Ce que vous saurez faire à la fin
- Choisir et déployer une solution MDM (Microsoft Intune, Jamf ou Hexnode) adaptée à votre flotte mixte iOS/Android et à votre budget
- Activer le chiffrement complet, la MFA biométrique et le verrouillage automatique sur tous les smartphones de l’entreprise
- Mettre en place une séparation pro/perso pour le BYOD (Bring Your Own Device) avec containers Android Work Profile ou iOS User Enrollment
- Effectuer un wipe à distance ciblé en moins de 2 minutes en cas de perte ou vol
- Rédiger une charte mobile signée par chaque collaborateur, conforme RGPD et droit du travail OHADA
Durée : 5h. Pré-requis : tenant Microsoft 365 (licence Business Premium ou EMS E3) ou abonnement Google Workspace, comptes Apple ID gérés (Apple Business Manager) et/ou comptes Google managé (Android Enterprise), budget mensuel 4 à 8 EUR par appareil (≈ 2 600 à 5 200 FCFA), liste de votre flotte (marque, modèle, OS, propriétaire), politique BYOD acceptée par les RH, accès admin DNS pour configurer le push de profils.
Étape 1 — Inventorier votre flotte mobile
Avant tout déploiement, vous devez savoir ce que vous gérez. Construisez un inventaire dans un Google Sheet ou Excel avec ces colonnes :
| Champ | Exemple | Pourquoi |
|---|---|---|
| Utilisateur | Aïssatou Diop | Responsabilité, attribution |
| Marque/Modèle | Samsung Galaxy A54 | Compatibilité MDM |
| OS et version | Android 14 | Politiques applicables |
| IMEI | 355123456789012 | Blocage opérateur si vol |
| Propriété | COBO ou BYOD | Niveau de contrôle autorisé |
| Données accédées | Email, CRM, paie | Niveau de risque |
| Date dernier scan | 2026-04-15 | Conformité audit |
COBO = Corporate Owned Business Only (téléphone fourni par l’entreprise, usage pro uniquement). BYOD = Bring Your Own Device. Le niveau de contrôle MDM diffère radicalement entre les deux.
Étape 2 — Comparer les solutions MDM
Les trois MDM les plus pertinents pour une PME africaine :
| Critère | Microsoft Intune | Jamf Now/Pro | Hexnode UEM |
|---|---|---|---|
| Prix par appareil/mois | Inclus EMS E3 (8,80 USD) | 2 USD (Now) à 7 USD (Pro) | 1,50 à 5,80 USD |
| iOS | Excellent | Excellent (référence) | Très bon |
| Android Enterprise | Excellent | Bon (Pro uniquement) | Excellent |
| Windows / macOS | Excellent | Excellent (Mac) | Bon |
| Conditional Access | Natif Microsoft 365 | Via tiers | Limité |
| Console francophone | Oui | Anglais | Oui partiel |
| Idéal pour | Tenant Microsoft 365 | Flotte Apple majoritaire | Petit budget multi-OS |
Recommandation : si vous avez Microsoft 365 Business Premium, Intune est inclus, ne payez pas double. Sinon, Hexnode est l’option la plus économique pour 10 à 50 appareils.
Étape 3 — Configurer Apple Business Manager
Pour gérer des iPhone fournis par l’entreprise, créez un compte Apple Business Manager (gratuit) :
1. Aller sur business.apple.com
2. Inscrivez votre entreprise avec D-U-N-S Number
(gratuit via dnb.com, vérification 5 à 10 jours)
3. Vérifier identité du dirigeant
4. Lier votre MDM dans Settings > MDM Servers
5. Acheter les iPhone via un revendeur Apple agréé
en fournissant votre Reseller ID (DEP)
6. Les appareils apparaissent automatiquement dans
Apple Business Manager > Devices
7. Assigner au MDM > ils s'enrôlent dès activationAvantage : un employé qui réinitialise son iPhone récupère automatiquement la supervision MDM. Sans ABM, un wipe local sort le téléphone du contrôle.
