Sécuriser le télétravail : VPN, équipements et bonnes pratiques

Le problème fondamental du télétravail sécurisé

Un employé en télétravail se connecte aux ressources d'entreprise depuis un réseau qu'il ne contrôle pas — sa connexion domestique, partagée avec d'autres membres du foyer et leurs équipements personnels, gérée par un opérateur qui n'est pas celui de l'entreprise. Les équipements utilisés peuvent être personnels, partagés avec la famille, ou professionnels mais rarement mis à jour avec la même rigueur qu'un poste en entreprise.

Cette réalité crée une surface d'exposition que les outils de sécurité traditionnels — pare-feu périmétrique, antivirus sur les postes de bureau — ne couvrent pas. La réponse structurée combine plusieurs couches : chiffrement du transit réseau, authentification renforcée, contrôle de l'état des équipements, et segmentation des accès par nécessité.

Le VPN comme première couche indispensable

Le VPN est la première couche à déployer pour les équipes en télétravail. Il chiffre le trafic entre l'équipement de l'employé et l'infrastructure de l'entreprise, rendant la connexion domestique et le réseau de transit opaques pour les observateurs extérieurs. Sans VPN, un commercial qui accède au CRM depuis son domicile transmet ses credentials et les données clients en clair sur un réseau qu'il ne contrôle pas.

Pour sécuriser les connexions de ses équipes en télétravail, le choix du service VPN dépend de la taille de l'organisation, des outils existants, et du niveau de contrôle souhaité sur les équipements. Les solutions orientées PME (NordLayer, Proton for Business, Perimeter81) offrent un bon équilibre entre fonctionnalités enterprise et facilité de déploiement.

Les équipements — le maillon souvent négligé

Un VPN actif sur un équipement compromis ne protège pas les données qui transitent par ce tunnel. Un keylogger sur le poste de l'employé capture les credentials avant qu'ils entrent dans le tunnel chiffré. Un malware exfiltre les données d'entreprise via le tunnel VPN — qui chiffre le trafic sortant quelle qu'en soit la nature. La sécurité de l'équipement terminal est une condition préalable à l'efficacité du VPN.

Équipements professionnels dédiés

La pratique la plus sûre est de fournir aux télétravailleurs des équipements professionnels dédiés, gérés par l'entreprise via une solution MDM (Mobile Device Management). Ces équipements ont une politique de sécurité définie : chiffrement du disque obligatoire (BitLocker sur Windows, FileVault sur macOS), mises à jour automatiques, antivirus déployé centralement, et impossibilité d'installer des logiciels non approuvés. L'accès aux ressources d'entreprise est conditionné à la conformité de l'équipement.

BYOD — gérer le risque sans l'ignorer

Quand le BYOD est inévitable, la politique doit être explicite sur ce qui est attendu de l'équipement personnel. A minima : chiffrement du disque activé, OS à jour, antivirus installé, et séparation des profils (profil professionnel / profil personnel sur Android, ou conteneur d'entreprise via MDM). Certaines solutions MDM permettent de gérer uniquement les applications professionnelles sur un équipement personnel sans accéder aux données personnelles — un compromis acceptable entre sécurité et vie privée des employés.

La connexion domestique — auditer sans envahir

La connexion internet domestique de l'employé n'est pas sous le contrôle de l'entreprise — et ne devrait pas l'être. Ce que l'organisation peut et doit faire : s'assurer que le VPN est actif et fonctionnel avant tout accès aux ressources internes, vérifier que les requêtes DNS transitent par le tunnel et non par le résolveur de l'opérateur domestique, et sensibiliser les employés aux risques spécifiques du Wi-Fi domestique (réseau Wi-Fi avec mot de passe faible, équipements IoT non patchés sur le même réseau).

Le split tunneling — configuration VPN qui ne route que le trafic d'entreprise dans le tunnel, laissant le trafic personnel passer directement — est tentant pour les performances mais risqué si la frontière entre trafic professionnel et personnel n'est pas clairement définie. Un navigateur qui accède simultanément au CRM via le tunnel VPN et à des sites tiers sans tunnel expose le profil de navigation de l'employé aux sites tiers.

Politique de télétravail sécurisé — les points essentiels

Une politique de télétravail sécurisé efficace couvre quatre domaines. Le premier est l'équipement : quels équipements sont autorisés, quelles configurations sont obligatoires, qui prend en charge la maintenance. Le second est l'accès réseau : VPN obligatoire pour l'accès aux ressources internes, MFA sur tous les accès, liste des ressources accessibles selon le rôle. Le troisième est la gestion des incidents : que fait l'employé si son équipement est perdu ou volé, si ses credentials sont compromis, si son domicile est victime d'une intrusion. Le quatrième est la formation : les employés comprennent-ils pourquoi ces mesures existent et comment les appliquer sans friction quotidienne.

Cas d'usage — le commercial en déplacement

Un commercial qui travaille depuis un hôtel illustre les risques cumulés du télétravail mobile. Le Wi-Fi de l'hôtel est partagé entre des dizaines d'inconnus, potentiellement non sécurisé, et administré par une équipe IT dont le niveau de compétence est inconnu. Sans VPN actif, l'accès au CRM depuis ce réseau expose les credentials de l'employé et les données clients aux équipements sur le même réseau. Avec VPN et kill switch actif, la connexion est chiffrée end-to-end et coupée automatiquement si le tunnel tombe — évitant toute exposition transitoire lors des reconnexions.

C'est précisément l'équivalent du chiffrement radio pour un agent de terrain : peu importe la qualité du réseau physique sous-jacent, les communications restent opaques pour les observateurs extérieurs. Le guide complet des accès distants sécurisés détaille les configurations pour chaque profil d'utilisateur.