Saepiens : hébergeur de données de santé HDS
  • 12/04/2026

La cybersécurité dans le télétravail : bonnes pratiques pour limiter les risques

  • Par Maéva MARMIN
  • 10 min
  • SÉCURITÉ & CYBERSÉCURITÉ
télétravail
Cybersécurité en télétravail : bonnes pratiques pour limiter les risques

En déplaçant les collaborateurs hors du périmètre sécurisé du bureau, le télétravail a démultiplié les points d'entrée pour les cyberattaquants. Réseaux domestiques mal configurés, appareils personnels, phishing ciblé : les risques sont réels et souvent sous-estimés. Ce guide fait le point sur les vecteurs d'attaque les plus courants et les mesures concrètes à mettre en place.

Lexique
VPN (Virtual Private Network) : Tunnel chiffré entre votre poste et les serveurs de l'entreprise. Il rend illisibles les données qui transitent, même sur un réseau Wi-Fi non sécurisé.
MFA / 2FA : Authentification multifacteurs. Double vérification (code reçu par SMS, application ou clé physique) qui protège l'accès même si le mot de passe est compromis.
Phishing : Technique d'hameçonnage consistant à usurper l'identité d'un expéditeur de confiance (RH, IT, direction) pour pousser la victime à cliquer sur un lien piégé ou à transmettre des informations sensibles.
BYOD (Bring Your Own Device) : Politique autorisant les collaborateurs à utiliser leurs appareils personnels à des fins professionnelles. Sans encadrement strict, cette pratique expose les données de l'entreprise.
Shadow IT : Ensemble des outils et services informatiques utilisés par les collaborateurs sans validation de la direction IT souvent pour des raisons de praticité (WeTransfer, Google Drive personnel, etc.).

Ce que disent les chiffres

85 % des violations de données impliquent un facteur humain clic sur un lien piégé, mauvaise configuration, partage involontaire. Verizon, Data Breach Investigations Report 2024
plus de tentatives de phishing ciblent les télétravailleurs depuis 2020. L'isolement favorise la prise de décision précipitée. ANSSI, Panorama de la cybermenace 2023
4,88 M$ est le coût moyen d'une violation de données en 2024, toutes causes confondues. IBM, Cost of a Data Breach Report 2024

Ces chiffres confirment une réalité que les équipes IT connaissent bien : le maillon faible n'est pas le pare-feu, mais le comportement humain dans un environnement non maîtrisé.

Les principaux vecteurs d'attaque

En télétravail, les attaques exploitent des failles qui n'existent pas ou sont mieux contrôlées dans les locaux d'entreprise.

01

Wi-Fi domestique non sécurisé

Un routeur avec son mot de passe d'usine ou un firmware jamais mis à jour peut permettre à un attaquant en réseau local d'intercepter des communications professionnelles.

Critique
02

Phishing et hameçonnage ciblé

Isolé de ses collègues, le télétravailleur est plus susceptible de tomber dans le piège d'un faux e-mail urgent fausse alerte IT, virement frauduleux demandé par la direction, notification de livraison piégée.

Critique
03

Appareils personnels (BYOD)

Utiliser son ordinateur ou son smartphone personnel pour accéder aux ressources de l'entreprise crée un mélange de contextes problématique : données sensibles sur un appareil sans politique de sécurité.

Modéré
04

Shadow IT — outils non approuvés

Pour gagner du temps, certains collaborateurs utilisent des services cloud non validés par l'IT, exposant des données professionnelles hors de tout contrôle de l'entreprise.

Modéré
05

Écrans visibles et écoutes fortuites

Un écran visible dans un café, une réunion confidentielle dans un espace partagé : la confidentialité physique, évidente au bureau, est plus difficile à garantir à distance.

Modéré

Les bonnes pratiques à adopter

Les mesures recommandées par l'ANSSI pour le travail à distance couvrent à la fois les postes, les réseaux et les comportements.

Activer le VPN d'entreprise

Il chiffre les échanges entre le poste distant et les serveurs internes. C'est le socle minimum pour travailler à distance sans exposer les données professionnelles.

Sécuriser sa box Wi-Fi

Changez le mot de passe d'administration d'usine, activez le chiffrement WPA3 et vérifiez que le firmware de votre routeur est à jour.

