Le vrai coût en main-d’œuvre et en abonnements du verrouillage d’un appareil grand public pour usage professionnel en PME — et ce que vous en obtenez
Les estimations de main-d’œuvre dans cet article sont des approximations basées sur des configurations TI PME typiques. Les prix des abonnements reflètent les tarifs publics du début 2026 et varieront selon la région, le volume et le forfait. C’est un point de départ pour la discussion — pas une recommandation d’achat.
Le problème, c'est le point de départ
L'article précédent de cette série plaidait pour qu'un appareil de flotte corporatif soit minimal par conception — courriel, navigateur proxifié, VPN, et peu d'autre chose. Le principe du pare-feu : tout fermé par défaut, on ouvre ce dont on a besoin.
Cet article porte sur ce qui se passe quand on ne suit pas ce principe. Quand on prend un smartphone grand public — un appareil conçu pour tout faire, préchargé de tout, connecté à tout — et qu'on tente de le rendre apte à l'usage professionnel en désactivant, en restreignant et en gérant pour revenir à une configuration sécurisée.
Ça coûte plus cher que la plupart des PME ne le réalisent. Pas seulement en abonnements, mais en heures TI qui n'apparaissent nulle part sur la facture du fournisseur et ne cessent jamais de s'accumuler.
Configurer 10 téléphones : ce que ça représente vraiment
Voici des estimations réalistes pour une petite entreprise ou PME sans département TI interne dédié — le scénario le plus courant. La main-d'œuvre est facturée à un taux conservateur de 85 $/heure, typique pour le soutien TI externalisé au Canada.
- Configuration du locataire MDM, création des politiques, règles d'accès conditionnel 5–8 h
- Inscription par appareil, déploiement du profil, test des restrictions d'applications 1–1,5 h × 10
- Configuration des comptes utilisateurs, courriel, provisionnement VPN 3–4 h
- Vérification des politiques et correction (éléments non appliqués proprement) 2–4 h
- Configuration ABM, jeton DEP, enregistrement du serveur MDM 6–10 h
- Inscription DEP par appareil, déploiement du profil de configuration, mode supervisé 45–75 min × 10
- Comptes utilisateurs, courriel, VPN, restrictions via charge utile Restrictions 3–5 h
- Vérification des politiques, cas limites du mode supervisé, tests 2–4 h
Et tout ça avant qu'un seul employé ait envoyé un seul courriel professionnel. C'est uniquement le coût de prendre des appareils conçus pour les consommateurs et de les négocier dans un état acceptable pour l'usage professionnel.
Les abonnements que vous devez maintenant chaque mois
La main-d'œuvre est un coût ponctuel. Les abonnements ne le sont pas. Tous les chiffres ci-dessous sont en dollars canadiens, par appareil, par mois. Les frais de service mobile et de forfait cellulaire sont exclus de tous les calculs de cet article.
Ajoutez la main-d'œuvre de configuration amortie (~6 $/app./mois sur 36 mois) et la main-d'œuvre de maintenance récurrente (~5–10 $/app./mois en moyenne annuelle), et le coût total de gestion d'une flotte grand public verrouillée atteint 43–55 $ CAD par appareil par mois — sans le matériel, sans le service mobile, sans les licences de courriel corporatif.
Chaque dollar de ces abonnements paie un fournisseur pour combattre continuellement les paramètres par défaut du fabricant de l'appareil. Le MDM applique des politiques qui annulent ce qu'Android ou iOS permettrait autrement. La défense contre les menaces surveille les applications qui font des choses que votre politique interdit. Vous n'achetez pas de la sécurité. Vous vous abonnez à l'effort continu de réduire l'insécurité avec laquelle vous avez commencé.
Le coût qui ne s'arrête jamais : les mises à jour du système
Apple publie une mise à jour iOS majeure par an. Les fabricants Android varient, mais les appareils haut de gamme reçoivent généralement deux versions majeures du système plus des correctifs de sécurité mensuels. Chaque mise à jour peut modifier les comportements par défaut, introduire de nouvelles applications système, modifier les modèles de permissions, ou simplement briser des profils MDM qui fonctionnaient bien la semaine précédente.
Pour une PME, chaque mise à jour majeure du système nécessite un cycle de révision des politiques. Quelqu'un doit tester les appareils mis à jour par rapport à votre profil de restriction, identifier ce qui a changé, mettre à jour la configuration MDM, déployer et retester. Ce n'est pas optionnel. C'est ainsi que vous découvrez si votre posture de sécurité a survécu à la mise à jour avant qu'un attaquant ne le fasse.
