Un responsable informatique d’une ETI de 200 personnes. La moitié de ses équipes télétravaillent deux à trois jours par semaine. Un vendredi à 17h, un attaché commercial reçoit un email qui ressemble à une notification Slack : « Votre session a expiré, reconnectez-vous. » Il clique, saisit ses identifiants. Le lundi matin, la comptabilité découvre qu’un virement de 47 000 euros a été validé par email depuis le compte du commercial pendant le week-end.

La réponse la plus fréquente à cet incident : « Il aurait dû faire attention. » Ce n’est pas une analyse, c’est une démission. Le collaborateur était seul, à son domicile, en fin de journée, sur un réseau que personne n’avait sécurisé, sans processus de signalement connu, sans formation sur les faux portails de connexion.

Ce guide couvre les mesures techniques et organisationnelles qui auraient évité cet incident — et les dizaines de variantes que vos télétravailleurs rencontreront cette année.

Pourquoi le télétravail amplifie le risque de phishing

Le bureau procure une friction naturelle face aux cyberattaques. Pas par magie : parce que le réseau est filtré, les appareils sont gérés centralement, et un collègue est à portée de voix pour confirmer qu’un email est louche. À domicile, ces trois protections disparaissent simultanément.

Au bureau, un doute se règle en dix secondes : « Tu as reçu ça, toi ? » Le télétravailleur n’a pas cette option. Il doit décider seul, en temps réel, si l’email qu’il reçoit est légitime. Les attaquants le savent et adaptent leurs tactiques en conséquence — faux urgences, faux expéditeurs internes, demandes de transfert de fichiers ou de validation de virements qui semblent plausibles précisément parce qu’elles imitent les workflows habituels.

Le réseau domestique échappe à votre contrôle

Votre réseau d’entreprise est filtré, segmenté, surveillé. Le réseau domestique de votre collaborateur, non. Un routeur livré par son opérateur en 2018, jamais mis à jour, avec le mot de passe par défaut toujours actif. Des appareils IoT connectés sur le même segment réseau que son ordinateur professionnel. Des membres de la famille qui partagent la connexion. Ces éléments créent des vecteurs d’attaque que vous ne maîtrisez pas et ne pouvez pas surveiller directement.

La frontière pro/perso se brouille

En télétravail, le collaborateur utilise parfois son imprimante personnelle pour un document confidentiel, consulte ses emails professionnels sur son téléphone personnel en attendant un appel, ou se connecte depuis son ordinateur de bureau qui n’est pas géré par votre DSI. Ce mélange des usages multiplie les points d’entrée pour un attaquant.

Le shadow IT prolifère à distance

Sans surveillance directe et avec des besoins de collaboration urgents, les télétravailleurs adoptent des outils non approuvés : outils de transfert de fichiers gratuits, applications de messagerie personnelles pour partager des documents, services de visioconférence non référencés. Chaque outil hors périmètre est un angle mort pour votre politique de sécurité et un potentiel vecteur de phishing.

Sécuriser les accès distants : VPN, Zero Trust, accès conditionnel

La première ligne de défense pour le télétravail est de contrôler qui peut accéder à quoi, depuis où, et dans quelles conditions.

Le VPN d’entreprise : fondation incontournable

Un VPN d’entreprise bien configuré chiffre le trafic entre le poste du télétravailleur et votre infrastructure, et empêche un attaquant positionné sur le réseau intermédiaire (Wi-Fi domestique compromis, réseau public) d’intercepter des données ou des identifiants.

Points critiques à ne pas négliger :

Split tunneling : désactivez-le ou soyez très explicite sur ce qui passe par le VPN et ce qui ne passe pas. Un split tunneling mal configuré laisse passer du trafic sensible hors du tunnel.
MFA obligatoire sur la connexion VPN : le VPN est un point d’entrée vers votre réseau. Un mot de passe seul ne suffit pas. Coupler la connexion VPN à un MFA (TOTP, push mobile, clé hardware) réduit drastiquement le risque d’accès non autorisé même en cas de compromission des identifiants.
Journalisation des connexions : toutes les connexions VPN doivent être journalisées avec l’heure, l’adresse IP source et l’identité de l’utilisateur. Ces journaux sont indispensables lors d’une investigation post-incident.