Étape 4 — Configurer Android Enterprise
Pour Android, vous avez 4 modes selon le contexte :
| Mode | Cas d’usage | Niveau de contrôle |
|---|---|---|
| Fully Managed (Device Owner) | Téléphone COBO neuf | Total : apps, réseau, caméra |
| Work Profile | BYOD personnel | Container pro isolé |
| Dedicated (Kiosk) | Tablette caisse, terminal | Une seule app |
| Work Profile on Company Owned | COBO avec usage perso toléré | Total + container perso |
Pour activer Android Enterprise dans Intune :
Microsoft Endpoint Manager admin center
> Devices > Android > Android enrollment
> Managed Google Play
> Launch Google to connect now
> Se connecter avec un compte Gmail dédié (jamais perso)
> Suivre l'assistant et validerÉtape 5 — Définir les politiques de sécurité minimales
Créez un profil de sécurité applicable à toute la flotte :
Code PIN / Mot de passe :
- Longueur minimale : 6 caractères (PIN) ou 8 (alphanumérique)
- Complexité : alphanumérique pour accès admin
- Tentatives max avant wipe : 10
- Verrouillage auto : 2 minutes inactivité
- Expiration : 90 jours
Chiffrement :
- Activé obligatoirement (par défaut sur iOS/Android récents)
- Vérifier sur les anciens appareils Android < 10
Système :
- Version OS minimale : iOS 16 / Android 12
- Mises à jour automatiques : activées
- Jailbreak / Root : interdit (wipe automatique si détecté)
Réseau :
- Wi-Fi entreprise pré-configuré (WPA2 Enterprise)
- VPN always-on pour accès ressources internes
- Bluetooth : autorisé sauf appairage automatiqueÉtape 6 — Activer la MFA biométrique
L’authentification multi-facteur biométrique (Face ID, Touch ID, empreinte Android) protège l’accès aux applications sensibles. Configurez Microsoft Authenticator ou Google Authenticator avec biométrie obligatoire :
Intune > Apps > App protection policies > Create policy
Plateforme : iOS / Android
Apps cibles : Outlook, OneDrive, Teams, applis métier
Settings :
- Require app PIN : Yes
- App PIN type : Numeric
- Allow simple PIN : No (interdit 1234)
- PIN length : 6
- Allow fingerprint instead of PIN : Yes
- Require biometrics on launch : Yes
- Recheck access requirements after : 30 minutes
- Offline grace period : 720 minutes (12h)Couplez avec Conditional Access dans Azure AD : « Si appareil non conforme, bloquer accès Office 365 ». Un utilisateur dont le téléphone n’a pas de PIN ne peut plus consulter ses emails pro tant qu’il n’a pas activé le PIN.
Étape 7 — Mettre en place le container pro/perso (BYOD)
Sur Android, le Work Profile crée un container chiffré séparé. L’icône des apps pro est marquée d’un badge « valise ». Sur iOS, l’équivalent est User Enrollment depuis iOS 13. Bénéfices :
- L’employeur ne voit pas les SMS, photos personnelles, position GPS
- Le wipe ne supprime que le container pro, pas les photos de famille
- Conformité RGPD facilitée
- Acceptation BYOD plus large par les équipes
Pour activer Work Profile via Intune :
Devices > Android > Enrollment types > Personally-owned with work profile
> Create profile
> Configurer apps obligatoires (Outlook, Authenticator, CRM)
> Bloquer copier-coller entre profils
> Bloquer captures d'écran dans le container proÉtape 8 — Déployer les applications métier
Distribuez les applications de manière contrôlée plutôt que demander aux utilisateurs de les chercher sur le store :
Intune > Apps > All apps > Add
Type :
- iOS store app (depuis App Store)
- Managed Google Play app (depuis Play Store géré)
- Line-of-business app (votre APK/IPA propre)
Sélection : Outlook, OneDrive, Teams, Authenticator,
Wave Business, Orange Money Pro, votre CRM
Assignment :
- Required : installation forcée silencieuse
- Available : disponible dans le portail entreprise
- Uninstall : retirer si présenteSur Android Work Profile, créez un Managed Google Play store interne. Sur iOS, utilisez Apple Business Manager pour acheter en volume des licences (gratuites le plus souvent) et les attribuer aux appareils.
Étape 9 — Configurer le wipe à distance
En cas de perte ou vol, le wipe permet d’effacer les données. Maîtrisez les 4 niveaux :
| Action | Effet | Cas d’usage |
|---|---|---|
| Lost mode (iOS) | Verrouille avec message + numéro | Perte probable, récupération possible |
| Wipe sélectif | Efface container pro uniquement | BYOD, départ amiable |
| Wipe complet (factory reset) | Efface tout l’appareil | COBO volé ou perdu |
| Retire | Désenrôle sans effacer | Réaffectation interne |
Procédure d’urgence à afficher pour le RSSI et l’IT :
# Procédure perte/vol < 2 minutes
1. Connecter Intune admin center
2. Devices > Recherche par utilisateur ou IMEI
3. Sélectionner appareil
4. Wipe (si COBO) ou Retire (si BYOD avec Work Profile)
5. Confirmer
6. Pour iPhone : activer Lost Mode en parallèle
7. Bloquer IMEI auprès de l'opérateur (Orange Sénégal : 1441)
8. Réinitialiser mot de passe Microsoft 365 de l'utilisateur
9. Révoquer tous les tokens d'accès actifs
10. Documenter incident dans le registre RGPDÉtape 10 — Auditer la conformité régulièrement
Configurez un rapport hebdomadaire qui remonte les non-conformités :
- Appareils sans code PIN actif
- Versions OS obsolètes (iOS < 16, Android < 12)
- Jailbreak ou root détecté
- Apps interdites installées (jeux non whitelist, VPN tiers)
- Appareils non vus depuis plus de 30 jours (peut indiquer abandon ou vol non signalé)
Dans Intune, allez dans Reports > Device compliance et programmez un export CSV automatique. Pour automatiser le suivi, créez un workflow Power Automate qui notifie le RSSI sur Teams toutes les semaines avec la liste des non-conformes.
