« On a mis en place le télétravail en 48h pendant le COVID. Ça marche très bien.«
Cette phrase, on l’entend encore dans 8 PME sur 10. Et c’est exactement le problème de sécurité.
Ce VPN gratuit configuré à la va-vite ? Cette connexion depuis la box Orange du salon ? Ces mots de passe notés sur un Post-it ? Vous venez d’ouvrir un supermarché gratuit pour hackers.
36 % des Français pratiquent encore le travail à distance, mais 68 % des violations de données en 2024 sont dues à des erreurs humaines, souvent exacerbées par le travail à distance.
Votre travail à distance « qui marche très bien » est probablement un château de cartes. On fait le point dans cet article.
Télétravail et cybersécurité: les menaces invisibles pour votre PME
Données sensibles à distance: les risques cachés
Votre commercial négocie un gros contrat depuis un café à Roissy, connecté sur le Wi-Fi « AIRPORT_FREE ». Il consulte vos tarifs confidentiels, télécharge le fichier client, rédige sa proposition commerciale.
Résultat : vos données les plus sensibles transitent par un réseau public, accessible à n’importe qui avec un laptop et les bons outils.
Protection des données hors site : l’effet ricochet
Le vrai piège du travail à distance? Une seule machine compromise peut infecter tout votre réseau. L’attaquant ne s’arrête pas au PC de salon de votre collaborateur. Il rebondit, explore, exfiltre. Ça peut prendre des mois avant que vous vous en rendiez compte.
L’ANSSI a traité 4 386 événements en 2024, soit +15 % versus 2023. Les experts estiment que plus de 40 % des cas démarrent par un poste itinérant mal protégé.
Au bureau, vous savez qui fait quoi, quand, comment. En mode nomade, cette visibilité disparaît. Vous pilotez à l’aveugle votre protection des données.
RGPD et nomadisme : obligations légales de protection des données pour les PME
Télétravail et responsabilité de l’employeur en protection des données
« Mais enfin, si mon comptable se fait pirater chez lui, c’est sa faute, non ? »
Que vos données soient piratées au bureau ou dans le salon de votre commercial, c’est votre responsabilité. Cette responsabilité vous suit partout où vos collaborateurs emmènent leurs ordinateurs en dehors du SI.
Recommandations CNIL pour le nomadisme numérique
Les exigences de la CNIL ne sont pas des suggestions : tunnel chiffré obligatoire, double authentification, supervision renforcée. Pas de tunnel ? Pas de MFA ? Vous êtes en infraction.
Une agence immobilière vient d’écoper de 40 000 € d’amende pour surveillance excessive de ses employés nomades L’inverse — sous-protection — expose aux mêmes risques financiers.
Free et son talon d’Achille
Octobre 2024. Free subit une cyberattaque majeure. Première réaction ? Suspendre immédiatement l’accès aux données pour tous les employés en télétravail. Même Free, géant des télécoms avec des moyens colossaux, considère le télétravail comme son maillon faible en cas de crise. Si une entreprise technologique de cette envergure doit couper ses accès distants en urgence, que dire d’une PME de 30 personnes avec son VPN bricolé et ses mots de passe sur Excel ?
Les 7 mesures de protection essentielles pour le télétravail en PME
Pour éviter l’immobilisation de votre activité en cas d’attaque et répondre aux obligations réglementaires, certaines mesures ne relèvent plus du bonus mais du minimum syndical. Surtout avec le télétravail, qui élargit considérablement la surface d’exposition. Voici les 7 protections essentielles à mettre en place dans toute PME qui autorise le travail à distance.
1. Authentification multifacteur (MFA)
Les identifiants volés représentent 16 % des attaques en 2024, et ces attaques prennent 292 jours à être détectées. 292 jours pendant lesquels l’attaquant se balade dans votre SI en mode incognito.
Mettre en place une authentification multifacteur pour le télétravail ne prend qu’une trentaine de minutes. L’utiliser ajoute quelques secondes à chaque connexion. En face, une compromission peut paralyser l’activité pendant plusieurs mois.
Microsoft Authenticator (inclus avec Office 365), Google Authenticator, ou une clé physique comme YubiKey : les solutions fiables ne manquent pas pour renforcer la sécurité des accès à distance.
2. Tunnel chiffré professionnel
« On a installé NordVPN sur tous les postes, c’est bon ? »
Non. Un tunnel grand public protège votre Netflix, pas vos données d’entreprise en télétravail. Installer un VPN grand public sur les postes peut sembler rassurant. En réalité, ce type d’outil protège la navigation personnelle, pas les données sensibles de l’entreprise. Il ne propose ni gestion centralisée, ni journalisation des accès, ni support adapté aux besoins des PME.
Pour sécuriser efficacement les connexions en télétravail, mieux vaut opter pour une solution professionnelle : chiffrement robuste (AES-256), coupure automatique en cas de rupture de connexion (kill switch), gestion des flux (split tunneling), supervision des usages. Des outils comme FortiClient, SonicWall ou NordLayer Business permettent de répondre à ces exigences sans complexité excessive.