Zero Trust : pertinent si votre parc est SaaS

Si vos collaborateurs accèdent principalement à Microsoft 365, Google Workspace, Salesforce ou des applications SaaS, l’architecture Zero Trust est souvent plus adaptée qu’un VPN traditionnel. Le principe : ne jamais faire confiance implicitement à une connexion, vérifier systématiquement l’identité, l’état de l’appareil, la localisation et le comportement avant d’accorder l’accès à une ressource.

Une implémentation Zero Trust repose sur plusieurs composants :

Un fournisseur d’identité centralisé (Azure AD, Okta, Google Identity) avec MFA obligatoire
Des politiques d’accès conditionnel qui évaluent le contexte de chaque connexion
Une gestion de la conformité des appareils (l’accès est refusé depuis un appareil non géré ou non à jour)

L’accès conditionnel : granularité là où elle compte

L’accès conditionnel permet d’ajuster les exigences selon le contexte. Depuis un appareil géré sur votre réseau d’entreprise : accès direct. Depuis un appareil géré en dehors du réseau : MFA requis. Depuis un appareil non géré : accès refusé ou limité à un portail web sans possibilité de téléchargement. Cette granularité réduit la friction pour les usages légitimes tout en maintenant un niveau d’exigence élevé pour les accès risqués.

Protéger la messagerie en télétravail

La messagerie reste le premier vecteur de compromission, et le risque s’accentue en télétravail parce que le collaborateur reçoit et traite ses emails dans un contexte moins vigilant.

MFA sur tous les comptes messagerie, sans exception

La compromission d’un compte messagerie sans MFA prend en moyenne moins de deux heures après la récupération des identifiants par un attaquant. Avec le MFA activé, ce délai devient quasi infini dans la plupart des cas. Sur Microsoft 365 et Google Workspace, l’activation du MFA pour tous les comptes est une mesure de base que vous pouvez déployer aujourd’hui, sans budget supplémentaire.

L’outil de test de sécurité email permet de vérifier l’état de vos configurations en quelques minutes.

Authentification email : SPF, DKIM, DMARC

Vos télétravailleurs doivent pouvoir faire confiance aux emails internes. Sans SPF, DKIM et DMARC correctement configurés, un attaquant peut envoyer un email qui semble provenir de votre PDG, de votre DSI ou de votre DAF — l’adresse affichée est identique. Ce type d’attaque (Business Email Compromise) cible spécifiquement les environnements où les décisions se prennent par email sans validation téléphonique, ce qui décrit précisément le télétravail.

Configurez DMARC en mode reject pour empêcher l’usurpation de votre domaine. Si vous n’avez pas encore fait cette démarche, le guide de déploiement MFA en entreprise couvre les étapes en parallèle avec la sécurisation des comptes.

La procédure de signalement doit fonctionner depuis le domicile

Au bureau, le collaborateur peut frapper à la porte du service informatique. À domicile, il doit avoir un canal clair, simple et accessible : une adresse email dédiée (phishing@votre-domaine.fr), un bouton dans son client mail, ou un canal Slack/Teams dédié. Cette procédure doit lui être connue avant qu’il en ait besoin.

Testez-la. Lors de vos simulations de phishing, mesurez non seulement le taux de clic mais aussi le taux de signalement. Un collaborateur qui signale un email suspect — même s’il l’a cliqué — est un collaborateur dont le réflexe fonctionne partiellement. C’est un résultat positif à renforcer, pas un échec à sanctionner.

Le Wi-Fi domestique et les réseaux publics

Le réseau par lequel transite le trafic de votre collaborateur conditionne le niveau d’exposition de vos données.

Les risques du réseau domestique

Un réseau domestique typique concentre plusieurs vulnérabilités que vous ne pouvez pas corriger directement :

Routeur non mis à jour : les firmwares de routeurs grand public reçoivent rarement des mises à jour automatiques. Un routeur de 2019 peut exposer des failles connues exploitables depuis le réseau local.
Mot de passe Wi-Fi par défaut ou faible : une attaque par force brute sur un mot de passe Wi-Fi de huit caractères courants prend quelques heures.
Appareils IoT non sécurisés : ampoules connectées, thermostats, caméras de surveillance — ces appareils partagent souvent le même réseau que l’ordinateur professionnel et peuvent servir de pivot pour un attaquant ayant accès au réseau local.

Ce que vous pouvez demander à vos télétravailleurs sans être intrusif : changer le mot de passe Wi-Fi par défaut, activer le chiffrement WPA2 ou WPA3, et idéalement créer un réseau invité séparé pour les appareils personnels et IoT.

