Le navigateur, surface d'attaque principale des endpoints gérés
Quatre-vingt pour cent du travail quotidien d'un collaborateur de bureau passe par le navigateur : messagerie web, ERP SaaS, e-banking, accès VPN SSL. Pourtant, dans la majorité des PME romandes auditées, le navigateur reste le seul outil endpoint non géré par politique : pas de configuration centralisée, extensions libres, cookies persistants, autofill non chiffré côté profil. Le risque n'est pas théorique — le Centre national pour la cybersécurité (NCSC) recense chaque trimestre des incidents liés à des extensions de navigateur vérolées ou à des sessions Web volées via vol de cookie (pass-the-cookie).
Gérer un navigateur par MDM, ce n'est pas restreindre les utilisateurs : c'est appliquer un socle de sécurité reproductible, auditables, et aligné sur les CIS Benchmarks pour Chrome, Edge et Safari — les trois navigateurs présents dans la quasi-totalité des parcs mixtes suisses.
Architecture de la gestion de navigateur par MDM
Trois navigateurs, trois mécanismes de politique
Google Chrome ingère ses politiques via des fichiers .plist (macOS/iOS) ou des clés de registre HKLM\Software\Policies\Google\Chrome (Windows). Sur macOS Apple Silicon géré via Apple Business Manager (ABM), un profil de configuration MDM peut pousser le payload com.google.Chrome avec une précision au niveau de chaque préférence. Le canal de distribution recommandé reste le profil MDM natif plutôt que la GPO pour éviter les dépendances Active Directory sur des parcs hybrides.
Microsoft Edge exploite le même moteur Chromium et partage une grande partie des clés de registre sous HKLM\Software\Policies\Microsoft\Edge. Sur les postes Windows 11 22H2 et ultérieurs enrôlés via Windows Autopilot, les politiques Edge s'appliquent via Intune (profil ADMX ingéré ou template Edge natif). Sur macOS, Edge accepte les .plist sous com.microsoft.Edge, poussés par le même canal MDM que Chrome.
Safari est géré exclusivement via les profils MDM Apple natifs (payloads com.apple.Safari et com.apple.webcontent-filter). Aucune GPO, aucun ADMX. L'enrôlement ABM est un prérequis : sans supervision DEP/ABM, les payloads de restriction Safari ne s'appliquent pas sur macOS. Sur iOS/iPadOS géré, les restrictions de navigateur passent par le payload com.apple.applicationpolicy et le profil de filtrage web.
Inventaire préalable : ce qu'il faut connaître avant de déployer
- Version exacte du navigateur en production (Chrome 124+, Edge 124+, Safari 17.x sur macOS 14 Sonoma).
- Canaux de mise à jour actifs (Stable, Extended Stable, Beta) — la dérive de version est la première source d'exposition aux CVE.
- Extensions déjà installées : extraire via
chrome://policy, rapport Intune ou FleetDM (SELECT * FROM chrome_extensionsvia osquery). - Profils utilisateur : profil personnel synchronisé vs. profil géré — le mélange est la première source de fuite de credentials d'entreprise.
Politiques prioritaires selon les CIS Benchmarks
Chrome et Edge : 15 politiques critiques niveau 1
Le CIS Benchmark Chrome (v3.0, niveau 1) identifie les contrôles suivants comme prioritaires pour un environnement d'entreprise :
- SafeBrowsingEnabled = true — navigation sécurisée activée, ne pas laisser l'utilisateur la désactiver (
SafeBrowsingProtectionLevel = 2pour le mode renforcé). - PasswordManagerEnabled = false — déléguer la gestion des mots de passe à un gestionnaire d'entreprise (Bitwarden for Business, 1Password Teams). Le gestionnaire natif du navigateur stocke en clair dans le profil utilisateur sur Windows sans chiffrement supplémentaire si BitLocker n'est pas actif.
- AutofillCreditCardEnabled = false — critique pour fiduciaires et cabinets médicaux.
- ExtensionInstallBlocklist = ["*"] + ExtensionInstallAllowlist avec liste explicite d'identifiants d'extension approuvés (ex. : uBlock Origin
cjpalhdlnbpafiamejdnhcphjbkeiagmsi conservé, Bitwardennngceckbapebfimnlniiiahkandclblb). - DeveloperToolsAvailability = 2 (désactivé pour les utilisateurs non-IT) — empêche l'exfiltration via console JS ou interception de token.
- SyncDisabled = true si vous ne gérez pas de Google Workspace ou Microsoft Entra ID : empêche la synchronisation du profil vers un compte Google/Microsoft personnel.