3. EDR sur tous les postes — Une sécurisation avancée pour plus de sérénité
Un antivirus reconnaît ce qu’il a déjà vu. Les attaques modernes, elles, s’appuient sur des scripts discrets ou des outils système détournés. Résultat : sur un poste en télétravail, l’antivirus passe à côté.
Un EDR surveille le comportement du terminal en continu : processus anormaux, connexions suspectes, modifications système non autorisées. Et surtout, il agit sans attendre — isolement du poste, interruption de l’action malveillante, alerte en temps réel. Une brique de sécurité devenue incontournable avec la généralisation du travail à distance.
4. Gestion des droits d’accès pour les employés en télétravail
Un compte compromis offre à l’attaquant une copie exacte des accès de son propriétaire. Si ce compte a des droits étendus, l’impact peut vite devenir critique.
Limiter les accès à ce qui est strictement nécessaire pour le poste de chacun réduit considérablement les risques. Cette logique s’appuie sur quelques principes simples : séparation des privilèges, revue régulière des droits, session fermée après inactivité. Une politique de bon sens, trop souvent négligée, alors qu’elle évite bien des incidents.
5. Sauvegardes protégées
Stratégie 3-2-1 :
- 3 copies de vos données importantes
- 2 supports différents (local + cloud)
- 1 copie hors ligne/hors site
60 % des PME qui perdent leurs données suite à une cyberattaque font faillite dans les 6 mois. Vos sauvegardes valent plus que votre assurance RC.
6. Formation cyber pour employés
95 % des incidents sont liés à une erreur humaine.
Le maillon faible reste l’utilisateur — surtout lorsqu’il travaille en dehors du cadre sécurisé de l’entreprise.
Pour réduire ce risque, la formation doit devenir un réflexe : sessions régulières, tests de phishing inopinés, charte claire dédiée au télétravail. Objectif : apprendre à repérer les tentatives d’hameçonnage, à sécuriser son environnement domestique, à gérer correctement ses mots de passe.
Et surtout, instaurer une culture simple : signaler un doute est un réflexe responsable. Le cacher est une faute.
7. Supervision centralisée des accès
Le télétravail disperse les points d’accès et brouille la visibilité du système d’information. Ce que l’on surveillait facilement depuis les murs de l’entreprise devient plus difficile à tracer à distance.
Pour garder le contrôle, il faut centraliser la supervision : surveiller les connexions chiffrées, détecter les comportements inhabituels, corréler les logs, visualiser l’ensemble via un tableau de bord clair. L’enjeu : repérer une activité anormale en quelques heures, pas après plusieurs mois de silence.
Solutions recommandées pour un télétravail sécurisé
Les PME disposent de plusieurs approches pour sécuriser efficacement le travail à distance. Le choix dépend du niveau de maturité technique, du volume d’utilisateurs et des exigences de sécurité.
- Suite unifiée avec sécurité intégrée
Des solutions comme Microsoft 365 Business Premium regroupent plusieurs briques essentielles : authentification multifacteur, protection avancée des terminaux (avec un EDR inclus), gestion des identités et des droits, sauvegardes cloud avec restauration des fichiers. Cette approche convient aux PME qui souhaitent une mise en œuvre simple, centralisée, sans multiplier les prestataires. - Combinaison de solutions spécialisées
Certaines entreprises préfèrent une architecture modulaire avec des outils distincts pour chaque besoin. Un EDR comme CrowdStrike pour sécuriser les terminaux, un pare-feu nouvelle génération comme FortiGate pour gérer les connexions à distance via VPN, ou une solution IAM comme Okta pour contrôler précisément les accès. Cette approche exige plus de ressources internes, mais permet une personnalisation fine. - Supervision externalisée via un SOC
Pour les structures sans équipe IT, des prestataires comme Orange Cyberdefense, Atos (via ses services de sécurité managés) ou Sekoia.io proposent une supervision continue des accès distants. Cela inclut la corrélation des journaux d’activité, la détection des comportements suspects et la réponse en cas d’incident. Une solution adaptée aux PME qui cherchent à renforcer leur cybersécurité sans internaliser les compétences avec un coût important.
À retenir : sécuriser le télétravail ne repose pas sur une technologie unique, mais sur une combinaison cohérente d’initiatives. Mieux vaut anticiper que subir : une attaque évitée suffit à rentabiliser l’investissement.
Coûts cachés du travail à distance non sécurisé en PME
18 645€ en moyenne pour les TPE/PME, selon l’assureur Hiscox. C’est le coût moyen d’une cyberattaque pour une TPE/PME. Mais dans les faits, un poste distant compromis entraîne souvent bien plus.
Investigation technique par un expert externe (10 000 €), remise en état des systèmes (20 000 €), arrêt d’activité pendant trois semaines (selon le CA du client mais en plusieurs dizaines de milliers €), communication de crise (3 000 €), mise en conformité RGPD (2 000 €), sans oublier une amende potentielle pouvant grimper jusqu’à 200 000 €. Soit environ 35 000 € (sans compter la perte du CA et sans amende) pour un incident à distance de gravité moyenne — sans même compter la perte de confiance des clients, les répercussions internes ou le stress sur les dirigeants.
