Le télétravail crée une surface d'attaque que beaucoup d'entreprises ont étendue sans la sécuriser. Un collaborateur qui se connecte depuis son WiFi personnel, sur un poste non géré, sans VPN, est une porte ouverte sur votre système d'information. Voici comment mettre en place les bases correctement.
Le VPN : non optionnel
Un VPN chiffre les communications entre le poste du collaborateur et les ressources de l'entreprise. C'est indispensable dès que vous avez des applications internes, un serveur de fichiers, ou un ERP accessible depuis l'extérieur. Sans VPN, ces données transitent en clair sur des réseaux que vous ne contrôlez pas.
Pour les PME, des solutions comme Wireguard, Tailscale, ou le VPN intégré à votre firewall (Fortinet, WatchGuard) sont faciles à déployer. L'important : que tous les collaborateurs l'utilisent systématiquement, pas seulement quand ils "pensent à des données sensibles".
Les postes : gérés ou non gérés
Un poste "géré" par votre équipe informatique (MDM, Intune, antivirus managé, mises à jour contrôlées) est infiniment plus sûr qu'un poste personnel que le collaborateur utilise aussi pour ses jeux en ligne. Si vous avez des contraintes budgétaires, priorisez : PC personnels pour le personnel administratif non critique, postes gérés pour les accès aux données sensibles.
Avec Microsoft Intune (inclus dans Business Premium), vous pouvez gérer les postes Windows et Mac à distance, appliquer des politiques de sécurité, et effacer les données de l'entreprise en cas de perte ou de départ.
L'authentification multi-facteurs (MFA)
Activer le MFA sur tous les comptes cloud (Microsoft 365, Google Workspace, outils métier) est la mesure de sécurité avec le meilleur ratio effort/protection. Si un mot de passe fuite, le MFA empêche l'attaquant de se connecter. C'est une heure de configuration pour des mois ou des années de protection.
Utilisez une application d'authentification (Microsoft Authenticator, Google Authenticator) plutôt que des SMS, qui sont plus facilement interceptables.
Les réseaux WiFi à domicile
Le WiFi personnel est souvent mal configuré : mot de passe faible, firmware routeur non mis à jour, réseau invité non séparé. Sans demander à chaque collaborateur de sécuriser son réseau domestique (réaliste pour certains, pas pour tous), vous pouvez compenser par le VPN obligatoire et la gestion des postes.
Pour les collaborateurs ayant accès à des données critiques, une clé 4G/5G d'entreprise élimine complètement la dépendance au réseau domestique.
La gestion des accès à distance
Définissez clairement quelles applications sont accessibles depuis l'extérieur et lesquelles ne le sont pas. Les accès RDP directs sur internet (Bureau à distance Windows) sont une des principales portes d'entrée des ransomwares — ils doivent impérativement passer par un VPN ou être désactivés. Les accès aux outils cloud (Teams, SharePoint) sont faits pour être accessibles de partout, à condition d'activer le MFA.
La procédure en cas de perte ou de vol
Que fait un collaborateur s'il perd son ordinateur en déplacement ? S'il n'y a pas de procédure claire, il vous appellera 48h après. Définissez :
- Qui prévenir immédiatement (informatique, RH, direction selon le niveau d'accès)
- Comment effacer à distance les données (Intune, Find My Mac)
- Comment révoquer les accès cloud rapidement
Le télétravail sécurisé ne demande pas des investissements massifs. VPN, MFA, postes gérés : c'est 90 % de la valeur pour un coût raisonnable. Chez M:armites, c'est souvent la première chose que nous mettons en place lors d'un accompagnement.