- BrowserSignin = 0 (Chrome) ou BrowserSigninPolicy = 0 (Edge) — désactiver la connexion au navigateur en dehors du compte géré.
- DefaultCookiesSetting = 1, DefaultGeolocationSetting = 2, DefaultNotificationsSetting = 2 — fermer les vecteurs de tracking et d'ingénierie sociale.
- HttpsOnlyMode = force_enabled — disponible depuis Chrome 94 / Edge 99.
- SSLVersionMin = tls1.2 — TLS 1.0 et 1.1 doivent être bloqués au niveau navigateur en complément du pare-feu.
- CertificateTransparencyEnforcementDisabledForUrls — liste vide par défaut, ne pas créer d'exceptions sans analyse.
- RemoteAccessHostFirewallTraversal = false — désactiver Chrome Remote Desktop si non utilisé.
- AutoUpdateCheckPeriodMinutes ≤ 1440 — forcer la vérification de mises à jour toutes les 24 h maximum.
- RelaunchNotification = 2 + RelaunchNotificationPeriod = 86400000 — forcer le redémarrage après mise à jour dans les 24 h.
- BuiltInDnsClientEnabled = false si vous gérez un DNS interne (split-DNS) pour éviter les fuites de requêtes DNS via le resolver DoH de Chrome.
Safari sur macOS géré ABM
Safari n'expose pas autant de clés de politique que les navigateurs Chromium, mais les contrôles disponibles via MDM sont suffisants pour un niveau de sécurité raisonnable :
- Payload
com.apple.Safari:AutoFillCreditCardData = false,AutoFillPasswords = false,WarnAboutFraudulentWebsites = true. - Payload
com.apple.webcontent-filter: filtrage web supervisé, utile si vous n'avez pas de proxy sortant. - Extensions Safari : gérées via Apps managées (VPP/ABM) ou restreintes par politique de App Store (
allowAppInstallation = falseen dehors de la liste approuvée). - Pour aller plus loin, combiner le profil MDM Safari avec un DNS filtrant (ex. : NextDNS for Business ou Pi-hole géré) déployé via le payload
com.apple.dnsSettings.managed.
Cadre réglementaire suisse : ce que la nLPD impose implicitement
La nouvelle loi sur la protection des données (nLPD), en vigueur depuis le 01.09.2023, impose à toute organisation traitant des données personnelles de mettre en œuvre des mesures techniques et organisationnelles proportionnées au risque (art. 8). Un navigateur non géré sur un poste traitant des données clients — fiches RH, dossiers patients, données de clients de fiduciaire — constitue une mesure manifestement insuffisante. En cas d'incident, le Préposé fédéral à la protection des données et à la transparence (PFPDT) peut requérir la preuve que des mesures de sécurité adéquates étaient en place.
Concrètement : l'absence de politique de navigateur documentée (profil MDM versionné, registre de changement) affaiblit votre position en cas de notification d'incident. Le délai légal de notification au PFPDT est de 72 heures après la découverte d'une violation susceptible d'entraîner un risque élevé pour les personnes concernées — soit le même délai que le RGPD pour les entreprises exposées au marché européen.
Cas pratique : fiduciaire vaudoise, 45 endpoints mixtes
Contexte
Cabinet de 38 collaborateurs à Lausanne, parc mixte : 28 MacBook Pro (macOS 14 Sonoma, ABM actif) + 17 postes Windows 11 23H2 (Autopilot). Navigateurs en usage : Chrome (60 % des sessions), Edge (30 %), Safari (10 %). Avant le projet MDM, aucune politique de navigateur centralisée. L'audit initial FleetDM révèle 214 extensions Chrome installées sur 28 Mac, dont 12 sans publication dans le Chrome Web Store officiel (retirées entre 2022 et 2024).
Phase 1 — Inventaire et classification (J1–J5)
- DSI : Exécuter
SELECT name, identifier, version, state FROM chrome_extensions;via osquery/FleetDM sur les 28 Mac. Exporter le CSV, croiser avec la liste de blocage CRXcavator (sans lien externe, consultation manuelle). - DSI : Extraire le rapport Extensions Intune pour les 17 postes Windows (Rapports > Gestion des appareils > Extensions de navigateur).
- RSSI : Classifier chaque extension : approuvée, à évaluer, à bloquer. Résultat : liste blanche de 8 extensions (Bitwarden, uBlock Origin, Grammarly Business, Adobe Acrobat, Zoom, Teams, Dashlane Business, 1Password).
