droit à l'effacement

En cas de perte ou de vol, la capacité à effacer les données d'entreprise sans toucher aux données personnelles (Work Profile, COPE) est un argument de conformité : l'employé conserve ses photos, ses contacts, ses applications personnelles. En COBO, le wipe total est justifiable contractuellement car l'appareil est clairement d'entreprise et sans usage personnel prévu. Le NCSC recommande de documenter ces procédures dans la politique de sécurité mobile ; un guide spécifique aux appareils mobiles est disponible sur le portail du Centre national pour la cybersécurité.

3. Android version minimale et patch cadence

Les CIS Benchmarks pour Android recommandent Android 12 minimum pour les déploiements COPE (Work Profile sur appareil géré), Android 10 minimum pour le Work Profile classique. En dessous d'Android 10, certaines API Android Enterprise ne sont pas disponibles ou sont dépréciées (Device Admin API), ce qui rend la gestion fragmentée et non garantie. Imposez une version minimale dans votre politique MDM et documentez les exceptions avec une date de migration.

Cas pratique : fiduciaire vaudoise, 55 appareils Android

Une fiduciaire de 38 collaborateurs basée à Lausanne gère des mandats fiscaux et comptables pour des PME romandes. Le parc mobile se compose de 55 appareils Android — mix Samsung Galaxy A54 et A34 sous Android 13 — utilisés pour accéder à ERP cloud, messagerie, et partage de documents via SharePoint. Jusqu'en 2023, aucun MDM : installation manuelle du client VPN et de l'application mail sur les téléphones personnels des employés.

Contexte et risques identifiés

  • Aucune révocation d'accès systématique au départ (3 cas documentés en 18 mois).
  • Données fiscales de clients (catégorie sensible nLPD) potentiellement stockées en local dans des apps non managées.
  • Impossible de prouver le chiffrement au repos lors d'un audit client.
  • 20 appareils personnels (BYOD non formalisé), 35 appareils d'entreprise sans enrollment standardisé.

Décision d'architecture

Après analyse, deux modes ont été retenus :

  1. Work Profile pour les 20 appareils personnels existants — les collaborateurs conservent leur téléphone, le MDM containerise uniquement les apps professionnelles (VPN, mail, SharePoint, app fiduciaire). Coût d'équipement supplémentaire : CHF 0. Coût licence MDM : CHF 4,80/appareil/mois.
  2. COPE pour les 35 appareils d'entreprise (renouvellement sur 36 mois) — contrôle total, Work Profile obligatoire pour les apps métier, espace personnel autorisé. Les 35 Samsung A54 avaient déjà été achetés ; le Zero-Touch Enrollment a été activé via le revendeur pour les futurs achats. Pas de remplacement immédiat.

Procédure de déploiement COPE (35 terminaux)

  1. Semaine 1 — Inventaire et reset factory des 35 appareils. Inscription au Zero-Touch Enrollment via le portail Google (account.google.com/enterprise/zero-touch) avec les numéros IMEI transmis par le revendeur.
  2. Semaine 1 — Configuration de la politique COPE dans la console MDM : mot de passe appareil minimum 8 caractères alphanumériques, chiffrement obligatoire (vérifié par API), Always-on VPN activé pour le Work Profile sur le port UDP 1194 vers le concentrateur VPN de la fiduciaire, désactivation de l'USB debugging, blocage de l'installation hors Managed Google Play.
  3. Semaine 2 — Déploiement des applications dans le Work Profile via Managed Google Play : mail, Teams, SharePoint, app fiduciaire, client VPN. Toutes en mode silencieux (pas d'interaction utilisateur).
  4. Semaine 2 — Session de 45 minutes avec les collaborateurs : explication du Work Profile, démonstration de l'icône de valise, confirmation que l'espace personnel n'est pas visible par l'IT.
  5. Semaine 3 — Déploiement Work Profile sur les 20 BYOD : envoi d'un lien d'enrollment par mail, installation de l'agent MDM, création automatique du Work Profile. Durée moyenne par appareil : 12 minutes.
  6. Semaine 4 — Audit de conformité : vérification que 100 % des appareils remontent un statut « chiffrement actif » et « Work Profile actif ». Mise à jour du registre des activités de traitement nLPD avec le nouveau périmètre de traitement.

Résultats mesurables

  • Temps de révocation d'accès au départ d'un collaborateur : de 2-3 jours (manuel) à 4 minutes (wipe Work Profile ou wipe total selon le cas).
  • Couverture chiffrement au repos : 0 % documenté → 100 % vérifiable en console.
  • Coût total déploiement (licences MDM 12 mois + heures IT internes estimées à 40h × CHF 120/h) : CHF 7 968 pour la première année, soit CHF 144,87 par appareil.
  • Aucun incident de fuite de données documenté dans les 6 mois suivants ; deux révocations réussies sans friction.

Récapitulatif opérationnel

  • Définissez le mode avant d'acheter les appareils : COBO et COPE requièrent un Zero-Touch Enrollment configuré en amont avec le revendeur — impossible à activer proprement après premier allumage sans reset factory.
  • Work Profile pour tout BYOD : n'envisagez pas de gérer un appareil personnel sans containerisation. L'accès direct à l'appareil entier est juridiquement problématique sous la nLPD.
  • Imposez Android 12 minimum pour les nouveaux achats COPE : les API Work Profile sur appareil géré sont stables et complètes à partir d'Android 12. Documentez les dérogations avec date de migration.
  • Activez Always-on VPN dans le Work Profile : empêche toute fuite DNS ou accès réseau hors tunnel pour les applications professionnelles. Configurez sur UDP 1194 (OpenVPN) ou UDP 500/4500 (IKEv2).
  • Documentez le traitement des données employé : pour COPE, listez explicitement dans le registre nLPD les données collectées par le MDM (IMEI, géolocalisation on/off, logs de connexion), la base légale, et la durée de conservation.
  • Testez la procédure de wipe trimestriellement : simulez un départ ou une perte sur un appareil de test. Mesurez le temps réel de révocation et documentez l'écart avec votre SLA interne.
  • Centralisez le Managed Google Play : toutes les applications professionnelles doivent passer par le Managed Google Play de votre compte Android Enterprise — cela garantit les mises à jour silencieuses, les configurations à distance (Managed Configurations), et l'impossibilité pour l'utilisateur de rétrograder ou de désinstaller.
  • Prévoyez la politique de fin de vie des appareils COPE : avant restitution ou recyclage, imposez un factory reset vérifié en console, avec log horodaté conservé au minimum 12 mois.

SynGuard accompagne les PME romandes dans la structuration de leur gestion d'endpoints Android, Apple et Windows — de la définition du mode d'enrollment jusqu'à l'audit de conformité nLPD.

Sources

Noter cet article

Pas encore de note