Télétravail sécurisé : la checklist en 12 points pour les TPE/PME (Digne / 04)

Pourquoi le télétravail est une cible de choix pour les hackers

Depuis la généralisation du télétravail, les incidents de cybersécurité liés au travail à distance ont augmenté de 238 % selon les chiffres ANSSI. La raison est simple : à la maison, vos collaborateurs n'ont plus la protection du réseau d'entreprise. Ils utilisent leur box internet personnelle, parfois leur propre PC, et des connexions Wi-Fi rarement optimisées pour un usage professionnel.

Dans le 04, on voit régulièrement des TPE se présenter à l'atelier après un incident : messagerie compromise, données clients exfiltrées, ransomware déclenché depuis le poste d'un salarié en télétravail. Le problème n'est pas le télétravail lui-même, c'est l'absence de cadre de sécurité. Cette checklist est là pour combler ce manque.

Point 1 — Déployer un VPN d'entreprise (pas un VPN grand public)

Le VPN est la colonne vertébrale du télétravail sécurisé. Il crée un tunnel chiffré entre le poste de votre salarié et votre réseau d'entreprise. Sans lui, les données échangées peuvent être interceptées sur n'importe quel réseau intermédiaire.

Attention à la confusion fréquente : un VPN grand public comme NordVPN ou Surfshark n'est pas adapté à un usage professionnel. Il anonymise la navigation mais ne connecte pas vos collaborateurs à vos ressources internes (serveur de fichiers, logiciel de gestion, imprimante réseau). Ce qu'il vous faut, c'est un VPN d'entreprise : OpenVPN, WireGuard ou une solution intégrée à votre pare-feu.

Vous voulez en savoir plus sur les différences ? On a rédigé un article complet : VPN : à quoi ça sert vraiment ? 5 cas utiles, 4 cas inutiles. Et si vous avez plusieurs sites à relier, lisez aussi notre guide sur le VPN site-à-site pour TPE.

Point 2 — Forcer la connexion VPN avant tout accès aux ressources internes

Avoir un VPN ne suffit pas si vos collaborateurs peuvent s'en passer. La règle doit être claire : aucun accès aux fichiers partagés, à la messagerie interne ou aux outils métier sans passer par le VPN. Techniquement, cela se configure au niveau du pare-feu en n'autorisant les connexions qu'depuis des plages IP du VPN.

C'est une configuration qui demande 30 à 60 minutes à un technicien, et qui réduit drastiquement la surface d'attaque.

Point 3 — Mots de passe : en finir avec "Prenom2024!"

C'est le classique. Dans 80 % des incidents de sécurité que nous constatons ici à Digne-les-Bains, un mot de passe trop simple ou réutilisé est en cause. Les règles de base :

• Minimum 12 caractères, mieux encore 16
• Jamais le même mot de passe sur deux services différents
• Pas de mot de passe contenant le nom de l'entreprise, la date de naissance ou le prénom du dirigeant
• Utiliser un gestionnaire de mots de passe : Bitwarden (gratuit), 1Password ou Dashlane pour les équipes

Consultez notre guide détaillé : Mot de passe sécurisé : 8 règles simples pour protéger vos comptes.

Point 4 — Activer la double authentification (2FA) sur tous les comptes critiques

Même avec un bon mot de passe, un compte peut être compromis si ce mot de passe fuite sur le dark web (ce qui arrive, y compris pour des services connus). La double authentification ajoute une deuxième vérification — un code temporaire reçu par SMS ou généré par une application — qui bloque l'accès même si le mot de passe est connu.

Priorité absolue : messagerie professionnelle, accès VPN, outils cloud (Microsoft 365, Google Workspace), logiciel de comptabilité. Notre guide pratique explique comment activer le 2FA sur les services courants : Double authentification (2FA) : le guide pratique pour sécuriser vos comptes en 2026.

Point 5 — Postes de travail : usage professionnel uniquement

Le point le plus souvent négligé dans les TPE/PME. Quand un salarié en télétravail utilise son PC personnel pour travailler, vous n'avez aucune maîtrise sur ce qui est installé dessus : jeux en ligne, logiciels piratés, applications tierces douteuses. Tout cela augmente considérablement le risque d'infection.