Et c’est là le paradoxe : investir quelques milliers d’euros par an dans la sécurité du télétravail peut sembler excessif. Pourtant, ce montant devient dérisoire face aux conséquences d’un seul incident majeur.
Une attaque issue d’un poste distant ne s’arrête pas à l’ordinateur ciblé. Elle se propage. Vos clients sont sollicités par les pirates. Vos partenaires découvrent leurs données exposées. Vos fournisseurs commencent à douter. Vos prospects fuient. Résultat : une forme d’isolement commercial durable. Et un impact réputationnel souvent bien supérieur aux pertes directes.
Votre travail à distance est-il vraiment sécurisé ?
L’Audit SI Flash d’ASAP révèle les failles que personne ne voit — dans la sécurité à distance comme dans le reste de votre système d’information.
En 8 jours (durée moyenne), vous obtenez un état des lieux clair, sans zones d’ombre, et un plan d’action priorisé pour renforcer l’ensemble de votre SI.
Un audit rapide, mais sans concession, pour reprendre la main avant qu’un incident ne le fasse à votre place.
FAQ – Sécurité informatique et travail à distance pour les PME
Qu’est-ce qui change entre le bureau et le télétravail en matière de cybersécurité ?
Au bureau, le système d’information est centralisé, maîtrisé, surveillé. En télétravail, les connexions passent par des réseaux tiers, parfois publics, et les postes sont moins encadrés. Résultat : une perte de visibilité pour l’entreprise, des failles plus nombreuses, et une surface d’attaque élargie. Le contexte change, les exigences aussi.
Un VPN gratuit peut-il sécuriser le travail à distance en PME ?
Non. Un VPN grand public n’a pas les garanties nécessaires pour un usage professionnel : pas de gestion des accès, pas de journalisation, pas de supervision, et un chiffrement parfois insuffisant. Il ne répond pas aux recommandations de la CNIL ni aux besoins réels d’une entreprise. S’appuyer dessus revient à s’exposer inutilement.
Quel est le coût d’une cybersécurité efficace pour le télétravail en PME ?
Pour une vingtaine d’utilisateurs, une stratégie de cybersécurité sérieuse (MFA, EDR, VPN pro, supervision, sauvegardes) représente un budget annuel de quelques milliers d’euros. À comparer aux 18 645 € de pertes moyennes constatées par les TPE/PME après une cyberattaque (source : Hiscox). Le retour sur investissement est évident dès le premier incident évité.
Comment vérifier que les employés en télétravail respectent les règles de sécurité ?
Surveillez les connexions distantes, les accès aux ressources sensibles et les comportements suspects. Lancez régulièrement des tests de phishing, mettez à jour les politiques de sécurité et auditez les pratiques. Mais surtout, créez une culture de sécurité : remonter un doute ne doit jamais être perçu comme un problème, mais comme un réflexe attendu.
Est-il nécessaire de fournir un matériel dédié au télétravail ou les salariés peuvent-ils utiliser leur propre équipement ?
L’usage d’un matériel personnel (BYOD) augmente considérablement les risques : absence de contrôle, logiciels non à jour, absence d’EDR ou de chiffrement. Fournir un matériel professionnel, configuré, supervisé et régulièrement mis à jour reste la meilleure solution pour garantir un minimum de sécurité. Cela permet aussi de respecter les obligations légales liées à la protection des données.
Faut-il installer un EDR sur les postes en télétravail ?
Oui. L’antivirus classique ne suffit plus. Un EDR (Endpoint Detection and Response) analyse en temps réel le comportement du poste : processus suspects, connexions anormales, modifications système. Il peut isoler un terminal compromis, alerter les équipes IT et bloquer une attaque en cours. En télétravail, l’EDR devient un maillon indispensable de la chaîne de sécurité.
Quels outils sont recommandés pour optimiser le télétravail en PME ?
Il faut combiner plusieurs briques :
– une authentification multifacteur (MFA),
– un tunnel VPN professionnel pour chiffrer les connexions,
– un EDR sur chaque poste pour détecter les menaces,
– une gestion centralisée des droits d’accès,
– des sauvegardes locales et distantes (stratégie 3-2-1),
– et une supervision des accès distants pour garder la visibilité.
Certaines solutions intègrent plusieurs de ces éléments, d’autres nécessitent un assemblage sur mesure selon les besoins de l’entreprise.
Que faire si un poste distant est compromis ?
Isoler immédiatement le poste du réseau, réinitialiser tous les accès associés, informer l’équipe IT ou le prestataire de sécurité, documenter les actions menées. Si des données personnelles sont concernées, la CNIL doit être notifiée dans les 72 h. Plus la réaction est rapide, plus les dégâts sont limités.
Une assurance cyber couvre-t-elle les incidents liés au télétravail ?
Oui, à condition que l’entreprise respecte un socle minimum de bonnes pratiques : MFA, tunnel chiffré, sauvegardes, supervision. Certaines polices excluent les cas de négligence manifeste. Un bon niveau de cybersécurité ne protège pas seulement des attaques, il protège aussi vos droits en cas de litige avec l’assureur.
