Le navigateur, angle mort de la gestion d'endpoints
Dans une PME de 50 employés correctement équipée — MDM déployé, antivirus centralisé, MFA activé — le navigateur reste souvent le seul vecteur de compromission non contrôlé. Les collaborateurs installent des extensions non vérifiées, désactivent les avertissements de certificat, ou contournent le proxy via un profil personnel synchronisé depuis leur compte Google ou Microsoft personnel. Selon les données publiées par le NCSC, les tentatives de phishing constituent la première cause d'incident déclarée par les entreprises suisses — et elles passent toutes par le navigateur.
La bonne nouvelle : les trois navigateurs dominants en environnement professionnel (Chrome, Edge, Safari) exposent des politiques d'administration exploitables directement depuis votre MDM. Aucun outil supplémentaire n'est requis si votre parc est déjà sous Intune, Jamf, Mosyle, FleetDM ou tout MDM compatible SCEP/mobileconfig.
Inventaire des mécanismes de gestion par navigateur
Google Chrome : GPO, cloud policy et enrollment token
Chrome expose plus de 400 politiques documentées dans son Policy List. En environnement Windows joint à un domaine, le vecteur classique est la GPO via les ADMX de Google. En environnement cloud-first (Intune, autopilot), deux approches coexistent :
- Configuration profile OMA-URI : livraison de politiques JSON via le chemin
./Device/Vendor/MSFT/Policy/Config/Chrome~Policy~googlechrome. Fonctionnel sur Windows 11 23H2 et 10 22H2. - Chrome Browser Cloud Management : enrollment token déployé via MDM, gestion centralisée depuis la Google Admin Console. Nécessite un abonnement Chrome Enterprise Core (gratuit) ou Plus (CHF 8–12/mois/device).
Sur macOS 14 (Sonoma), Chrome lit les profils de configuration .mobileconfig sous la clé de domaine com.google.Chrome, déployés via ABM/MDM sans aucun agent supplémentaire.
Microsoft Edge : Intune natif et ADMX
Edge bénéficie d'une intégration native dans Intune : les profils de configuration « Settings Catalog » exposent directement les politiques Edge sans importer d'ADMX. Sur Windows 11, plus de 600 paramètres Edge sont disponibles. Points critiques à configurer :
- SmartScreen (
SmartScreenEnabled= activé) — bloque les téléchargements malveillants signalés par Microsoft Defender SmartScreen. - Site isolation (
SitePerProcess= activé) — réduit la surface d'attaque Spectre/Meltdown par processus. - Extensions allowlist/blocklist (
ExtensionInstallAllowlist/ExtensionInstallBlocklist) — liste blanche par extension ID Chrome Web Store. - InPrivate forcé désactivé (
InPrivateModeAvailability= 2) — évite le contournement du proxy et du DLP.
Sur macOS, Edge lit également des profils .mobileconfig sous la clé com.microsoft.Edge, identique en structure à Chrome.
Safari : profils mobileconfig et Restrictions MDM Apple
Safari ne dispose pas d'un « policy framework » aussi granulaire que Chrome ou Edge. Sa sécurité se pilote via deux leviers :
- Profil de configuration Apple : la payload
com.apple.Safaripermet de forcer quelques paramètres (désactivation de la saisie automatique des mots de passe, blocage des plugins non signés). Déployable via Apple Business Manager et tout MDM compatible MDM Protocol Apple. - Restrictions de contenu (payload ContentFilterDNS / WebContentFilter) : filtrage DNS ou proxy transparent, applicable à tout le trafic HTTP/S de l'appareil, donc à Safari inclus.
La limitation de Safari est structurelle : il ne permet pas de liste blanche/noire d'extensions gérée centralement comparable à Chrome. Si votre politique de sécurité exige un contrôle strict des extensions, Safari n'est pas le navigateur à promouvoir comme standard d'entreprise sur macOS.