La bonne pratique :

• Fournir un poste professionnel dédié, ou au minimum définir une politique BYOD (voir point 11)
• Bloquer l'installation de logiciels non autorisés via les droits administrateur
• S'assurer qu'un antivirus professionnel est installé et actif
• Chiffrer le disque dur du poste (BitLocker sous Windows, FileVault sous Mac) pour protéger les données en cas de vol

Point 6 — Mises à jour : automatiser ou planifier, mais ne jamais ignorer

Une mise à jour non appliquée, c'est une faille connue que les hackers peuvent exploiter. En entreprise, on a tendance à repousser les mises à jour par peur de casser quelque chose. C'est compréhensible, mais la solution n'est pas de les ignorer — c'est de les gérer correctement.

Pour les postes en télétravail : planifier les mises à jour Windows en dehors des heures de travail, vérifier que les mises à jour sont bien appliquées à distance (via un outil de gestion), et ne jamais rester sur une version de Windows en fin de vie (Windows 10 sera hors support en octobre 2025). Notre article sur la gestion des mises à jour Windows en entreprise donne 7 règles concrètes.

Point 7 — Wi-Fi domestique : les réglages que vos salariés doivent faire

Le Wi-Fi personnel de vos collaborateurs, c'est souvent une box Orange ou SFR avec le mot de passe d'origine jamais changé, le réseau invité activé pour les enfants et les voisins, et le firmware jamais mis à jour. C'est un problème.

Transmettez à vos télétravailleurs cette liste de vérification minimale :

• Chiffrement WPA2 ou WPA3 activé (jamais WEP, obsolète et cassable en quelques minutes)
• Mot de passe Wi-Fi changé depuis l'installation
• Réseau invité séparé pour les appareils personnels et les enfants
• Firmware de la box à jour (vérifiable dans l'interface d'administration)
• Accès à l'administration de la box protégé par un mot de passe non générique

Point 8 — Sauvegarde des données en télétravail : la règle 3-2-1 adaptée

En présentiel, vos fichiers sont (normalement) sauvegardés sur un serveur ou un NAS en entreprise. En télétravail, si votre salarié travaille sur des fichiers locaux sur son poste, ces données ne sont plus dans votre périmètre de sauvegarde.

La solution : forcer l'enregistrement des fichiers sur un espace cloud d'entreprise synchronisé (OneDrive, SharePoint, Google Drive Workspace) plutôt que sur le bureau ou le dossier "Mes Documents" du poste. Ainsi, les données restent centralisées et sauvegardées même si le PC tombe en panne ou est volé.

Pour aller plus loin sur la stratégie de sauvegarde, lisez notre article sur la règle de sauvegarde 3-2-1 adaptée aux TPE/PME.

Point 9 — Sensibiliser aux arnaques par email et phishing

En télétravail, vos collaborateurs sont seuls face à leur boîte mail. Pas de collègue à interpeller pour "tu penses que ce mail est bizarre ?". Les cybercriminels le savent et exploitent cet isolement.

Les arnaques les plus fréquentes que nous signalent nos clients dans le 04 :

• Faux mails Microsoft ou Google demandant de "reconfirmer" ses identifiants
• Fausses factures PDF piégées
• Arnaques au faux support technique (le fameux faux technicien Microsoft)
• SMS frauduleux (smishing) imitant la banque ou les impôts

La règle d'or : en cas de doute, on ne clique pas, on appelle directement l'expéditeur par téléphone. Une formation de 30 minutes par an suffit à diviser par deux le nombre d'incidents liés au phishing.

Point 10 — Sécuriser les visioconférences et les outils collaboratifs

Teams, Zoom, Google Meet… ces outils sont devenus incontournables mais ils ont aussi leurs failles. Quelques réflexes simples :

• Protéger chaque réunion par un mot de passe ou une salle d'attente activée
• Ne jamais partager le lien d'une réunion sur des espaces publics (réseaux sociaux, site web)
• Mettre à jour régulièrement les clients Teams/Zoom (des vulnérabilités critiques sont corrigées via ces mises à jour)
• Éviter d'utiliser le Wi-Fi d'un café ou d'un espace public sans VPN actif

Point 11 — Définir une politique BYOD claire (si vos salariés utilisent leur propre matériel)

BYOD (Bring Your Own Device) : vos salariés utilisent leur PC ou smartphone personnel pour travailler. C'est courant dans les TPE, surtout pour des questions de coût. Ce n'est pas interdit, mais ça doit être encadré par écrit.

