17 juillet 2026MDM & Endpoints

MDM Android : Work Profile, COBO, COPE — quel mode pour quel usage

Déployer des appareils Android en entreprise sans définir le bon mode de gestion, c'est ouvrir la porte aux fuites de données et aux conflits de confidentialité. Work Profile, COBO, COPE : chaque modèle répond à un contexte précis.

Par ZRS-Holding Sàrl·10 min de lecture·7 lectures
Partager

Un mauvais choix de mode MDM coûte plus cher qu'une migration

Un employé utilise son téléphone personnel pour accéder aux e-mails professionnels : l'entreprise n'a aucune visibilité sur les applications tierces installées, aucune capacité de wipe sélectif si l'appareil est perdu. À l'inverse, un téléphone d'entreprise géré en mode Device Owner sans Work Profile expose les données personnelles de l'employé à l'administrateur MDM — terrain fertile pour un litige nLPD. Choisir le bon mode Android Enterprise dès le départ évite ces deux écueils.

Les quatre modes Android Enterprise : architecture et différences techniques

Work Profile (WP) — BYOD avec séparation cryptographique

Le Work Profile crée un conteneur chiffré distinct sur l'appareil personnel de l'employé. Android maintient deux instances séparées du lanceur, deux keystores, deux couches de données. L'administrateur MDM ne voit que le profil professionnel : liste des applications managées, politique de mot de passe du profil, tunnel VPN applicatif. Il n'a aucun accès aux applications personnelles, aux contacts personnels ni à la galerie photos.

Concrètement, un appel getInstalledPackages() exécuté dans le contexte administrateur ne retourne que les paquets du profil professionnel. Le keystore personnel reste inaccessible. L'employé peut désactiver le profil professionnel en dehors des heures de travail — fonctionnalité disponible depuis Android 11 — sans impacter les applications personnelles.

Limites : le mode WP ne permet pas de forcer le chiffrement du stockage entier (il est délégué à l'appareil personnel), ni d'appliquer des politiques de démarrage sécurisé (Verified Boot). Le parc est hétérogène par nature : modèles variés, versions Android 10 à 14, patchs de sécurité non maîtrisés.

COBO — Corporate-Owned, Business-Only

L'appareil appartient à l'entreprise et ne sert qu'à des usages professionnels. Le MDM s'inscrit comme Device Policy Controller en mode Device Owner (DO), ce qui donne un contrôle total : politique de mot de passe du terminal, gestion des comptes Google, restriction des applications système, configuration Wi-Fi forcée, contrôle USB, kiosque mono-application. Aucun profil personnel n'est créé.

COBO est le bon choix pour les appareils partagés (logistique, point de vente, terrain industriel), les terminaux dédiés à une application métier unique, ou les environnements à haut niveau de risque où aucun usage personnel ne doit être toléré. L'enrôlement se fait via Zero-Touch Enrollment (ZTE) pour les volumes supérieurs à ~5 appareils : le IMEI est pré-associé au tenant MDM, l'appareil se configure automatiquement au premier démarrage sans intervention utilisateur.

COPE — Corporate-Owned, Personally Enabled

Depuis Android 11, COPE combine les deux mondes : l'appareil appartient à l'entreprise (Device Owner), mais un Work Profile est créé pour isoler les données professionnelles. L'utilisateur peut avoir des applications personnelles en dehors du profil, mais l'administrateur conserve la capacité de wipe complet de l'appareil si nécessaire.

L'administrateur gère les deux couches différemment : politique de chiffrement, VPN et certificats s'appliquent à l'ensemble du terminal ; les politiques d'applications (allowlist, blocklist) s'appliquent au profil professionnel. La liste des applications personnelles n'est pas visible par le MDM — même garantie que le Work Profile BYOD pour la vie privée de l'employé.

Attention pré-Android 11 : sur Android 8–10, COPE n'existait pas en tant que mode distinct. Certains MDM émulaient ce comportement via Device Owner avec un profil managé imbriqué, mais les garanties de confidentialité étaient inférieures. Si votre parc contient encore des terminaux sous Android 10, vérifiez la documentation du fabricant.

COSU — Corporate-Owned, Single Use (Kiosque)

Variante de COBO : l'appareil est verrouillé sur une seule application (ou un ensemble restreint). Lock Task Mode empêche l'utilisateur de quitter l'application. Utilisé pour les bornes d'accueil, les tablettes de signature, les scanners logistiques. La configuration passe par DevicePolicyManager.setLockTaskPackages(). Hors scope du choix BYOD/COPE/COBO au sens managériel, mais à documenter dans la politique de gestion des endpoints.