Sur trois ans, la main-d'œuvre pour les mises à jour seule représente 1 530 $ – 4 590 $ CAD. Ajouté à la configuration initiale et aux abonnements, une flotte PME de 10 appareils gérés sur du matériel grand public coûte dans la fourchette de 15 500 $ – 21 000 $ CAD sur trois ans — avant le matériel, avant le service mobile, avant les licences de courriel corporatif.
Ce que vous obtenez pour tout ça
Un appareil moins peu sécurisé qu'il ne l'était à la sortie de la boîte. Pas un appareil sécurisé. Un appareil où une partie de la surface d'attaque ouverte par défaut a été fermée, par politique, par un fournisseur dont le travail est de compenser un problème créé par le fabricant.
Le MDM peut empêcher l'installation d'applications non approuvées — sur la partition gérée. Il ne peut pas contrôler ce qu'une application personnelle sur le même appareil fait avec les données dans le stockage partagé. Le VPN tunnelise le trafic corporatif — lorsqu'il est actif. Le profil de restriction désactive les fonctionnalités que le fabricant expédie activées — jusqu'à ce qu'une mise à jour les réactive.
Vous travaillez contre la conception de l'appareil. Chaque configuration que vous déployez combat le paramètre par défaut. Chaque mise à jour réinitialise une partie de ce que vous aviez gagné.
À 43–55 $ CAD par appareil par mois, la surcharge de gestion d'une flotte grand public verrouillée dépasse le coût d'un forfait mobile corporatif de base chez Bell, Rogers ou Telus — qui se situe généralement entre 35 et 50 $ CAD/mois. Vous payez plus pour gérer le téléphone que pour le connecter. Ce n'est pas un budget de sécurité. C'est le prix de commencer au mauvais endroit.
L'alternative : un Android vierge, construit sélectivement
Le cas de comparaison n'est pas théorique. Un appareil Android milieu de gamme — Samsung Galaxy série A, Motorola série G ou tout appareil Android Enterprise Recommended — inscrit proprement via le provisionnement zero-touch, avec des applications installées sélectivement sur une image de base minimale, géré à distance dans le cadre d'une flotte. Rien de désactivé. Rien de combattu. Rien hérité d'une feuille de route de produit grand public.
L'abonnement MDM pour une plateforme de gestion de flotte minimale — Scalefusion, Hexnode, ManageEngine MDM ou équivalent — coûte environ 4–6 $ USD par appareil par mois. Pas de couche de gestion des identités. Pas de défense contre les menaces mobiles pour surveiller les applications que vous n'auriez pas dû installer. Pas d'accès conditionnel compensant un modèle de permissions auquel vous ne pouvez pas faire confiance.
Environ le quart du coût du verrouillage grand public. Sur trois ans, une flotte minimale de 10 appareils représente 3 240 $ – 4 680 $ CAD en surcharge de gestion. L'approche grand public verrouillée représente 15 500 $ – 21 000 $ CAD sur la même période. La différence — 11 000 $ – 16 000 $ CAD — achète beaucoup de matériel. Les frais de service mobile sont exclus des deux chiffres.
La configuration passe de 20–27 heures à 8–10 heures. Vous provisionnez un appareil conçu pour être déployé de cette façon — le zero-touch Android Enterprise est précisément fait pour cette configuration. Les cycles de mises à jour cessent d'être des événements de révision de politique et deviennent des correctifs de sécurité de routine. Le consultant TI que vous appelez deux fois par an pour la correction post-mise à jour sur la flotte grand public n'est plus appelé du tout. L'appareil fait le travail. Il ne fait rien d'autre. Il n'y a rien à combattre.
La réalité des PME
Les grandes entreprises absorbent ces coûts dans des départements TI où la main-d'œuvre est salariée et les abonnements sont des postes budgétaires. Pour une PME, c'est différent. Les vingt et quelques heures de configuration initiale représentent une semaine de temps facturable du consultant TI que vous appelez quand quelque chose brise. Les abonnements mensuels sont un coût récurrent qui est rarement révisé une fois établi. Les cycles de mises à jour sont une surprise annuelle.
Et au bout du compte, beaucoup de propriétaires de PME ont un sentiment persistant que quelque chose ne va pas tout à fait — que les téléphones sont verrouillés en théorie, mais ils ne sont pas vraiment sûrs de ce qui se passe réellement dessus. Cet instinct est correct. Les appareils grand public gérés par politique MDM sont opaques d'une façon que les appareils de flotte conçus à cet effet ne sont pas.
Le choix le moins cher au moment de l'achat ne s'avère pas moins cher dans le temps. Un appareil Android milieu de gamme à 300 $ inscrit proprement, n'exécutant que ce que le travail requiert, coûte moins cher à configurer, moins cher à maintenir et moins cher à remplacer. La partie coûteuse de la stratégie du smartphone grand public, ce n'est pas le téléphone. C'est tout ce que vous devez faire au téléphone après l'avoir acheté.