Télétravail sécurisé : le guide IT pour les PME
VPN, MFA, postes managés : comment sécuriser le télétravail dans votre PME sans sacrifier la productivité. Guide pratique par ECLAUD IT.
Pourquoi le vrai enjeu du télétravail est technique, pas organisationnel ?
71 % des employeurs n’ont pas modifié leur politique de télétravail depuis 2023 (Owl Labs, 2025). Le sujet n’est plus de décider si on autorise le travail à distance — c’est décidé. La question qui reste entière pour une PME, c’est comment le sécuriser.
Un collaborateur qui travaille depuis son salon avec son Wi-Fi personnel, sans VPN, sur un poste non géré, c’est une porte ouverte sur votre réseau d’entreprise. L’ANSSI l’indique clairement dans ses recommandations sur le télétravail (cyber.gouv.fr) : sans mesures techniques adaptées, les risques liés au travail à distance sont significativement plus élevés que sur site.
Le télétravail augmente-t-il les risques de cyberattaque ?
Oui — et les chiffres le confirment. Selon le rapport IBM Cost of a Data Breach 2024, les violations de données impliquant le télétravail coûtent en moyenne 173 000 € de plus que celles limitées aux réseaux d’entreprise. Pour une PME, c’est souvent insurmontable.
Les vecteurs d’attaque les plus courants en télétravail sont le phishing ciblé (l’employé est seul, moins vigilant, souvent sur un écran personnel), l’utilisation de Wi-Fi publics ou domestiques non sécurisés, et l’accès via des appareils personnels non contrôlés. Un seul collaborateur compromis suffit pour que l’attaquant pivote vers l’ensemble du système d’information de l’entreprise.
Trois exemples concrets observés en PME :
- Un comptable consulte ses mails depuis le Wi-Fi d’un café. Son mot de passe est capturé via un point d’accès Wi-Fi malveillant. Le lendemain, l’attaquant accède au logiciel de comptabilité et modifie les coordonnées bancaires du principal fournisseur.
- Un commercial utilise son PC personnel pour accéder aux fichiers clients via SharePoint. Son PC était infecté par un spyware non détecté. Trois mois de données clients sont exfiltrés.
- Une assistante reçoit un mail d’hameçonnage imitant une notification Teams. Elle saisit ses identifiants sur une fausse page. L’attaquant accède à la messagerie de l’entreprise et envoie des demandes de virement aux clients.
Les 4 piliers du télétravail sécurisé
1. VPN d’entreprise
Le VPN chiffre la connexion entre le poste du collaborateur et votre réseau. Sans VPN, les données transitent en clair sur des réseaux Wi-Fi potentiellement compromis.
Solutions recommandées : Fortinet FortiClient (si pare-feu Fortinet), WireGuard, ou le VPN intégré à Microsoft 365 Business Premium (via Conditional Access).
Pour une PME de moins de 30 personnes, le VPN SSL intégré à un pare-feu Fortinet ou Sophos est souvent suffisant. WireGuard offre une alternative légère et très performante pour les équipes techniques. L’important n’est pas la solution choisie — c’est que tout le monde s’y connecte systématiquement, avant d’accéder à quoi que ce soit lié au travail.
Un détail souvent négligé : le “split tunneling”. Cette configuration permet de faire passer uniquement le trafic professionnel par le VPN, et le reste (streaming, réseaux sociaux) par la connexion locale. Ça améliore les performances et réduit la charge sur le VPN — mais ça demande une configuration soignée pour ne pas créer de failles.
2. Authentification multifacteur (MFA)
Un mot de passe seul ne suffit plus. Le MFA ajoute une deuxième vérification (application mobile, SMS, clé physique) qui bloque 99,9 % des attaques par vol de mot de passe (source : Microsoft, 2024).
Déploiement : activez le MFA sur Microsoft 365, le VPN, et tous les accès applicatifs critiques. Comptez 30 minutes par utilisateur pour la configuration initiale.
Le MFA par SMS est le minimum — mais pas le plus robuste. Un attaquant suffisamment motivé peut détourner un numéro via une attaque SIM Swap. Pour les comptes à accès élevé (dirigeant, comptable, RH), privilégiez une application d’authentification (Microsoft Authenticator, Google Authenticator) ou une clé physique FIDO2 (YubiKey). Ces solutions sont plus résistantes aux attaques sophistiquées et ne coûtent pas plus cher à déployer.
