Sécuriser le télétravail : 12 mesures essentielles
Le télétravail s'est durablement installé dans les entreprises françaises : 47% des salariés du secteur privé y recourent au moins un jour par semaine. Cette transformation des modes de travail a considérablement élargi la surface d'attaque des organisations. Les connexions depuis des réseaux domestiques, l'usage d'appareils personnels et la dispersion géographique des équipes créent des vulnérabilités que les cybercriminels exploitent activement. Voici 12 mesures concrètes pour sécuriser le travail à distance.
Sécuriser les connexions réseau
1. Déployer un VPN d'entreprise
Le VPN (Virtual Private Network) chiffre l'intégralité du trafic entre le poste du collaborateur et le réseau de l'entreprise. C'est la première brique de sécurité du télétravail. Optez pour une solution professionnelle avec authentification par certificat, pas un VPN grand public.
Point d'attention : le VPN doit être configuré en split tunneling intelligent — le trafic professionnel passe par le VPN tandis que le trafic personnel (streaming, navigation personnelle) sort directement, pour ne pas saturer la bande passante de l'entreprise.
2. Adopter une architecture Zero Trust
Le modèle Zero Trust part du principe qu'aucune connexion n'est fiable par défaut, même depuis le réseau interne. Chaque accès à une ressource est vérifié individuellement : identité de l'utilisateur, état de santé de l'appareil, localisation, horaire, et comportement habituel. Ce modèle est particulièrement adapté au télétravail car il ne fait pas de distinction entre « intérieur » et « extérieur » du réseau. Des solutions comme Azure AD Conditional Access ou Google BeyondCorp permettent d'implémenter cette approche progressivement.
3. Sécuriser le Wi-Fi domestique
Les box Internet domestiques sont rarement configurées de manière optimale. Fournissez à vos collaborateurs un guide de sécurisation : mise à jour du firmware de la box, activation du WPA3 (ou WPA2 minimum), changement du mot de passe par défaut, désactivation du WPS, isolation du réseau IoT. Envisagez de fournir un point d'accès Wi-Fi dédié pour les collaborateurs qui manipulent des données sensibles.
Renforcer l'authentification
4. Imposer la MFA sur tous les services
L'authentification multi-facteurs (MFA) est le contrôle de sécurité le plus efficace contre le vol d'identifiants : elle bloque 99,9% des attaques automatisées selon Microsoft. En télétravail, où les mots de passe sont plus exposés (phishing, shoulder surfing dans les espaces publics), la MFA n'est pas une option mais une nécessité. Déployez-la sur tous les services : messagerie, VPN, applications métier, outils collaboratifs. Préférez les clés FIDO2 ou les applications d'authentification (Microsoft Authenticator, Google Authenticator) aux SMS, plus vulnérables.
5. Gérer les mots de passe avec un gestionnaire
En télétravail, la tentation de réutiliser des mots de passe ou de les noter est encore plus forte. Déployez un gestionnaire de mots de passe d'entreprise (Bitwarden, 1Password Business, Dashlane Business) qui génère, stocke et remplit automatiquement des mots de passe uniques et complexes. Centralisez le partage sécurisé des identifiants d'équipe et assurez-vous que les mots de passe personnels restent séparés des professionnels.
Maîtriser les appareils
6. Fournir des équipements professionnels
Le BYOD (Bring Your Own Device) est un cauchemar pour la sécurité : vous ne maîtrisez ni la configuration, ni les mises à jour, ni les logiciels installés sur les appareils personnels. Fournissez des laptops d'entreprise pré-configurés avec chiffrement du disque (BitLocker/FileVault), EDR, VPN pré-installé et restrictions d'installation de logiciels. Le surcoût est largement compensé par la réduction du risque.
7. Déployer un MDM/EMM
Un outil de Mobile Device Management (MDM) ou Enterprise Mobility Management (EMM) comme Microsoft Intune, Jamf ou VMware Workspace ONE vous permet de gérer à distance l'ensemble de votre flotte : déploiement de mises à jour, configuration des politiques de sécurité, inventaire logiciel, et surtout effacement à distance en cas de perte ou vol d'un appareil. Indispensable dès que vous avez plus de 10 postes en télétravail.
8. Automatiser les mises à jour
En télétravail, les postes ne passent plus régulièrement par le réseau interne pour recevoir les mises à jour du WSUS ou SCCM. Configurez les mises à jour automatiques du système d'exploitation et des applications critiques via le cloud (Windows Update for Business, Autopatch). Imposez un délai maximum de 48h pour l'application des patches critiques et surveillez la conformité via votre MDM.
Protéger les données
9. Classifier et contrôler l'accès aux données
Toutes les données n'ont pas le même niveau de sensibilité. Classifiez vos données (public, interne, confidentiel, secret) et appliquez des contrôles d'accès proportionnés. Les données les plus sensibles (RH, finance, R&D, données clients) ne devraient être accessibles qu'à travers des environnements sécurisés (bureau virtuel, application web avec DLP) et jamais stockées en local sur les postes de travail.
10. Sauvegarder les données des postes distants
Les télétravailleurs produisent des données localement qui ne sont pas toujours synchronisées avec les serveurs de l'entreprise. Déployez une solution de sauvegarde cloud des postes (OneDrive, Google Drive professionnel avec politiques de rétention, ou solution dédiée comme Veeam Backup for Office 365). Testez régulièrement la restauration et sensibilisez les collaborateurs à ne pas stocker de données uniquement en local.
Sensibiliser et accompagner
11. Former spécifiquement au télétravail
Les formations de sensibilisation classiques ne couvrent pas les risques spécifiques du travail à distance : réseaux Wi-Fi publics, partage de l'espace de travail avec la famille, conversations professionnelles dans les transports, appels Teams dans des lieux publics. Créez un module de formation dédié avec des mises en situation concrètes. Complétez par des exercices de phishing simulé ciblant les scénarios de télétravail (faux email IT demandant de mettre à jour le VPN, faux message Teams du manager).
12. Définir une charte de télétravail sécurisé
Formalisez les règles dans une charte signée par chaque collaborateur en télétravail : interdiction de travailler sur un réseau Wi-Fi public sans VPN, verrouillage systématique du poste en cas d'absence, interdiction du stockage local de données sensibles, obligation de signaler immédiatement tout incident suspect, règles de visioconférence (floutage de l'arrière-plan pour les réunions confidentielles, utilisation du casque). Cette charte doit être pragmatique et applicable, pas un document juridique illisible.
Checklist de sécurité télétravail
VPN d'entreprise déployé et obligatoire
MFA activée sur tous les services
Chiffrement des disques (BitLocker/FileVault)
EDR installé sur tous les postes
MDM pour la gestion à distance
Mises à jour automatisées
Gestionnaire de mots de passe
Sauvegarde cloud des postes
Classification des données
Formation spécifique télétravail
Charte de télétravail signée
Procédure de signalement d'incident