Télétravail et sécurité IT : ce qu'une PME doit vraiment mettre en place

Le problème que personne ne voit

Depuis 2020, le télétravail est devenu la norme dans de nombreuses PME. Mais dans la grande majorité des cas, la mise en place a été rapide, pragmatique — et les failles de sécurité qui en découlent sont restées ouvertes. Un employé qui travaille depuis son réseau domestique, partagé avec ses enfants, sa télévision connectée et sa console de jeu, est dans un environnement que votre équipe IT ne contrôle pas du tout.

Ce n'est pas une question de confiance envers l'employé. C'est une question de surface d'attaque : chaque poste hors bureau est un point d'entrée potentiel vers vos données et votre réseau.

Les vrais risques du télétravail sans infrastructure

Le réseau WiFi domestique : les routeurs grand public ont des firmwares rarement mis à jour, des mots de passe parfois partagés avec des voisins ou des invités, et aucune segmentation réseau. Si un autre appareil du foyer est compromis, il peut voir le trafic du poste professionnel.

Le poste non géré : sans RMM, vous ne savez pas si ce poste a reçu ses mises à jour Windows, si l'antivirus est actif, ou si un logiciel non autorisé a été installé. Un poste non patché depuis 3 mois est une invitation ouverte pour des exploits connus.

L'absence de filtrage DNS : au bureau, le filtrage est souvent assuré au niveau du réseau. En télétravail, si l'agent DNS n'est pas installé sur le poste, l'employé navigue sans protection — et peut atteindre des domaines malveillants sans aucune alerte.

Les mots de passe stockés dans le navigateur : Chrome ou Firefox qui enregistrent les identifiants, synchronisés avec un compte personnel. Si ce compte est compromis, tous les mots de passe professionnels partent avec.

Ce qui fonctionne — sans complexité inutile

Vous n'avez pas besoin d'une infrastructure VPN d'entreprise complexe pour sécuriser le télétravail dans une PME de moins de 50 personnes. Les mesures suivantes couvrent 95 % des risques :

• Un agent RMM sur chaque poste : supervision, mises à jour automatiques et inventaire, même hors bureau. Si le poste est allumé et connecté à internet, il est géré.
• Le filtrage DNS au niveau du poste (pas seulement du réseau) : l'agent s'installe sur le poste et reste actif peu importe le réseau utilisé — WiFi maison, hotspot mobile, café.
• MFA sur tous les accès : Microsoft 365, VPN si présent, outils cloud. Un mot de passe intercepté sur un réseau WiFi non sécurisé ne suffit plus à entrer.
• Un gestionnaire de mots de passe d'entreprise : les identifiants ne sont plus dans le navigateur, et chaque employé a accès uniquement à ce dont il a besoin.
• Une politique de postes approuvés : seuls les postes gérés et inventoriés peuvent accéder aux ressources professionnelles. Un poste personnel non supervisé ne doit pas toucher vos données.

La question du poste personnel

La situation la plus risquée : un employé qui utilise son ordinateur personnel pour travailler. Pas d'agent RMM possible, pas de contrôle des logiciels installés, parfois partagé avec d'autres membres du foyer. Si vous n'avez pas d'autre choix à court terme, au minimum : MFA activé sur tous les accès, accès aux ressources uniquement via navigateur (pas de synchronisation OneDrive en local), et un rappel que ce poste ne doit pas être utilisé par d'autres personnes pour du travail professionnel.

À moyen terme, un parc de postes d'entreprise gérés centralement — même des machines reconditionnées fiables — est moins coûteux qu'un incident de sécurité.

Ce que ça change concrètement

Avec un RMM et un filtrage DNS correctement déployés, un employé en télétravail bénéficie exactement du même niveau de protection qu'au bureau — sans VPN complexe, sans intervention de sa part. C'est transparent pour lui, et géré pour vous. C'est exactement ce qu'Avony déploie et maintient pour ses clients PME.