Alignement CIS Benchmarks : les politiques prioritaires
Les CIS Benchmarks publient des profils Level 1 et Level 2 pour Chrome et Edge. Pour une PME suisse de 20 à 150 endpoints, le Level 1 représente le plancher réaliste sans impact métier significatif. Voici les 8 contrôles Level 1 à prioriser, applicables aux deux navigateurs :
- Forcer HTTPS :
HttpsOnlyMode(Edge) /HttpsOnlyMode(Chrome) — redirection automatique HTTP→HTTPS. - Désactiver la sauvegarde des mots de passe natifs :
PasswordManagerEnabled = false— forcer l'usage d'un gestionnaire d'entreprise (Bitwarden, 1Password Teams). - Bloquer les protocoles obsolètes :
SSLVersionMin = tls1.2— TLS 1.0 et 1.1 désactivés. - Désactiver le remplissage automatique des cartes de crédit :
AutofillCreditCardEnabled = false. - Forcer SafeBrowsing Enhanced :
SafeBrowsingProtectionLevel = 2. - Bloquer l'installation d'extensions hors liste :
ExtensionInstallBlocklist = ["*"]+ liste blanche explicite. - Désactiver la synchronisation avec compte personnel :
SyncDisabled = trueou scope limité aux comptes du domaine. - Activer les mises à jour automatiques forcées :
AutoUpdateCheckPeriodMinutes≤ 43200 (toutes les 30 jours max, idéalement 10080 = 7 jours).
Sur Android (profil Android Enterprise / Work Profile), Chrome se gère via des politiques Android distribuées par votre EMM (Intune, VMware Workspace ONE) via la Google Play Managed Configuration. Les mêmes clés JSON s'appliquent, encapsulées dans la configuration d'application gérée.
Architecture de déploiement : éviter la configuration orpheline
Une erreur fréquente en PME : le profil de configuration navigateur est créé une fois, puis oublié. Résultat au bout de 18 mois : 30 % des postes ont quitté le groupe de déploiement à la suite d'une réinstallation, d'un changement de nom de machine ou d'une migration vers un nouveau tenant. Architecture recommandée :
- Groupes dynamiques Entra ID / Jamf Smart Groups : affectation automatique basée sur l'OS, la version, le département — pas sur des groupes statiques maintenus manuellement.
- Nommage des profils versionnés :
CH-SEC-CHROME-CISv3.0-L1-2024Q4— permet d'auditer rapidement quel profil est actif sur quel endpoint. - Conflit de politiques : sur Windows, si GPO et Intune livrent simultanément des politiques Chrome, la GPO l'emporte sur les canaux legacy. En full-cloud (pas de GPO), Intune est souverain. Documentez le vecteur actif pour chaque politique.
- Rapport de conformité : Intune expose le statut de déploiement des profils. Configurer une alerte si le taux d'application descend sous 95 % sur 48 heures — seuil indicatif, à adapter selon SLA interne.
Pour les parcs mixtes (Mac + Windows + Android), la cohérence des politiques entre navigateurs est plus importante que la cohérence des outils. Un collaborateur sur macOS avec Safari mal configuré et un autre sur Windows avec Chrome verrouillé représentent un niveau de risque radicalement différent — vos politiques RH et onboarding doivent en tenir compte.
Cadre légal suisse : nLPD et responsabilité du navigateur
La nLPD (en vigueur depuis le 01.09.2023) impose des mesures techniques et organisationnelles appropriées pour protéger les données personnelles traitées. Un navigateur non géré qui synchronise l'historique de navigation ou les cookies d'authentification vers un compte personnel constitue un traitement non maîtrisé de données potentiellement personnelles — formulaires clients, URLs de portails RH, tokens de session.
En cas d'incident impliquant un compte compromis via le navigateur (vol de cookie de session, extension malveillante), le PFPDT peut examiner si des mesures techniques raisonnables étaient en place. L'absence de politique de navigateur géré sera difficile à justifier pour une PME traitant des données de santé, financières ou RH. La notification au PFPDT d'une violation de données doit intervenir dans les 72 heures si le risque pour les personnes concernées est vraisemblable — délai identique au RGPD.
Pour les entités soumises à la FINMA (banques, assurances, gestionnaires de fortune), la Circulaire FINMA 2023/1 sur les risques opérationnels inclut explicitement les risques liés aux endpoints et aux applications web. Un profil de navigateur non géré peut entrer dans le périmètre d'un audit de conformité.
Cas pratique : fiduciaire vaudoise, 45 endpoints
Contexte : Cabinet fiduciaire à Lausanne, 38 collaborateurs + 7 postes administratifs. Parc : 32 PC Windows 11 23H2 (Autopilot/Intune), 10 MacBook Pro macOS 14 (ABM/Jamf Pro), 3 iPads iOS 17 (profil DEP). Navigateur standard : Edge sur Windows, Chrome sur macOS, Safari toléré sur iPad. Aucune politique de navigateur formelle avant intervention. Deux incidents en 2024 : un collaborateur avait installé l'extension « PDF Converter Pro » (non vérifiée, collecte de données) ; un autre avait désactivé les avertissements TLS pour accéder à un portail client sur certificat expiré.