3. Postes managés (pas de BYOD)
Le poste personnel du collaborateur n’est pas sous votre contrôle : antivirus absent ou périmé, logiciels non autorisés, données personnelles mélangées aux données professionnelles.
La règle : fournissez un poste professionnel, managé par Intune ou une solution de MDM. Coût : 600 à 1 200 € par poste (amortissable sur 3-4 ans).
Le BYOD (Bring Your Own Device) est tentant — pas de coût d’équipement, les collaborateurs connaissent leur machine. Mais les risques sont réels et difficiles à mitiger :
Risques BYOD détaillés :
- Absence de chiffrement : un PC personnel n’a généralement pas BitLocker activé. En cas de perte ou de vol, les données professionnelles sont accessibles à quiconque.
- Mélange des données : le collaborateur stocke des fichiers clients dans ses “Documents” personnels. Lors de son départ, récupérer les données professionnelles est très compliqué légalement et techniquement.
- Logiciels non contrôlés : jeux, logiciels crackés, barres d’outils douteuses — tout cela peut introduire des malwares sur un réseau d’entreprise.
- Conformité RGPD : si des données personnelles de clients sont stockées sur un appareil privé, l’entreprise peut être tenue responsable en cas de fuite, même si elle n’a jamais eu accès à cet appareil (CNIL, guide RGPD pour les PME).
Si le BYOD est inévitable (budget serré, saisonniers), mettez a minima en place une solution MAM (Mobile Application Management) qui isole les applications professionnelles dans un conteneur sécurisé — sans toucher aux données personnelles.
4. EDR sur chaque terminal
L’antivirus classique ne suffit plus. Une solution EDR (Endpoint Detection and Response) détecte les comportements suspects en temps réel : un fichier chiffré en masse (ransomware), une connexion vers un serveur inconnu, un programme qui tente d’extraire des données.
Microsoft Defender for Endpoint — inclus dans Business Premium — est aujourd’hui l’une des solutions EDR les plus efficaces du marché pour les PME. Il s’intègre nativement à Microsoft 365, remonte les alertes dans un tableau de bord centralisé, et peut isoler automatiquement un poste compromis du reste du réseau. Sans configuration supplémentaire et sans surcoût par rapport à une licence Business Premium.
Pour les PME avec des exigences plus élevées (secteur médical, juridique, données sensibles), CrowdStrike Falcon ou SentinelOne offrent des capacités de détection avancées — mais à un coût unitaire plus élevé. Ces solutions sont intégrées dans notre offre de maintenance informatique managée.
Microsoft 365 Business Premium est-il suffisant pour sécuriser le télétravail ?
Pour une PME qui part de zéro ou qui modernise son infrastructure télétravail, Business Premium à ~20 €/mois/utilisateur est le point d’entrée le plus cohérent. Voici pourquoi.
La licence inclut — sans supplément — Microsoft Intune pour la gestion des postes et mobiles, Conditional Access pour contrôler qui accède à quoi depuis quel appareil, Microsoft Defender for Endpoint (EDR), la protection anti-phishing avancée (Defender for Office 365 Plan 1), et Azure AD P1 pour les politiques d’accès conditionnel.
Ce qui aurait coûté 5 à 7 solutions distinctes il y a 5 ans est maintenant regroupé dans une seule licence. Pour une PME de 10 à 50 personnes, c’est la stack la plus cohérente — pas la moins chère, mais la plus complète par rapport au prix.
Le Conditional Access mérite une attention particulière. Cette fonctionnalité permet de définir des règles du type : “si un utilisateur tente de se connecter depuis un pays inhabituel, bloquer l’accès et demander une vérification supplémentaire” ou “si le poste n’est pas conforme (pas de BitLocker, pas d’antivirus à jour), refuser l’accès aux données sensibles”. C’est de la sécurité adaptative — et ça ne nécessite aucune infrastructure supplémentaire.
Comment former les collaborateurs à la cybersécurité ?
La technique seule ne suffit pas. Un collaborateur non formé qui clique sur un lien de phishing peut contourner tous les outils en place.
La formation n’a pas besoin d’être complexe. Une session de 2 heures par an, avec des exemples concrets (vraies captures de mails de phishing, simulation d’attaque), produit de meilleurs résultats qu’un e-learning oublié le lendemain. Quelques principes clés à aborder :
- Reconnaître un mail de phishing : vérifier l’adresse de l’expéditeur (pas seulement le nom affiché), les liens avant de cliquer (survoler sans cliquer), les demandes urgentes inhabituelles.
