Comment les fuites sur TikTok affectent-elles votre posture de cybersécurité ?

TikTok was banned in the US on January 19, 2026 — then restored within 24 hours. For CISOs, that whiplash wasn’t just political noise. It exposed how unprepared most organisations are to make fast, evidence-based decisions about which consumer apps create genuine enterprise risk and which don’t.

This guide covers what the actual security risks are, what the ban reversal means for corporate policy, and what controls security teams should have in place regardless of what happens next.

1. La toile de fond : TikTok et la cybersécurité

TikTok est l'une des plateformes de médias sociaux à la croissance la plus rapide, avec plus d'un milliard d'utilisateurs actifs. Son "foryoupage" (fyp/ fypage) propose une séquence personnalisée de vidéos TikTok que vous pouvez visionner et reposter.

Le contenu est basé sur vos centres d'intérêt, avec des catégories telles que le divertissement, la danse, les mèmes, les dessins animés et les farces. Il propose également TikTok Shop, une plateforme de commerce électronique.

Cependant, les problèmes de confidentialité de TikTok font souvent la une des journaux. Si toutes les applications de médias sociaux comportent leurs propres risques en matière de cybersécurité, TikTok se distingue par ses liens géopolitiques et sa propriété uniques.

Chronologie des incidents de sécurité sur TikTok

• Février 2019 : Après avoir fusionné avec la nouvelle plateforme TikTok, l'application Musical.ly a dû payer $5.7 millions à la suite d'allégations de la FTC selon lesquelles ils auraient violé les lois sur la protection de la vie privée des enfants.
• Juin 2020 : L'Inde interdit TikTok après un affrontement militaire à la frontière avec la Chine. Outre les préoccupations relatives à la protection de la vie privée, il a déclaré, Les applications chinoises constituent une menace pour la souveraineté et la sécurité de l'Inde". (À ce jour, elle a interdit plus de 500 applications chinoises).
• Août 2020 : TikTok a fait l'objet d'un recours collectif en raison d'un traitement inapproprié de ses données. 89 millions d'utilisateursy compris les données de reconnaissance faciale.
• juin 2022 : Employés chinois de TikTok ont été révélés comme ayant accédé à des données d'utilisateurs américains, un employé clé ayant déclaré, "Tout est vu en Chine.
• Décembre 2022 : La société mère chinoise de TikTok, ByteDance, a déclaré que quatre employés avaient utilisé l'application pour espionner les journalistes.
• avril 2023 : Les autorités de régulation britanniques ont infligé une amende à TikTok 12,7 millions de livres sterling pour violation de la législation sur les données, y compris le traitement de données concernant des enfants de moins de 13 ans.
• mars 2024 : La Chambre des représentants des États-Unis a adopté un projet de loi qui exigeait que les propriétaires chinois de TikTok vendent l'entreprise ou qu'elle soit interdite aux États-Unis.
• novembre 2024 : Autorités canadiennes a ordonné à TikTok de mettre fin à ses activités dans le pays, mais n'a pas imposé d'interdiction.

2. Les principaux dangers de TikTok

Pourquoi des instances dirigeantes comme les États-Unis, le Royaume-Uni et le Canada sont-elles si préoccupées par TikTok ? Chaque application comporte ses propres risques, mais il existe une liste particulière de problèmes de sécurité concernant TikTok qui sortent du lot.

Collecte extensive de données TikTok

TikTok vole-t-il vos informations ? Bien que TikTok recueille de nombreuses données, y compris des numéros de téléphone, en fin de compte, son traitement des données et son suivi comportemental sont des activités qui n'ont pas d'impact sur la vie privée des utilisateurs. similaire à d'autres applications de médias sociaux.

Cependant, ce qui distingue TikTok, ce sont ses propriétaires chinois, ByteDance. Les critiques affirment que ByteDance est soumis à la loi chinoise sur le renseignement national, ce qui l'oblige à partager les données des utilisateurs - bien que TikTok le nie sur son site web.Mythes et faits' page web.

Néanmoins, un grand nombre de données sont accessibles et pourraient potentiellement être utilisées dans le cadre de la lutte contre le terrorisme. "permettre à la Chine de créer un portefeuille d'utilisateurs complet pour tous ses utilisateurs". selon Forbes.

Campagnes d'information et influence à grande échelle

Le RSSI de CybelAngelTodd Carroll, a fait remarquer dans un blog récent que Les acteurs étatiques malveillants sont omniprésents sur les médias sociaux". Les acteurs chinois de la menace peuvent avoir un intérêt particulier pour TikTok, en raison de ses affiliations.

Dans un Podcast NPRLes experts ont cité le pouvoir de l'influence étrangère sur des plateformes telles que TikTok, où des pays comme la Chine peuvent mener des opérations d'information en ligne, telles que Il s'agit de "semer le doute sur le leadership des États-Unis et, en fin de compte, de saper la démocratie".'

Avec un tiers de la population adulte accédant aux actualités via TikTok, la Département de la défense des États-Unis souligne les dangers que représentent les pays étrangers qui l'utilisent comme plateforme pour diffuser leurs propres campagnes d'information.

Par exemple, après le projet de loi américain visant à interdire ou à forcer sa vente, Notifications envoyées par TikTok à ses utilisateurs et leur a demandé de "Parlez maintenant" Les bureaux du Congrès ont reçu d'innombrables appels téléphoniques.