Procédure déployée en 6 étapes :
- Audit de l'existant (DSI, 1 jour) : export Intune des profils de configuration existants — 0 profil navigateur actif sur les 32 postes Windows. Sur Jamf : 2 profils Chrome obsolètes sans affectation de groupe. Rapport d'écart produit.
- Sélection des politiques (DSI + RSSI externe, demi-journée) : choix du niveau CIS Level 1 pour Edge (Windows) et Chrome (macOS). Décision : interdire toutes les extensions sauf liste blanche de 6 extensions validées (Adobe Acrobat, Bitwarden, uBlock Origin, LastPass migration, Zoom, Teams). Extension « PDF Converter Pro » blacklistée par ID.
- Création des profils (DSI, 3h) :
- Intune : Settings Catalog « Edge-CISv2.1-L1-CH-2024Q4 » affecté à Entra ID Dynamic Group
(deviceOSType eq "Windows"). - Jamf : profil
com.google.Chromemobileconfig exporté depuis le générateur CIS, affecté au Smart Group « macOS – Sonoma – Actifs ».
- Intune : Settings Catalog « Edge-CISv2.1-L1-CH-2024Q4 » affecté à Entra ID Dynamic Group
- Test pilote (DSI + 3 utilisateurs volontaires, 2 jours) : validation des 8 politiques CIS L1 sur 2 PC et 1 Mac. Constat :
PasswordManagerEnabled = falsegénère des tickets de support — les collaborateurs utilisaient le gestionnaire natif Edge. Décision : maintien du blocage, formation Bitwarden Business planifiée à J+15. - Déploiement général (DSI, push Intune/Jamf) : déploiement sur 45 endpoints en 4h. Taux d'application à 48h : 43/45 (95,6 %). 2 postes hors ligne — relance automatique au prochain check-in MDM.
- Documentation et révision trimestrielle (DSI + RSSI) : profil versionnés dans le registre des configurations. Alerte Intune configurée sous 95 % sur 72h. Révision planifiée au 01.04.2025 pour alignement CIS v3.0.
Coût estimé : 1,5 jour DSI interne (CHF ~1 200 en coût chargé) + Jamf Pro déjà licencié (CHF 5/device/mois). Zéro logiciel supplémentaire. Réduction du risque extension malveillante : immédiate sur 100 % du parc géré.
Récapitulatif opérationnel
- Inventoriez les navigateurs effectivement utilisés sur votre parc avant de créer des profils — distinguez standard d'entreprise et usage toléré.
- Choisissez CIS Level 1 comme baseline minimum pour Chrome et Edge ; documentez chaque dérogation avec justification métier.
- Déployez via groupes dynamiques (Entra ID / Jamf Smart Groups), pas de groupes statiques — un nouveau poste doit recevoir le profil navigateur dans les 30 minutes suivant l'enrollment.
- Bloquez toutes les extensions par défaut, maintenez une liste blanche par ID d'extension, révisée trimestriellement.
- Désactivez la synchronisation avec les comptes personnels (Google, Microsoft) — c'est le vecteur d'exfiltration involontaire le plus courant en PME.
- Forcez TLS 1.2 minimum et activez HTTPS-Only Mode sur tous les navigateurs gérés.
- Configurez une alerte de conformité : si le taux d'application du profil passe sous 95 % sur 48h, le DSI doit être notifié.
- Documentez le vecteur de livraison actif (GPO, Intune OMA-URI, Jamf, CBCM) pour chaque navigateur — évitez les conflits GPO/MDM silencieux.
- Traitez Safari séparément : si vous ne pouvez pas le gérer avec la même granularité que Chrome/Edge, limitez son usage au non-professionnel via politique RH explicite.
- Révisez les profils à chaque mise à jour majeure de CIS Benchmarks (généralement annuelle) et à chaque changement de version OS déployé.
SynGuard accompagne les PME romandes dans la structuration de leur stratégie de gestion d'endpoints, y compris la création et le maintien de profils de navigateurs alignés sur les standards CIS.
Sources
- NCSC — Centre national pour la cybersécurité — statistiques d'incidents et conseils aux entreprises suisses.
- Fedlex — Loi fédérale sur la protection des données (nLPD) — texte consolidé en vigueur depuis le 01.09.2023.
- PFPDT — Préposé fédéral à la protection des données et à la transparence — lignes directrices sur les obligations des responsables du traitement.
- CIS Security — CIS Benchmarks — profils Level 1 et Level 2 pour Chrome et Microsoft Edge.