Critères de décision : propriété, confidentialité, niveau de risque

Matrice de sélection

Trois questions suffisent à orienter le choix :

  1. Qui possède l'appareil ? — Employé → Work Profile. Entreprise → COBO ou COPE.
  2. L'usage personnel est-il toléré ? — Non → COBO. Oui → COPE (entreprise) ou Work Profile (BYOD).
  3. Quel niveau de contrôle du terminal est requis ? — Contrôle total (wipe, démarrage, USB) → COBO. Contrôle partiel suffisant → COPE ou Work Profile.

Pour une PME de 20 à 50 employés avec une politique BYOD tolérée, le Work Profile couvre 80 % des besoins sans investissement matériel supplémentaire. Pour 50 à 150 employés avec données sensibles (santé, finance, juridique), COPE sur parc homogène Android Enterprise Recommended est le rapport contrôle/confidentialité optimal.

Implications nLPD et droit du travail suisse

Depuis le 01.09.2023, la nouvelle Loi fédérale sur la protection des données (nLPD) impose la minimisation des données collectées et la transparence sur le traitement. En mode COBO sans Work Profile, l'administrateur MDM a accès aux données de localisation, aux journaux d'appels et à l'inventaire applicatif complet de l'appareil. Si l'appareil est utilisé de facto à des fins personnelles — même sans autorisation formelle — l'entreprise traite des données personnelles de l'employé sans base légale claire.

Le Work Profile et COPE résolvent ce problème architecturalement : le MDM ne peut pas interroger le profil personnel. Documentez ce point dans votre registre des activités de traitement (art. 12 nLPD) et dans le règlement d'utilisation des appareils mobiles signé par l'employé. En cas de contrôle du Préposé fédéral à la protection des données (PFPDT), cette documentation est la première pièce demandée.

Enrôlement et Zero-Touch Enrollment

Le Zero-Touch Enrollment Google (ZTE) est disponible pour les appareils achetés chez un revendeur ZTE agréé. L'IMEI est enregistré dans la console ZTE, associé à votre tenant MDM (Intune, FleetDM, SOTI, etc.). Au premier démarrage, l'appareil télécharge automatiquement le profil de configuration — sans QR code, sans saisie manuelle. Pour les parcs COBO/COPE en volume, c'est la seule approche scalable au-delà de 10 appareils.

Pour le Work Profile BYOD, l'enrôlement se fait via l'application Android Device Policy installée par l'employé, avec un code d'invitation ou un lien QR. L'entreprise ne touche jamais à l'appareil physique.

Configuration technique : ce que le MDM doit imposer selon le mode

Work Profile — politiques minimales recommandées

  • Mot de passe du Work Profile : minimum 6 caractères alphanumériques, délai de verrouillage 5 minutes (PASSWORD_QUALITY_ALPHANUMERIC).
  • Chiffrement du profil : activé par défaut sur Android 7+, vérifier via getStorageEncryptionStatus().
  • Blocage du copier-coller entre profils : setCrossProfileCopyPaste(false).
  • Désactivation de la capture d'écran dans les applications managées : flag FLAG_SECURE à appliquer application par application ou via politique MDM.
  • VPN always-on sur le profil professionnel uniquement : tunnel IKEv2 ou WireGuard applicatif.
  • Wipe sélectif du profil en cas de départ ou perte : délai maximal recommandé 24h après signalement.

COPE — couche supplémentaire Device Owner

  • Politique de mot de passe au niveau device (en plus du profil) : minimum PIN 6 chiffres ou biométrie de classe 3.
  • Désactivation des sources inconnues au niveau device : DISALLOW_INSTALL_UNKNOWN_SOURCES_GLOBALLY.
  • Contrôle USB : désactiver le débogage ADB en production (DISALLOW_USB_FILE_TRANSFER selon besoin).
  • Certificats d'entreprise déployés via SCEP ou PKCS sur le profil professionnel.
  • Politique de conformité : wipe complet si le terminal est hors contact MDM depuis plus de 72h (ajustable selon risque).

Alignement avec les CIS Benchmarks

Le CIS Benchmark pour Android distingue les profils L1 (recommandé pour toutes organisations) et L2 (environnements sensibles). En mode Work Profile, les contrôles L1 couvrent la politique de mot de passe du profil, le chiffrement et la désactivation du débogage USB. En mode COPE/COBO, les contrôles L2 ajoutent la restriction des comptes Google, la désactivation du mode développeur et la gestion du Bluetooth.