Étape 11 — Sécuriser les apps de paiement Mobile Money
Les apps Wave, Orange Money, YAS Money (ex-Free Money) sont stratégiques au Sénégal. Appliquez ces règles :
| Règle | Configuration |
|---|---|
| Wave Business sur téléphone pro uniquement | Bloquer install sur container perso |
| PIN Wave différent du PIN téléphone | Charte interne |
| Pas de copie d’écran lors transactions | Politique Intune App Protection |
| Limite quotidienne de transfert | Configurer côté Wave Business |
| Notification SMS en parallèle de l’app | Sur un numéro autre que celui du téléphone |
Étape 12 — Rédiger la charte d’usage mobile
Document obligatoire signé par chaque utilisateur, conforme au droit du travail. Sections clés :
1. Périmètre : appareils COBO et BYOD couverts
2. Données collectées par le MDM :
- Modèle, OS, version, IMEI
- Liste des apps installées (container pro)
- Localisation (uniquement en cas de perte signalée)
- JAMAIS : SMS perso, photos, contacts perso, historique web perso
3. Interdictions :
- Jailbreak, root, sideloading
- Connexion à des réseaux Wi-Fi inconnus pour accès pro
- Partage du téléphone avec un tiers (famille, conjoint)
- Installation d'apps non approuvées dans le container pro
4. Obligations utilisateur :
- Signaler perte/vol < 4h
- Maintenir l'OS à jour
- Ne pas désactiver le MDM
5. Procédure départ :
- Wipe sélectif container pro à H+0 du dernier jour
- Restitution iPhone COBO sous 48h
6. Sanctions en cas de manquement (RGPD, fraude, négligence)
7. Coordonnées RSSI et IT support
8. Date et signature utilisateur + RHÉtape 13 — Former les utilisateurs
Le déploiement technique sans formation produit du rejet. Organisez une session de 45 minutes par groupe de 10 :
- Démonstration du Work Profile : montrer concrètement que les photos perso restent privées
- Procédure de signalement perte/vol : numéro à appeler, délai
- Comment installer une app du store entreprise
- Que faire si l’authentification biométrique échoue
- Quiz final 5 questions, attestation signée
Renouvelez la formation à chaque arrivée et en cas de mise à jour majeure (changement de MDM, nouvelle version OS).
Erreurs classiques à éviter
- Déployer le MDM sans Work Profile sur BYOD : l’employeur voit toutes les apps perso, requalification possible en violation RGPD, plainte CDP avec amende jusqu’à 10 millions FCFA
- Activer le wipe complet par défaut au lieu du wipe sélectif : destruction des photos de famille d’un employé en cas d’erreur de manip = recours prud’homal
- Utiliser le compte Apple ID personnel du dirigeant pour Apple Business Manager : blocage total si départ ou perte du compte, impossible de récupérer la flotte
- Ne pas configurer Apple Business Manager dès l’achat : chaque iPhone doit être enrôlé manuellement, perte de 30 minutes par appareil et possibilité de désenrôlement par l’utilisateur
- Oublier de bloquer les IMEI auprès de l’opérateur : le voleur reformate et revend, votre wipe MDM est inopérant sur un appareil hors ligne
- Forcer le PIN à 4 chiffres : 10 000 combinaisons cassées en moins de 30 minutes avec les outils GrayKey, exigez 6 chiffres minimum
- Ne pas tester le wipe régulièrement : en situation réelle de stress, l’IT met 30 minutes au lieu de 2 et les données sont déjà copiées
Checklist sécurité smartphone professionnel
✓ Inventaire complet de la flotte tenu à jour mensuellement
✓ MDM choisi et déployé sur 100% des appareils accédant aux données pro
✓ Apple Business Manager configuré pour iPhone COBO
✓ Android Enterprise configuré avec Managed Google Play
✓ Politique PIN 6 chiffres minimum, verrouillage auto 2 min
✓ Chiffrement vérifié actif sur tous les appareils
✓ MFA biométrique activée sur Outlook, Teams, OneDrive
✓ Work Profile déployé sur tout BYOD Android
✓ User Enrollment activé sur tout BYOD iOS
✓ Apps métier déployées via store entreprise (pas store public)
✓ Procédure wipe testée et chronométrée < 2 minutes
✓ Liste des numéros opérateurs pour blocage IMEI affichée
✓ Charte mobile signée par chaque utilisateur
✓ Formation initiale et annuelle planifiée
✓ Audit conformité hebdomadaire automatisé vers RSSI