Une politique BYOD minimale doit préciser :

• L'obligation d'avoir un antivirus à jour sur le poste personnel utilisé à des fins professionnelles
• L'interdiction de stocker des données clients ou confidentielles localement (tout doit rester sur le cloud d'entreprise)
• L'obligation d'utiliser le VPN d'entreprise pour toute connexion aux ressources internes
• La procédure en cas de perte ou vol du matériel personnel contenant des données pro

Sans ce cadre, vous êtes exposés légalement en cas d'incident touchant des données personnelles de clients (RGPD).

Point 12 — Prévoir un plan de reprise si ça tourne mal

Même avec toutes ces précautions, le risque zéro n'existe pas. Un ransomware peut chiffrer vos données un vendredi soir. Un poste peut être volé dans une voiture. La question n'est pas "est-ce que ça peut arriver ?" mais "combien de temps peux-tu tenir si ça arrive ?"

Un PRA/PCA (Plan de Reprise d'Activité / Plan de Continuité d'Activité) minimal, même d'une seule page, vous permet de savoir quoi faire, dans quel ordre, avec qui, et en combien de temps. Notre service PRA/PCA pour professionnels peut vous aider à le mettre en place.

Ce que TECHNOTREMENT peut faire pour votre TPE à Digne-les-Bains

À l'atelier de Digne-les-Bains, on accompagne des TPE et PME des Alpes-de-Haute-Provence sur tous ces sujets. Concrètement, on peut :

• Auditer votre configuration réseau et VPN actuelle
• Déployer et configurer un VPN d'entreprise adapté à votre taille
• Mettre en place la double authentification sur votre messagerie et vos outils cloud
• Former vos collaborateurs en une demi-journée aux réflexes de sécurité en télétravail
• Assurer la maintenance informatique à distance via notre offre d'infogérance

Pas besoin d'un DSI à temps plein : pour une TPE de 3 à 15 postes, quelques heures de configuration bien faite changent radicalement le niveau de sécurité.

FAQ — Télétravail sécurisé pour TPE/PME

Un VPN gratuit est-il suffisant pour sécuriser le télétravail ?

Non, et c'est une confusion fréquente. Les VPN gratuits grand public (comme ProtonVPN free ou les extensions de navigateur) anonymisent votre navigation mais ne connectent pas vos collaborateurs à vos ressources internes. Pour un usage professionnel, il vous faut un VPN d'entreprise configuré sur votre infrastructure. Le coût est bien inférieur à ce que vous pensez : entre 5 et 15 € par utilisateur et par mois pour une solution hébergée, ou une configuration unique si vous disposez déjà d'un pare-feu.

Mes salariés télétravaillent depuis chez eux : suis-je responsable de leur sécurité informatique ?

Oui, partiellement. En tant qu'employeur, vous avez l'obligation de fournir à vos salariés les moyens de travailler en sécurité, y compris en télétravail. Si une violation de données clients survient à cause d'un poste mal sécurisé en télétravail, vous pouvez être mis en cause au titre du RGPD. La mise en place d'une politique de sécurité télétravail documentée (même simple) est votre meilleure protection juridique.

Combien de temps faut-il pour sécuriser le télétravail dans une TPE de 5 personnes ?

Pour une configuration de base (VPN, 2FA, politique de mots de passe, sauvegarde cloud), comptez une journée de travail technique. La formation des collaborateurs peut tenir en 2 à 3 heures. L'essentiel n'est pas la complexité, c'est de ne pas remettre à plus tard : la plupart des TPE que nous aidons après un incident auraient pu s'en prémunir avec 4 à 6 heures de configuration préventive.

Que faire si un poste de télétravail est infecté ou compromis ?

Isolez-le immédiatement : déconnectez-le du Wi-Fi et du VPN pour qu'il ne propage pas l'infection. Ne l'éteignez pas (certaines analyses forensiques nécessitent que le PC reste allumé). Contactez votre prestataire informatique — ou appelez-nous au 06 50 81 05 81. Plus vous réagissez vite, plus les dommages sont limités. Lisez aussi notre article sur comment réagir face à un ransomware.