Cas pratique : fiduciaire vaudoise, 38 appareils Android

Une fiduciaire basée à Lausanne, 42 collaborateurs, gère les comptabilités de 150 PME clientes. Le parc mobile comprend 38 appareils Android : 22 appareils personnels des employés (BYOD) et 16 terminaux achetés par la fiduciaire pour les associés et les auditeurs terrain.

Situation initiale : aucun MDM. Les 22 BYOD accèdent à la messagerie via l'application Gmail sans conteneur. Les 16 appareils d'entreprise sont gérés manuellement par le DSI (configuration individuelle, ~2h par appareil). Aucun wipe à distance opérationnel. En novembre 2024, un associé perd son terminal lors d'un déplacement à Genève : 3 semaines de données de messagerie professionnelle exposées, aucun moyen de wipe.

Décision de déploiement :

  1. 22 BYOD → Work Profile. Enrôlement via Android Device Policy, lien QR envoyé par e-mail. Durée par appareil : 8 minutes. Total : ~3h pour le DSI, déployé en 2 sessions. Politique : mot de passe profil 6 caractères, VPN applicatif IKEv2 vers le serveur on-premise, copier-coller inter-profils désactivé.
  2. 16 appareils entreprise → COPE. Achat via revendeur ZTE agréé (Samsung et Motorola, gamme Enterprise Recommended). Enrôlement ZTE : configuration automatique au démarrage, zéro intervention manuelle par appareil. Politique COPE : PIN 6 chiffres device, certificats SCEP déployés via le MDM pour l'accès aux partages réseau, wipe complet si hors contact 72h.
  3. Registre des traitements mis à jour (art. 12 nLPD) : mention explicite que le MDM n'accède pas aux données personnelles des profils BYOD et COPE. Règlement d'utilisation signé par les 42 employés.
  4. Test de wipe : simulation sur un appareil hors production — délai effectif wipe Work Profile : 47 secondes après déclenchement MDM. Délai wipe complet COPE : 2 minutes 10 secondes.

Coût opérationnel : licence MDM ~12 CHF/appareil/mois (38 licences = 456 CHF/mois). Économie estimée sur le temps DSI : réduction de 8h/mois de configuration manuelle et de gestion des incidents. ROI positif dès le 3e mois. Les 16 appareils COPE Samsung ont été achetés 380 CHF/unité chez un revendeur ZTE, soit 6 080 CHF d'investissement matériel total.

En cas d'incident futur, le DSI peut déclencher un wipe sélectif (Work Profile) ou complet (COPE) depuis la console MDM en moins de 2 minutes, avec log horodaté conservé pour toute demande du NCSC ou du PFPDT.

Récapitulatif opérationnel

  • BYOD avec données sensibles → Work Profile obligatoire. Sans conteneur, le wipe sélectif est impossible et la conformité nLPD fragile.
  • Appareils d'entreprise usage mixte → COPE sur Android 11+. Contrôle device complet + isolation vie privée employé + wipe total disponible.
  • Terminaux dédiés / partagés → COBO ou COSU. Aucune tolérance usage personnel, Lock Task Mode si mono-application.
  • Acheter via revendeur ZTE agréé pour tout parc COBO/COPE supérieur à 5 unités. Le provisionnement manuel ne passe pas à l'échelle.
  • Appliquer les CIS Benchmarks Android L1 minimum sur tous les modes, L2 pour les environnements financiers, juridiques ou de santé.
  • Documenter dans le registre nLPD : mode MDM utilisé, données collectées par le MDM, garanties de confidentialité offertes à l'employé.
  • Tester le wipe (sélectif et complet) trimestriellement sur un appareil hors production et consigner les délais effectifs.
  • Définir un SLA de wipe : objectif ≤ 4h après signalement de perte pour Work Profile, ≤ 24h pour COPE/COBO si l'appareil est hors réseau (dépend de la connectivité FCM).
  • Vérifier le niveau de patch Android mensuellement : exclure de l'accès aux ressources internes tout appareil avec un patch de sécurité vieux de plus de 90 jours (règle de conformité MDM configurable).
  • Former les employés BYOD : expliquer ce que le MDM voit et ne voit pas dans le Work Profile. La confiance réduit les résistances à l'enrôlement.

SynGuard accompagne les PME romandes dans le choix et le déploiement de ces modes Android Enterprise, en intégrant les contraintes nLPD et les benchmarks de sécurité dès la phase de conception.

Sources

Noter cet article

Pas encore de note