Les réseaux publics : règle absolue

Wi-Fi d’hôtel, réseau de gare, hotspot de café : ces réseaux ne sont pas sécurisés et peuvent faire l’objet d’attaques man-in-the-middle ou de hotspots malveillants imitant un réseau légitime. La règle est sans exception : aucune connexion aux ressources d’entreprise depuis un réseau public sans VPN actif. Si le VPN n’est pas disponible, le travail attend.

Pour les collaborateurs en déplacement fréquent, proposez une alternative concrète : partage de connexion depuis le smartphone professionnel (4G/5G) qui élimine la dépendance aux réseaux tiers.

BYOD et appareils personnels

Le BYOD (Bring Your Own Device) est une réalité dans de nombreuses PME : le budget ne permet pas de fournir un appareil à chaque télétravailleur, ou les collaborateurs préfèrent leur propre matériel. Cette situation est gérable, mais elle exige un cadre explicite. Sans ce cadre, vous vous retrouvez dans la pire configuration : des données d’entreprise sur des appareils que vous ne maîtrisez pas, sans recours en cas d’incident.

MDM : la condition minimale

Un MDM (Mobile Device Management) vous permet de gérer les politiques de sécurité sur les appareils inscrits, même s’ils appartiennent à vos collaborateurs. En pratique : imposer un code de déverrouillage, vérifier que le système est à jour, segmenter les données d’entreprise dans un conteneur chiffré, et effacer à distance les données d’entreprise en cas de perte, vol ou départ du collaborateur.

Sans MDM, vous n’avez aucune visibilité sur ce qui se passe sur ces appareils et aucun levier en cas d’incident. Référencez votre politique BYOD dans la charte informatique et faites signer les conditions d’installation du MDM avant tout accès aux ressources de l’entreprise.

Pour un cadre complet sur la gestion des appareils personnels, la politique BYOD détaille les options et les implications juridiques.

Séparation pro/perso : une question d’architecture

Sur Android, Android for Work crée un profil professionnel isolé du reste de l’appareil. Sur iOS, la séparation est gérée via les profils de gestion. Dans les deux cas, les applications et données d’entreprise sont confinées dans un espace que votre MDM peut gérer sans avoir accès aux données personnelles du collaborateur.

Cette séparation est importante sur deux plans : la sécurité (une compromission du profil personnel ne déborde pas sur les données d’entreprise) et la confiance (votre collaborateur sait que vous ne pouvez pas voir ses photos personnelles via le MDM).

Chiffrement du stockage : non négociable

Tout appareil accédant à des données d’entreprise doit avoir son stockage chiffré. Sur iOS c’est activé par défaut dès qu’un code est configuré. Sur Android, la configuration dépend du fabricant et de la version. Sur les ordinateurs portables personnels, BitLocker (Windows) ou FileVault (macOS) doit être activé. Un appareil perdu sans chiffrement est une violation de données.

Former les télétravailleurs au phishing : les scénarios spécifiques

Les scénarios de phishing génériques (fausse facture, faux colis) ne préparent pas à ce que les télétravailleurs rencontrent réellement. Trois catégories d’attaques ciblent spécifiquement les configurations de télétravail.

Le faux support informatique

Le télétravailleur reçoit un email de « support-it@votre-domaine-proche.com » (le domaine est légèrement modifié, souvent imperceptible) l’informant que sa session VPN a été compromise et qu’il doit réinitialiser ses identifiants via un lien fourni. L’email arrive le soir ou le week-end, quand le vrai service informatique est moins disponible.

Ce scénario exploite deux facteurs : l’isolement du télétravailleur et sa dépendance au VPN pour travailler. La formation doit lui apprendre à vérifier l’adresse email de l’expéditeur caractère par caractère, à ne jamais cliquer sur un lien dans un email concernant la sécurité de ses accès, et à appeler directement le service informatique sur un numéro connu.

Le faux portail VPN

Une page de connexion qui ressemble exactement à votre portail VPN interne. L’URL diffère d’un caractère ou utilise un sous-domaine trompeur (vpn-acces.votre-entreprise-connect.com au lieu de vpn.votre-entreprise.com). Le télétravailleur saisit ses identifiants, reçoit un message d’erreur générique, et ne se doute de rien. Ses identifiants sont collectés en temps réel.

La mitigation principale : les mises en favoris. Votre portail VPN doit être accessible via un favori créé par votre service informatique, jamais via un lien dans un email. Intégrez ce réflexe dans la formation initiale de chaque télétravailleur.

