Un appareil mobile non mis à jour, c'est une faille ouverte. Chaque correctif de sécurité Android ignoré, chaque mise à jour iOS repoussée expose votre flotte à des vulnérabilités connues et activement exploitées. Pour les équipes IT qui gèrent des centaines d'appareils, le suivi manuel des versions d'OS n'est tout simplement pas viable.
La gestion des correctifs mobiles via MDM consiste à utiliser une plateforme de gestion de flotte mobile pour planifier, imposer et surveiller les mises à jour système et de sécurité sur l'ensemble de vos terminaux. Avec une configuration MDM adaptée, vous pouvez automatiser le déploiement des mises à jour, définir des délais de conformité et identifier en temps réel les appareils en retard.
Pourquoi la gestion des correctifs mobiles est souvent négligée
Le patching des postes de travail est une pratique courante depuis vingt ans. Pour les mobiles, en revanche, beaucoup d'organisations considèrent encore que c'est secondaire. C'est une erreur : vos smartphones et tablettes transportent les mêmes données sensibles que les laptops. Identifiants email, certificats VPN, jetons d'accès aux applications SaaS.
Google publie des correctifs de sécurité Android chaque mois. Apple sort des mises à jour iOS environ toutes les six semaines, avec des correctifs critiques entre deux versions majeures. Chaque patch corrige des vulnérabilités documentées publiquement dans les bases CVE. Une fois un CVE publié, le code d'exploitation apparaît souvent en quelques jours.
Si votre flotte mélange Android 12, 13 et 14 sur des appareils Samsung, Google Pixel et Zebra, vous devez composer avec des calendriers de mise à jour différents, des délais OEM variables et des comportements de mise à jour hétérogènes. Sans gestion centralisée, certains appareils accuseront des mois de retard.
Comment le MDM automatise les mises à jour
Une solution MDM moderne vous donne plusieurs leviers pour contrôler le processus :
Politiques de mise à jour imposées. Vous définissez quand les mises à jour doivent être installées. Sur Android Enterprise, vous pouvez configurer une politique pour installer automatiquement pendant une fenêtre de maintenance (par exemple entre 2h et 5h du matin), ou reporter les mises à jour jusqu à 30 jours le temps de tester la compatibilité. Le Declarative Device Management (DDM) d'Apple, introduit avec iOS 17, permet d'imposer une version d'OS spécifique avec une date limite après laquelle l'appareil installe la mise à jour sans intervention.
Déploiement par vagues. Poussez la mise à jour vers un groupe pilote de 20 appareils d'abord. Surveillez les crashs d'applications, les problèmes de batterie ou de connectivité pendant 48 heures. Puis déployez sur toute la flotte. Cette approche détecte les mises à jour problématiques avant qu'elles n'impactent la production.
Rapports de conformité. Votre tableau de bord MDM affiche précisément quelle version d'OS tourne sur chaque appareil. Vous pouvez signaler les appareils qui ont plus d'une version majeure de retard, ou qui ont manqué un correctif de sécurité depuis plus de 90 jours. Certaines organisations lient cela à l'accès conditionnel : si un appareil n'est pas conforme, il perd l'accès aux emails et applications d'entreprise tant qu'il n'est pas mis à jour.
Android vs iOS : deux approches du patching
Android et iOS gèrent les mises à jour différemment, et votre stratégie MDM doit en tenir compte.
Android offre un contrôle plus granulaire via Android Enterprise. Vous pouvez choisir entre trois politiques : automatique (installation immédiate), fenêtrée (installation pendant les heures de maintenance) ou reportée (délai jusqu à 30 jours). Samsung Knox ajoute une couche supplémentaire avec E-FOTA (Enterprise Firmware Over The Air), qui permet de verrouiller les appareils sur une version firmware spécifique. C'est indispensable pour les appareils durcis en entrepôt ou en magasin, où une mauvaise mise à jour peut casser une application métier.
iOS a historiquement été plus restrictif. Avant iOS 17, vous ne pouviez que retarder les mises à jour, pas imposer une version précise. Le DDM a changé la donne. Vous pouvez désormais définir une version cible et une échéance. Passé le délai, l'appareil affiche des invitations de plus en plus insistantes, puis installe la mise à jour sans consentement utilisateur. Pour les appareils supervisés via Apple Business Manager, le contrôle est total.
Un point à retenir : Apple supprime la possibilité d'installer les anciennes versions iOS dès qu'une nouvelle sort. Votre fenêtre de test est donc limitée.
Construire une politique de gestion des correctifs
Une politique écrite élimine les ambiguïtés. Voici ce qu'elle doit couvrir :
Délais de correction. Définissez le retard maximum acceptable. Un standard courant : correctifs de sécurité sous 14 jours, mises à jour majeures sous 30 jours. Ajustez selon votre tolérance au risque et les applications utilisées par votre flotte.
Protocole de test. Identifiez 5 à 10 appareils représentatifs (modèles différents, applications différentes) pour votre groupe pilote. Faites tourner la nouvelle version pendant au moins 48 heures avant un déploiement large. Documentez les problèmes rencontrés.
Gestion des exceptions. Certains appareils ne peuvent pas être mis à jour parce qu'ils exécutent une application métier incompatible avec les nouvelles versions. Votre politique doit prévoir ces cas : isoler l'appareil sur un réseau restreint, documenter le risque, revoir la situation chaque trimestre.
Communication aux utilisateurs. Prévenez vos collaborateurs. Un email court ou une notification push ("Votre téléphone sera mis à jour cette nuit entre 2h et 5h") réduit les appels au support et les réclamations.
Sanctions en cas de non-conformité. Définissez les conséquences. Après 30 jours sans mise à jour, restreignez l'accès aux ressources d'entreprise. Après 60 jours, envisagez un effacement à distance des données professionnelles (pas l'appareil complet si vous utilisez des profils de travail).
Erreurs fréquentes à éviter
Ignorer les délais opérateurs. Sur Android, les appareils achetés via un opérateur (Orange, SFR, Bouygues) reçoivent souvent les correctifs des semaines après la publication par Google. Intégrez ces délais dans vos plannings, ou achetez des appareils débloqués.
Oublier la compatibilité applicative. Une mise à jour majeure peut casser vos applications métier. Testez systématiquement vos applications critiques contre les versions bêta d'Android et iOS avant la sortie officielle. Google et Apple publient des previews développeur plusieurs mois à l'avance.
Mettre à jour sans surveiller. Pousser une mise à jour n'est que la moitié du travail. Il faut vérifier qu'elle s'est réellement installée. Certains appareils échouent silencieusement (stockage plein, batterie faible, pas de Wi-Fi). Votre MDM doit vous alerter en cas d'échec d'installation.
Traiter le BYOD comme les appareils d'entreprise. Sur les appareils personnels, vous ne pouvez généralement pas imposer les mises à jour OS. Ce que vous pouvez faire : exiger une version minimale. Si le téléphone personnel d'un collaborateur tombe sous iOS 16 ou Android 13, il perd l'accès au profil professionnel. Le collaborateur choisit quand mettre à jour, mais la frontière de sécurité est maintenue.
Ce qu'Appaloosa propose pour la gestion des correctifs
La plateforme MDM Appaloosa prend en charge les politiques de mise à jour OS pour Android Enterprise et les appareils Apple. Vous pouvez définir des fenêtres de maintenance, configurer des règles de conformité basées sur la version d'OS et surveiller l'état des mises à jour de votre flotte depuis un tableau de bord unique. Combiné avec le mode kiosque pour les appareils dédiés, vous garantissez que même les tablettes mono-application en magasin ou en logistique restent à jour et sécurisées.