Un salarié en télétravail depuis son appartement à Lyon. Il se connecte au Wi-Fi de sa box, ouvre son MacBook professionnel, accède à Microsoft 365 et au VPN de l'entreprise. Tout fonctionne. Et personne n'a réellement évalué si cette configuration est sûre.
C'est le scénario qu'on rencontre dans la quasi-totalité des PME parisiennes qui ont adopté le télétravail depuis 2020. Le travail à distance s'est installé vite, souvent sans que l'infrastructure de sécurité suive. Et maintenant que c'est ancré dans les habitudes, personne ne prend le temps de revoir la configuration.
Ce qui change en termes de risque quand les salariés travaillent à distance
Au bureau, les appareils sont derrière le réseau de l'entreprise — firewall, filtrage DNS, supervision réseau. Un salarié qui clique sur un lien malveillant depuis le réseau interne déclenche souvent une alerte. Le périmètre est contrôlé.
En télétravail, cet appareil est sur la box internet personnelle du salarié, parfois sur le Wi-Fi d'un café ou d'un espace de coworking. Le périmètre n'existe plus. Chaque appareil doit être protégé individuellement — pas seulement par le réseau qui l'entoure.
C'est ce qu'on appelle le modèle Zero Trust : ne faire confiance à aucun réseau par défaut, vérifier systématiquement l'identité et la conformité de l'appareil avant d'autoriser l'accès aux ressources de l'entreprise. C'est un principe, pas un outil — mais il change la façon dont on configure les accès distants.
Le VPN : utile, mais pas suffisant
Beaucoup de PME ont répondu au télétravail en déployant un VPN. C'est bien. Ce n'est pas suffisant seul.
Un VPN crée un tunnel chiffré entre l'appareil du salarié et le réseau de l'entreprise. Il protège la connexion. Mais si l'appareil lui-même est compromis — malware installé, système non mis à jour, mot de passe volé — le VPN ne change rien. L'attaquant passe par le tunnel avec le salarié.
Ce qu'on configure en complément du VPN : le MFA sur tous les accès distants, une politique de conformité de l'appareil avant connexion — via Intune ou Jamf — qui vérifie que le système est à jour et que le disque est chiffré avant d'autoriser la connexion, et un accès conditionnel qui bloque les connexions depuis des pays inhabituels ou des appareils non reconnus.
Les appareils personnels en télétravail : le vrai problème
On le voit régulièrement : des salariés en télétravail qui utilisent leur ordinateur personnel pour travailler, parce que "c'est plus pratique" ou parce que l'entreprise n'a pas fourni de matériel. C'est compréhensible. C'est aussi un risque réel.
Un ordinateur personnel n'est pas sous MDM. L'entreprise ne sait pas ce qui est installé dessus, si le système est à jour, si un autre membre du foyer l'utilise aussi. Les données professionnelles téléchargées sur cet appareil — pièces jointes, fichiers OneDrive, historique de navigation sur les outils internes — n'ont aucune protection du côté de l'entreprise.
La solution n'est pas forcément d'interdire le BYOD — c'est parfois difficile à imposer. C'est de le canaliser. Un profil MDM déployé sur l'appareil personnel — Android Enterprise pour les téléphones, Intune avec un profil restreint pour les PC — crée une zone professionnelle isolée sur l'appareil. Les données de l'entreprise restent dans ce conteneur. Quand le salarié part, on efface le profil professionnel sans toucher aux données personnelles.
Le Wi-Fi en espace de coworking : le risque qu'on oublie
Les espaces de coworking sont devenus courants pour les salariés en télétravail partiel. Et les réseaux Wi-Fi de ces espaces sont partagés entre des dizaines d'utilisateurs dont vous ne connaissez rien.
Sur un réseau partagé non sécurisé, les communications non chiffrées peuvent être interceptées. Ce n'est pas une attaque sophistiquée — c'est une technique connue, documentée, accessible à quelqu'un avec les bons outils et un peu de patience. Un VPN actif chiffre le trafic et rend cette interception inutile. Mais encore faut-il que le VPN soit activé systématiquement — pas juste quand le salarié y pense.
On configure des politiques "always-on VPN" sur les appareils managés : le VPN s'active automatiquement dès que l'appareil se connecte à un réseau qui n'est pas le réseau de l'entreprise. Le salarié n'a rien à faire. La connexion est toujours protégée.
Ce qu'on met en place pour les PME en mode hybride
Pour les PME avec des équipes en télétravail partiel ou total, voilà le socle qu'on déploie.
MDM sur tous les appareils professionnels — Mac, PC, iPhone, Android — avec une politique de conformité qui vérifie le chiffrement et les mises à jour avant d'autoriser l'accès aux ressources. MFA sur tous les comptes Microsoft 365 et VPN. Always-on VPN sur les postes mobiles. Et une procédure d'offboarding qui coupe tous les accès distants dans l'heure suivant le départ d'un salarié.
Ce n'est pas une infrastructure de grande entreprise. C'est le minimum qui fait qu'un salarié en télétravail n'est pas un vecteur d'attaque ouvert vers le reste de l'organisation.
Si vos salariés travaillent à distance et que vous n'avez pas évalué la configuration de sécurité depuis le déploiement du télétravail, c'est probablement le bon moment pour le faire.