La fausse notification d’outil collaboratif

Microsoft Teams, Slack, Notion, Jira : ces outils envoient des dizaines de notifications légitimes par semaine. Un attaquant qui imite visuellement une notification de partage de document ou une invitation à une réunion avec un lien de connexion a un taux de clic élevé, précisément parce que ces emails font partie du flux de travail normal.

Le test clé : est-ce que votre collaborateur regarde l’URL vers laquelle pointe le bouton « Rejoindre » avant de cliquer ? La plupart ne le font pas. Vos simulations de phishing doivent inclure ce type de scénario pour créer le réflexe de vérification.

Intégrer nophi.sh dans votre programme de formation

Les simulations régulières permettent de mesurer où en sont vos équipes et d’adapter vos formations aux réalités observées plutôt qu’aux menaces théoriques. Sur nophi.sh, vous pouvez configurer des campagnes ciblant spécifiquement vos télétravailleurs avec des scénarios représentatifs de leurs conditions réelles de travail — y compris les trois types d’attaques décrits ci-dessus.

Le tableau de bord distingue les résultats par groupe, ce qui vous permet d’identifier si vos équipes en télétravail sont plus exposées que celles sur site, et d’ajuster votre programme en conséquence.

La politique de télétravail cybersécurité

Une politique efficace n’est pas un document de plus dans un dossier SharePoint jamais ouvert. C’est un ensemble de règles claires, portées à la connaissance des collaborateurs avant leur premier jour de télétravail, et révisées quand les usages évoluent.

Ce que doit couvrir votre politique

Les équipements autorisés. Quels appareils peuvent être utilisés pour télétravailler ? Uniquement les appareils fournis par l’entreprise ? Les appareils personnels inscrits dans le MDM ? Posez la règle explicitement. L’absence de règle est interprétée comme une autorisation implicite.

Les conditions de connexion. VPN obligatoire ou non, réseaux autorisés et interdits, procédure en cas d’impossibilité de connexion VPN. Incluez la règle sur les réseaux publics.

L’environnement physique. Le collaborateur doit travailler dans un espace où l’écran ne peut pas être vu par des tiers non habilités. Les documents imprimés contenant des données confidentielles doivent être détruits par broyage, pas mis dans la corbeille. Ces règles paraissent triviales ; sans elles dans un document officiel, elles ne sont jamais respectées systématiquement.

Les procédures d’incident. Que fait le télétravailleur s’il clique sur un lien suspect ? Si son ordinateur est volé ? Si quelqu’un lui demande ses identifiants par téléphone en se présentant comme le service informatique ? Ces scénarios doivent avoir une réponse écrite, connue, et testée.

Les obligations de formation. L’obligation de participer aux sessions de sensibilisation et aux simulations doit figurer dans la politique. Sans cette mention, un refus de participer n’est pas un manquement disciplinairement sanctionnable.

Le lien avec la charte informatique

La politique de télétravail cybersécurité n’est pas un document autonome : elle s’inscrit dans le cadre de votre charte informatique, soit comme une section dédiée, soit comme une annexe formellement rattachée. Ce lien est important pour l’opposabilité : une politique qui n’est pas annexée à la charte ne bénéficie pas de la même valeur juridique.

L’ANSSI publie des recommandations détaillées sur la sécurisation du télétravail, disponibles sur cyber.gouv.fr, qui constituent un référentiel utile pour structurer votre politique.

Révision annuelle et mise à jour post-incident

Une politique rédigée en 2022 ne couvre pas les outils IA génératives utilisés aujourd’hui, les nouveaux scénarios d’attaque apparus depuis, ou les modifications de votre architecture technique. Planifiez une révision annuelle systématique et une révision exceptionnelle après tout incident significatif ou changement d’outils.

FAQ

Le télétravail augmente-t-il vraiment le risque de phishing ?

Oui, de manière mesurable. Les télétravailleurs reçoivent plus de tentatives d’hameçonnage ciblées car les attaquants savent qu’ils sont isolés de leurs collègues, qu’ils utilisent des appareils et réseaux moins contrôlés, et qu’ils sont plus enclins à agir vite sans vérifier. L’ANSSI a documenté une augmentation des incidents liés au télétravail depuis la généralisation du travail à distance. Les PME sont particulièrement exposées car leurs télétravailleurs disposent rarement d’un environnement aussi sécurisé que les grandes entreprises.