Le risque des deepfakes et de l'apprentissage automatique de l'IA

A Rapport RAND sur les dangers de TikTok, "La possibilité d'une collecte extensive de données audiovisuelles pour faciliter la création de deepfakes avancés est une raison impérieuse et urgente d'examiner de près les applications contrôlées par des étrangers comme TikTok."

Dans le rapport, certaines critiques suggèrent que le format vidéo de TikTok offre un format d'entraînement parfait pour les modèles d'intelligence artificielle, tandis que le filigrane de TikTok rend difficile l'utilisation du même contenu par d'autres outils, ce qui confère à TikTok la propriété exclusive des données.

Fausses découvertes Les deepfakes sont des bots, des créateurs de TikTok ou des acteurs de la menace qui peuvent créer des fichiers vidéo et audio réalistes (mais faux). Si les deepfakes ont des utilisations légitimes, ils peuvent également être utilisés pour diffuser des informations erronées, détruire des réputations ou orchestrer des usurpations d'identité.

Toutefois, il convient de noter que TikTok introduit également la fonction filigranes pour le contenu de l'IA. Si ce système est mis en œuvre de manière fiable, il devrait permettre aux utilisateurs de discerner ce qui est réel et ce qui est faux.

Téléchargements et mises à jour du compte TikTok

Il existe également des risques liés à l'application TikTok elle-même.

En fin de compte, les utilisateurs de TikTok téléchargent un logiciel chinois sur leurs appareils - et qui peut dire si les futures mises à jour pourrait contenir des logiciels malveillants ou des conditions générales contraires à l'éthique ?

Seuls les experts informatiques, les RSSI et les développeurs peuvent en être sûrs. Tous les autres doivent faire un acte de foi - et espérer que leur données personnelles est entre de bonnes mains.

A 2026 ban update

In January 2026 TikTok went dark for US users for approximately 14 hours before being restored following intervention from the incoming administration. As of April 2026 the app remains operational in the US, but its legal status remains unresolved, a temporary reprieve rather than a settled outcome. For security teams, the lesson is that policy decisions about TikTok cannot depend on regulatory outcomes that may change again within months.

3. What are the actual enterprise risks of TikTok

The question for security teams isn’t whether TikTok is safe in general — it’s whether your organisation has assessed the specific risks it creates in an enterprise context. There are three that matter.

Employee device access. TikTok’s app requests access to clipboard content, location data, and device identifiers. On a personal device this is a privacy concern. On a device that also connects to corporate email, VPNs, or cloud applications, clipboard harvesting becomes a credential risk. If an employee copies a password or access token while TikTok is running in the background, that data is accessible to the app. Security teams should audit whether TikTok is installed on any device enrolled in MDM — and enforce policy accordingly.

ByteDance data access. In 2022, ByteDance employees based in China were confirmed to have accessed the data of US journalists through TikTok’s internal systems. The mechanism — privileged internal access to user data — is not unique to journalists. Any organisation whose employees use TikTok on devices with access to sensitive systems should treat this as a supply chain risk, not a consumer privacy issue.

Influence operations. The US Department of Defense has documented TikTok’s use as a platform for foreign information operations. For organisations with executives who are public figures, or who take positions on geopolitical or regulatory issues, TikTok’s algorithmic amplification creates both a reputation risk and a social engineering vector. Adversaries can use the platform to build detailed profiles of executives and target employees with highly personalised phishing campaigns.

What security teams should do

Action: Establish a written policy on TikTok specifically — not just a generic social media policy. It should state whether TikTok can be installed on MDM-enrolled devices, personal devices used for work email, and devices issued to executives or anyone with access to sensitive systems. Ambiguity here is the risk.

Action: If TikTok is permitted on any work-connected device, ensure your endpoint security solution monitors clipboard access and flags unusual data reads. This applies to TikTok and any other app with similar permissions.

Action: Include TikTok-specific scenarios in phishing awareness training. Attackers increasingly use TikTok content as lures — fake links in comments, impersonation accounts of company executives, and QR codes shared via the platform. Employees who understand the specific attack vectors are significantly less likely to fall for them.

CybelAngel monitors your external attack surface continuously — including social media impersonation, executive exposure, and credential risks that originate outside your network perimeter.

F.A.Q

Q : Un lien vm.tiktok est-il sûr ?

Une URL qui suit le format vm.tiktok.com signifie que quelqu'un a partagé une vidéo TikTok à partir de l'application.

Conclusion

Malgré ses récentes controverses, TikTok n'est pas près de disparaître en 2025. Que vous soyez un RSSI ou un responsable informatique, il est essentiel d'évaluer les implications de l'application pour votre stratégie de cybersécurité.

Mais avec les bonnes politiques, les contrôles techniques et la formation des employés, vous pouvez réduire les risques liés à la sécurité de TikTok, qu'ils proviennent de TikTok ou de toute autre application de médias sociaux.

Si vous souhaitez en savoir plus sur la protection de votre entreprise, veuillez contacter CybelAngel pour obtenir des avis d'experts sur la gestion de la surface d'attaque externe (EASM).

À propos de l'auteur

Orlaith Traynor

Orlaith est une stratège en marketing de contenu B2B basée à Paris, spécialisée dans la cybersécurité et la technologie, avec une expertise approfondie en SEO, AEO, planification éditoriale et gestion CMS. Après avoir dirigé le contenu d'entreprises telles que CybelAngel et PhantomBuster, elle aide les marques de technologie à créer des stratégies de contenu qui favorisent la visibilité organique et la confiance des acheteurs sur des marchés concurrentiels.

lire tous les articles