XR en entreprise : pourquoi la sécurité devient un vrai sujet

Quand la XR change la nature du risque

La réalité étendue, ou XR, entre dans les entreprises par des portes très concrètes : formation, assistance à distance, collaboration immersive, démonstration produit. Tant qu’on reste au stade de la démo, le sujet semble surtout technique. Mais dès qu’un usage devient métier, la question change. Il ne s’agit plus seulement de faire fonctionner un casque ou une application. Il faut aussi comprendre ce que l’outil voit, entend, enregistre et mémorise.

C’est précisément le point soulevé par Alex Cole dans l’article publié le 16 avril 2026 sur UC Today, à propos des espaces de travail XR. Son idée centrale est simple, mais importante : la XR n’est pas juste une nouvelle famille d’appareils. C’est une nouvelle catégorie de données. Dit autrement, un ordinateur classique traite surtout des fichiers et des messages. Un dispositif XR peut, lui, capter la géométrie d’une pièce, suivre le regard, analyser les gestes de la main, enregistrer la voix et la vidéo, tout cela au cœur d’un vrai processus de travail.

C’est pour cela que le sujet remonte aujourd’hui au niveau des directions générales, des CIO et des CISO. Non parce que la XR serait « inquiétante » par nature, mais parce qu’elle mélange terminal informatique et capture de l’environnement réel. Et les modèles classiques de cybersécurité n’ont pas été pensés à l’origine pour ce mélange.

Pourquoi la XR élargit la surface d’attaque

Dans un environnement XR, la donnée ne se limite pas aux documents, aux mails ou aux logs. Elle peut inclure des flux capteurs, la forme de la salle, la direction du regard, le suivi des mains, la voix et la vidéo. C’est un peu comme si un ordinateur, une caméra, un micro et un plan 3D du lieu travaillaient ensemble en permanence.

L’article source identifie trois points de pression très clairs.

• Premier point : la XR élargit la surface d’attaque.
• Deuxième point : elle augmente la sensibilité des données.
• Troisième point : elle accélère le risque lié aux workflows et aux intégrations.

Le premier point est facile à comprendre. Plus un appareil a d’entrées, plus il y a de portes à surveiller. Apple lui-même insiste sur la richesse capteur de l’Apple Vision Pro, avec cette formulation : « Apple Vision Pro is powered by the groundbreaking R1 chip, which processes input from 12 cameras, five sensors, and six microphones… ». Même sans être expert en cybersécurité, on comprend l’enjeu. Douze caméras, cinq capteurs et six microphones, ce n’est pas un simple écran porté sur la tête. C’est un système qui perçoit le monde réel avec beaucoup de finesse.

Concrètement, cela veut dire qu’une entreprise ne doit pas seulement se demander si le terminal est protégé. Elle doit aussi se demander quelles données environnementales sont collectées, à quel moment, et avec quel niveau d’accès.

Les données biométriques ne sont pas un détail

Le deuxième sujet majeur concerne la biométrie. Dans la XR, l’identité peut passer par le regard, la reconnaissance d’un visage ou d’autres signaux corporels. Là encore, l’exemple d’Apple est utile, car il illustre le changement d’échelle. Apple précise : « Optic ID data is encrypted and never leaves your device. Like Touch ID and Face ID data, it is only accessible to the Secure Enclave. »

Cette phrase est importante, pas parce qu’elle règle tout, mais parce qu’elle montre la bonne question à poser. Où la donnée biométrique est-elle traitée ? Où est-elle stockée ? Qui peut y accéder ? Que se passe-t-il si le casque passe d’un utilisateur à un autre, d’un site à un autre, ou d’un service à un autre ?

Pour une entreprise, la protection biométrique n’est pas un bouton à cocher. C’est une posture d’exploitation. Il faut pouvoir expliquer en langage simple les frontières de sécurité du terminal, les règles d’usage partagé et le cycle de vie des identités. Beaucoup de projets XR ne bloquent pas parce que la technologie est mauvaise. Ils bloquent parce que l’organisation n’arrive pas à expliquer ces bases de façon claire lors d’une revue sécurité.

On peut utiliser une analogie simple : si un badge d’accès ouvre une porte, un système biométrique XR peut ouvrir une porte tout en observant la pièce. Le niveau de responsabilité n’est donc pas le même.

La conformité suit les usages, pas l’étiquette “XR”

Un autre apport très concret de l’article est de rappeler qu’il n’existe pas une norme unique appelée « conformité XR ». La XR hérite plutôt des obligations du contexte dans lequel elle est utilisée.

Si une entreprise utilise la XR pour former ses équipes, elle peut toucher à des journaux de conformité, à des preuves de compétence et à des procédures opératoires réglementées. Si elle l’utilise pour l’assistance à distance, elle peut déclencher des politiques d’enregistrement, des exigences de confidentialité sur site client et des questions de résidence des données. Et dans la santé ou les infrastructures critiques, le niveau d’exigence monte très vite.