Phase 2 — Déploiement des profils MDM macOS (J6–J12)
- Créer un profil de configuration dans la console MDM (Jamf Pro ou Microsoft Intune for Mac) avec les payloads
com.google.Chromeetcom.apple.Safari. - Paramètres Chrome :
ExtensionInstallBlocklist = ["*"], allowlist des 8 extensions par identifiant,PasswordManagerEnabled = false,SyncDisabled = true,HttpsOnlyMode = force_enabled,SafeBrowsingProtectionLevel = 2. - Paramètres Safari :
AutoFillCreditCardData = false,WarnAboutFraudulentWebsites = true. - Tester sur un groupe pilote de 5 postes pendant 48 h. Vérifier via
chrome://policyque toutes les politiques s'affichent comme « Définies par une stratégie d'entreprise ». - Déployer sur les 28 Mac. Durée de convergence estimée : 15 min après checkin MDM.
Phase 3 — Déploiement Intune / Windows (J6–J14)
- Dans Intune, créer un profil de configuration > Templates > Administrative Templates > Microsoft Edge ou importer le fichier ADMX Chrome.
- Répliquer les mêmes politiques : blocklist extensions, HTTPS Only, Safe Browsing renforcé, désactivation du gestionnaire de mots de passe natif.
- Assigner au groupe de périphériques « Fiduciaire-Windows-Prod ».
- Point d'attention : Edge sur Windows 11 peut hériter de politiques conflictuelles via GPO si le domaine AD est encore actif. Vérifier
edge://policypour détecter les conflits (champ « Source » = « Cloud » vs. « GPO »). - Rapport de conformité Intune à J+7 : 17/17 appareils conformes, 0 extension hors liste blanche.
Résultats mesurés à 30 jours
- Extensions non approuvées : de 214 à 0 (vérification FleetDM hebdomadaire).
- Alertes Safe Browsing Enhanced bloquées : 3 tentatives de phishing détectées et bloquées en 30 jours (0 avant, non visible).
- Temps de déploiement d'une nouvelle politique : moins de 4 h (vs. intervention manuelle poste par poste auparavant).
- Coût de la phase de déploiement : environ 12 heures DSI + 4 heures RSSI, soit environ CHF 2 400 au tarif journalier interne. Aucun outil supplémentaire nécessaire si ABM et Intune étaient déjà actifs.
Récapitulatif opérationnel
- Inventorier avant de déployer : extraire la liste complète des extensions (FleetDM/osquery sur macOS, rapport Intune sur Windows) avant de définir la liste blanche.
- Adopter une liste blanche d'extensions stricte : bloquer
"*"puis autoriser par identifiant. Ne jamais partir d'une liste noire. - Désactiver le gestionnaire de mots de passe natif et déléguer à un outil d'entreprise auditable.
- Forcer HTTPS Only et TLS 1.2 minimum au niveau de la politique navigateur, en complément du pare-feu.
- Séparer les profils utilisateur : interdire la connexion à un compte Google/Microsoft personnel dans le navigateur géré (
SyncDisabled,BrowserSignin = 0). - Activer Safe Browsing Enhanced (niveau 2) sur Chrome et Edge — compatible avec les environnements où aucune DLP proxy n'est déployée.
- Versionner les profils MDM avec une date et un numéro de version dans le nom du profil (ex. :
Chrome-Policy-v3-15.05.2025) pour la traçabilité nLPD. - Contrôler la conformité hebdomadairement via rapport MDM ou requête FleetDM — la dérive de configuration est silencieuse.
- Documenter la liste blanche et ses critères dans le registre des traitements ou la politique de sécurité endpoint pour justification PFPDT en cas d'incident.
- Tester le profil Safari sur groupe pilote ABM avant déploiement fleet-wide — certains payloads nécessitent macOS 13+ et supervision active.
SynGuard accompagne les PME romandes dans la mise en place de ces profils MDM et dans leur intégration au cadre de conformité nLPD — configuration, test, documentation et monitoring inclus.
Sources
- Centre national pour la cybersécurité (NCSC) — Alertes, conseils aux PME, signalement d'incidents cybernétiques en Suisse.
- nLPD — Loi fédérale sur la protection des données (RS 235.1) — Texte consolidé de la nouvelle LPD en vigueur depuis le 01.09.2023.
- Préposé fédéral à la protection des données et à la transparence (PFPDT) — Autorité de contrôle, procédure de notification de violations de données.
- CIS Benchmarks — Center for Internet Security — Référentiels de configuration sécurisée pour Chrome, Edge, macOS et Windows.
- NIST Cybersecurity Framework (CSF 2.0) — Cadre de référence pour la gestion du risque cyber, applicable aux PME.