VPN ou Zero Trust : lequel choisir pour les accès distants ?

Les deux répondent à des contextes différents. Le VPN est adapté si vos ressources critiques sont hébergées dans votre infrastructure (serveurs on-premise, applications internes). Le Zero Trust convient mieux si vos outils sont majoritairement SaaS (Microsoft 365, Google Workspace, Salesforce) car il ne repose pas sur un périmètre réseau. Beaucoup d’entreprises combinent les deux : VPN pour les accès à l’infrastructure, Zero Trust pour les applications cloud. La décision dépend de votre architecture existante plus que d’une préférence abstraite.

Que faire si un télétravailleur clique sur un lien de phishing ?

La procédure doit être connue avant l’incident : le télétravailleur déconnecte l’appareil du réseau (VPN et Wi-Fi domestique), alerte immédiatement le service informatique par un canal hors-bande (téléphone, application mobile dédiée), et ne tente pas de corriger lui-même. Le DSI ou RSSI prend en charge l’analyse de l’appareil à distance et décide si une réinitialisation est nécessaire. Sans procédure préétablie, les télétravailleurs improviseront — et en général mal.

Comment gérer le Wi-Fi d’un collaborateur en déplacement ?

Le réseau de l’hôtel, le Wi-Fi de la gare, le hotspot du café : tous présentent le même risque. La règle est simple et ne souffre pas d’exception : VPN obligatoire avant toute connexion aux ressources de l’entreprise. Pour les déplacements fréquents, une solution de partage de connexion 4G/5G via le smartphone professionnel élimine la dépendance aux réseaux tiers. Intégrez cette règle dans votre politique de télétravail et testez son respect via vos journaux de connexion.

Le BYOD est-il compatible avec une bonne sécurité en télétravail ?

Oui, sous conditions strictes. Un BYOD sans MDM, sans chiffrement et sans séparation pro/perso est une surface d’attaque ouverte. Avec un MDM bien configuré, une politique de chiffrement obligatoire, et une séparation technique des données d’entreprise (profil Android for Work ou équivalent iOS), le risque devient gérable. La difficulté est que vous n’avez pas de contrôle total sur les appareils que vous ne possédez pas. Si votre organisation traite des données sensibles ou des données de santé, l’interdiction du BYOD est souvent la position la plus défendable.

Quelle fréquence pour les simulations de phishing des télétravailleurs ?

Quatre à six campagnes par an est un rythme efficace pour les équipes distribuées, en variant les scénarios à chaque fois. L’objectif n’est pas de piéger mais de maintenir le réflexe de vigilance sans saturer les équipes. Une campagne trimestrielle avec debriefing collectif des résultats (sans nommer les individus) et rappel de la procédure de signalement construit progressivement une culture de sécurité. Mesurez le taux de signalement en parallèle du taux de clic : un taux de signalement qui monte est le signe que vos formations fonctionnent.

Faut-il une politique de télétravail cybersécurité distincte de la charte informatique ?

Pas nécessairement distincte, mais le sujet doit être traité explicitement. La charte informatique couvre l’ensemble des usages numériques — la politique de télétravail peut être une section dédiée ou une annexe spécifique. Ce qui compte, c’est que les règles spécifiques au télétravail (connexion, environnement physique, équipements autorisés, procédures d’incident) soient documentées, portées à la connaissance des télétravailleurs, et opposables. Une charte générique rédigée avant 2020 qui ne mentionne pas le télétravail est insuffisante.

Vos télétravailleurs savent-ils reconnaître un faux portail VPN ou une fausse notification Teams ? Les simulations de phishing nophi.sh incluent des scénarios spécifiques au télétravail. Lancez votre première campagne gratuitement — résultats en 48h, sans installation.

Sources

ANSSI, Recommandations sur la sécurité des systèmes d’information en situation de télétravail, 2023 — cyber.gouv.fr
ANSSI, Guide d’hygiène informatique, édition 2023 — cyber.gouv.fr
CNIL, La sécurité des données personnelles, 2024 — cnil.fr
CNIL, Guide télétravail et protection des données, 2023 — cnil.fr
Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), article 32
Code du travail, article L.1222-9 (télétravail)
Directive (UE) 2022/2555 (NIS2), article 21 — eur-lex.europa.eu
ANSSI, Référentiel de sécurité Zero Trust, 2024 — cyber.gouv.fr

Tester la résistance de vos télétravailleurs au phishing | Rédiger votre charte informatique