La bonne approche consiste donc à traiter la XR comme une surface de workflow réglementée, pas comme un gadget isolé. Les équipes achats, sécurité et conformité doivent pouvoir répondre à des questions très opérationnelles :

• Quelles catégories de données sont captées : vidéo, audio, cartographie spatiale, biométrie, annotations ?
• Quelles données sont stockées, et lesquelles sont seulement traitées de manière éphémère ?
• Quelles règles de conservation s’appliquent, et qui en est responsable ?
• Comment gérer les traces d’audit si le contenu XR évolue dans le temps ?

Même dans un secteur peu réglementé, ces questions deviennent normales. Comme le rappelle l’article, l’argument « nous n’y avions pas pensé » ne tient plus quand l’appareil voit littéralement le monde réel.

Le vrai risque, ce sont aussi les intégrations

La XR crée de la valeur quand elle se connecte aux outils existants : plateformes de formation, outils de collaboration, systèmes de maintenance, workflows de service. Mais cette valeur a un prix organisationnel. Chaque intégration ajoute des permissions, des points de contact avec l’identité et de la complexité de configuration.

C’est ici que les erreurs deviennent probables si les contrôles ne sont pas pensés tôt. Un pilote XR peut très bien fonctionner en démonstration, puis devenir fragile au moment du passage à l’échelle. Non pas à cause du casque, mais à cause d’un enchaînement de droits mal définis, de comptes partagés, de politiques d’enregistrement floues ou d’une gouvernance de données incomplète.

Autrement dit, sécuriser la XR ne consiste pas seulement à “verrouiller un appareil”. Il faut sécuriser un ensemble : terminal, capteurs, identité, données spatiales, flux métier et règles de conservation.

Deux exemples métier pour comprendre

Formation industrielle

Imaginons un site industriel qui déploie la XR pour former des techniciens à une procédure sensible. Le bénéfice est réel : simulation de gestes, répétition sans risque, suivi plus visuel. Mais le dispositif peut aussi enregistrer la scène, suivre les mouvements, intégrer des données de compétence et se connecter à une plateforme de formation. La bonne pratique consiste donc à définir dès le départ quelles données sont conservées, qui peut consulter les sessions, combien de temps elles restent disponibles, et si certains éléments doivent être traités sans stockage durable.

Santé et assistance à distance

Dans un contexte de santé ou d’assistance experte sur site, la XR peut aider un professionnel à voir une procédure, recevoir des annotations et collaborer à distance. Mais ici, la confidentialité grimpe d’un cran. On peut avoir de la vidéo, de l’audio, un environnement réel cartographié et potentiellement des informations sensibles visibles dans le champ de vision. Dans ce type de cas, l’entreprise doit cartographier précisément les catégories de données captées et aligner le dispositif sur ses obligations de confidentialité, d’audit et de résidence des données.

Penser sécurité dès la conception, pas après

Le message de fond de l’article d’Alex Cole est assez sain. Il ne dit pas qu’il faut ralentir la XR par principe. Il dit qu’il faut éviter que l’adoption immersive aille plus vite que la sécurité. C’est une nuance importante.

Pour des équipes non spécialistes, un bon réflexe consiste à poser très tôt quelques questions simples :

• Que voit exactement le dispositif ?
• Qu’entend-il ?
• Qu’enregistre-t-il ?
• Où les données vont-elles ?
• Qui peut y accéder ?
• Que se passe-t-il si l’appareil change d’utilisateur ou de lieu ?

Si ces réponses ne sont pas claires, le projet n’est pas forcément mauvais. Il est juste trop flou pour passer sereinement à l’échelle.

Dans cette logique, des plateformes comme explorations360 peuvent jouer un rôle utile pour structurer des expériences immersives en gardant une approche concrète des usages. Avec easystory360, par exemple, l’enjeu n’est pas seulement de publier un contenu immersif. C’est aussi de penser le contexte de diffusion, la médiation et le parcours utilisateur. Le déploiement mené avec Spéléo Québec va dans ce sens. explorations360 a accompagné Spéléo Québec avec une expérience immersive permettant de valoriser et faire découvrir son univers auprès de ses publics, dans un contexte de médiation et de découverte touristique. Le retour cité, « fantastique », rappelle une chose simple : une expérience immersive réussie n’est pas qu’une question d’effet visuel, c’est aussi une question de cadre, d’usage et de confiance.

La XR va continuer à progresser dans la formation, la collaboration, le tourisme, la santé et l’industrie. Plus elle entrera dans les processus métiers, plus la sécurité devra être pensée comme un socle, pas comme une étape finale. C’est souvent à ce prix que l’innovation devient durable.

#SécuritéXR, #InnovationTechnologique, #DonnéesBiométriques, #GouvernanceDesDonnées, #RéalitéAugmentée, #RéalitéMixte, #InformatiqueSpatiale

Cet article fait partie de notre veille technologique Veille360, une sélection d'actualités sur les technologies immersives.