- Ne jamais transmettre ses identifiants, même à un “collègue IT” qui appelle — c’est une technique d’ingénierie sociale classique.
- Signaler immédiatement tout incident suspect, même si on a cliqué par erreur. La honte de signaler coûte bien plus cher que l’incident lui-même.
Des outils comme Microsoft Attack Simulator (inclus dans Business Premium) permettent d’envoyer de faux mails de phishing à vos collaborateurs pour tester leur vigilance — sans risque, avec des rapports sur les personnes qui ont cliqué. C’est un bon point de départ pour identifier les besoins de formation prioritaires.
Supervision à distance du parc
Le monitoring à distance permet de superviser l’état des postes en télétravail comme s’ils étaient au bureau : mises à jour, espace disque, état de la sauvegarde, alertes de sécurité. Sans cette visibilité, vous êtes aveugle sur la moitié de votre parc.
Un RMM (Remote Monitoring and Management) comme NinjaRMM ou N-able permet à votre prestataire IT de voir en temps réel l’état de chaque poste, d’appliquer des mises à jour à distance, de lancer des scripts de remédiation sans déranger l’utilisateur, et d’être alerté avant qu’un disque dur tombe en panne ou qu’une sauvegarde échoue. C’est la différence entre gérer de façon réactive (on appelle quand ça casse) et proactive (on intervient avant que ça casse).
Quel budget prévoir pour sécuriser 15 postes en télétravail ?
| Poste | Coût estimé |
|---|---|
| VPN Fortinet (licence) | ~20 €/mois total |
| MFA Microsoft 365 | Inclus dans Business Premium |
| Postes portables Dell/Lenovo | ~900 €/poste (amortissement 3 ans) |
| Intune (gestion de parc) | Inclus dans Business Premium |
| EDR (Defender for Endpoint) | ~5 €/poste/mois |
| Monitoring ECLAUD IT | Inclus dans le contrat d’infogérance |
Par où commencer ?
Un audit de votre infrastructure identifie les failles actuelles de votre setup télétravail et propose un plan de sécurisation chiffré. Comptez 2 heures pour un état des lieux complet. Plusieurs PME nous font confiance pour sécuriser leurs postes en télétravail, comme en témoignent nos références clients.
Voir aussi : notre checklist d’audit informatique PME, le guide sauvegarde PME, notre guide de migration Microsoft 365 et externaliser la maintenance informatique PME. La sécurité du télétravail est un volet clé de nos contrats d’infogérance.
Questions fréquentes
Le télétravail augmente-t-il les risques de cyberattaque ?
Oui. Les postes hors réseau d’entreprise sont exposés à des environnements non contrôlés : Wi-Fi domestiques ou publics, appareils partagés avec la famille, absence de supervision centralisée. IBM estime que les violations impliquant le télétravail coûtent en moyenne 173 000 € de plus. Sans VPN, MFA et postes managés, chaque session de télétravail est une exposition à risque.
Faut-il un VPN pour le télétravail ?
Oui, dans la majorité des cas. Le VPN chiffre les données en transit et s’assure que le collaborateur accède aux ressources de l’entreprise via un tunnel sécurisé, même depuis un réseau non maîtrisé. La seule exception raisonnable : si tout le SI est hébergé dans Microsoft 365 avec Conditional Access configuré, le VPN peut être remplacé par des politiques d’accès conditionnel strictes — mais cela demande une configuration experte.
Microsoft 365 Business Premium suffit-il pour sécuriser le télétravail ?
Pour la grande majorité des PME de 5 à 50 personnes, oui. Business Premium regroupe dans une seule licence les outils essentiels : Intune (gestion des postes), Conditional Access (contrôle des accès), Defender for Endpoint (EDR), et la protection anti-phishing avancée. L’utilisation réelle de ces fonctionnalités fait la différence — une licence non configurée ne protège pas.
Comment former les collaborateurs à la cybersécurité ?
Une session de 2 heures par an avec des exemples concrets (faux mails de phishing, scénarios réels) est plus efficace qu’un e-learning ignoré. Microsoft Attack Simulator, inclus dans Business Premium, permet d’envoyer de faux mails de phishing pour tester la vigilance des équipes et identifier les personnes à former en priorité. La cybersécurité se cultive — c’est un comportement, pas une case à cocher.