Activer le MFA sur tous les outils

Messagerie, visioconférence, CRM : la double authentification bloque l'accès même si les identifiants sont compromis, dans la quasi-totalité des cas.

Séparer appareils pro et perso

Évitez d'utiliser votre ordinateur professionnel pour des achats en ligne et n'accédez pas aux ressources de l'entreprise depuis un appareil familial non géré.

Verrouiller l'écran à chaque absence

Win + L ou Cmd + Ctrl + Q : un réflexe d'une seconde qui empêche tout accès à vos données par un tiers enfant, voisin de café, visiteur.

Vérifier avant de cliquer

Un message urgent, une pièce jointe inattendue, un lien non sollicité : en cas de doute, contactez l'expéditeur présumé par un autre canal avant toute action.

À faire / À éviter

À faire
Utiliser le VPN dès la connexion à un réseau non maîtrisé
Mettre à jour ses appareils et applications régulièrement
Signaler tout incident ou doute à l'équipe IT sans attendre
Utiliser uniquement les outils approuvés par l'entreprise
Fermer les sessions et éteindre l'ordinateur en fin de journée
À éviter
Se connecter aux ressources pro via un Wi-Fi public sans VPN
Envoyer des fichiers sensibles via WeTransfer, Gmail perso ou WhatsApp
Laisser ses enfants utiliser le poste de travail professionnel
Cliquer sur un lien avant d'avoir vérifié l'expéditeur
Garder une session ouverte sans surveillance dans un lieu public

FAQ

Le Wi-Fi de mon domicile est-il vraiment un risque ?
Oui, s'il n'est pas correctement configuré. Un routeur avec ses paramètres d'usine (mot de passe "admin", firmware jamais mis à jour) est une cible facile. Prendre 10 minutes pour sécuriser sa box élimine une large partie du risque domestique. En complément, le VPN chiffre les échanges même si le réseau local est compromis.
Que faire si je reçois un e-mail suspect ?
Ne cliquez sur rien et signalez-le immédiatement à votre équipe IT. En télétravail, le réflexe naturel de "vérifier avec un collègue" est plus difficile à avoir c'est précisément ce que les attaquants exploitent. Si un message vous semble urgent ou inhabituel, contactez l'expéditeur par téléphone ou via la messagerie interne avant tout clic.
Puis-je utiliser mon ordinateur personnel pour travailler ?
C'est fortement déconseillé, sauf encadrement explicite par une politique BYOD. Un appareil personnel ne bénéficie généralement d'aucun antivirus d'entreprise, d'aucune gestion centralisée des mises à jour et d'aucun cloisonnement des données. En cas d'incident, l'entreprise n'a aucun moyen d'intervenir sur votre machine.
Comment travailler en sécurité depuis un café ou un coworking ?
Trois règles : VPN activé, écran protégé, session verrouillée dès que vous vous levez. Un filtre de confidentialité (film appliqué sur l'écran) est très efficace pour prévenir le "shoulder surfing" la lecture discrète de votre écran par une personne à proximité. Évitez également d'aborder des sujets sensibles lors d'appels dans des espaces ouverts.

L'essentiel : VPN, MFA, Wi-Fi sécurisé, séparation des usages et vigilance face au phishing cinq réflexes qui couvrent l'essentiel des risques liés au télétravail. Sæpiens vous accompagne dans la mise en place de politiques de sécurité adaptées à vos équipes distribuées.

Sources : ANSSI (Guide sur le télétravail sécurisé, Panorama de la cybermenace 2023) · Verizon Data Breach Investigations Report 2024 · IBM Cost of a Data Breach Report 2024.

Sécurisez le télétravail
de vos équipes.

VPN, MFA, politique BYOD, sensibilisation au phishing : mettre en place les bons outils ne suffit pas sans un cadre clair et des collaborateurs formés. Sæpiens vous accompagne dans l'audit de vos pratiques de travail à distance et le déploiement de solutions adaptées à votre organisation.

Vous souhaitez évaluer le niveau de sécurité de vos accès distants ?

AUDITER VOS PRATIQUES
Partager LinkedIn
Saepiens : hébergeur de données de santé HDS

Saepiens.
3 Chemin de l’Industrie,
69570 Dardilly
04 37 50 36 10

Politique de Confidentialité