La sécurité du travail à distance consiste à appliquer des mesures techniques et organisationnelles qui protègent les données et systèmes lorsque les collaborateurs travaillent hors des locaux de l'organisation. L'ISO 27002 mesure 6.7 recommande cinq contrôles principaux :

• Politique de télétravail : documenter les règles, droits et obligations des collaborateurs travaillant à distance
• Accès sécurisés : protéger les connexions aux systèmes de l'organisation par VPN ou solutions équivalentes
• Protection des équipements : appliquer les mêmes exigences de sécurité que pour les équipements utilisés au bureau
• Protection de l'environnement de travail : sensibiliser les collaborateurs aux risques liés aux lieux publics et domicile
• Séparation vie professionnelle/personnelle : éviter le mélange des données et des usages sur les équipements

Ces exigences visent à garantir que le niveau de sécurité reste constant, que le collaborateur travaille au bureau, chez lui, ou dans un espace public.

Réseaux non sécurisés

Connexion à un WiFi public non chiffré (café, hôtel, aéroport, gare) expose les communications à l'interception. Un attaquant sur le même réseau peut capturer les identifiants, les emails, ou les données échangées si la connexion n'est pas protégée par VPN.

Environnement non contrôlé

Travailler dans un espace public expose les informations affichées à l'écran aux regards indiscrets (shoulder surfing). Un collaborateur qui traite des données RH ou financières dans un train ou un café révèle involontairement des informations confidentielles.

Équipements partagés ou personnels

Utiliser un ordinateur familial partagé pour accéder aux ressources professionnelles mélange les usages et les utilisateurs. Les membres de la famille peuvent accéder involontairement à des données professionnelles, ou le malware installé par un usage personnel peut compromettre l'accès professionnel.

Absence de séparation physique

Au domicile, l'absence de séparation entre l'espace professionnel et personnel facilite les interruptions, les distractions, et l'accès non autorisé par d'autres membres du foyer à des documents ou équipements professionnels laissés sans surveillance.

VPN obligatoire

Un VPN (Virtual Private Network) chiffre l'ensemble du trafic entre l'équipement du collaborateur et le réseau de l'organisation, rendant les communications illisibles pour un tiers qui intercepterait les données. Le VPN doit être obligatoire pour tout accès aux systèmes internes depuis l'extérieur.

Mise en œuvre : déployer un client VPN sur tous les équipements mobiles, configurer le VPN pour se connecter automatiquement dès que l'équipement quitte le réseau de l'entreprise, bloquer l'accès aux ressources internes sans VPN actif.

Authentification renforcée

L'accès distant doit exiger une authentification multi-facteurs (MFA) : mot de passe + second facteur (application mobile, SMS, clé matérielle). Même si un mot de passe est compromis, l'attaquant ne peut pas accéder sans le second facteur.

Connexions chiffrées pour les services cloud

Pour les services cloud (messagerie, stockage, applications SaaS), privilégier les connexions HTTPS systématiques et désactiver les protocoles non chiffrés (HTTP, FTP). Vérifier que les applications utilisées supportent le chiffrement de bout en bout.

Bonnes pratiques en environnement public

Écran de confidentialité : utiliser un filtre de confidentialité sur l'écran pour limiter les angles de vue et empêcher le shoulder surfing. Verrouillage systématique : verrouiller l'écran dès qu'on s'éloigne de l'équipement, même quelques secondes. Éviter les conversations sensibles : ne pas discuter de sujets confidentiels au téléphone dans des lieux publics. WiFi public : toujours utiliser le VPN, ne jamais se connecter à un réseau public sans protection.

Sécurisation du domicile

Espace de travail dédié : si possible, disposer d'un espace séparé pour le travail, limitant l'accès des autres membres du foyer. Réseau WiFi sécurisé : changer le mot de passe par défaut du routeur WiFi, activer le chiffrement WPA3 ou WPA2, désactiver le WPS. Rangement sécurisé : ranger les documents papier et les équipements professionnels dans un endroit fermé en fin de journée.

Règles de confidentialité

Ne jamais laisser des documents sensibles visibles, ne pas imprimer de documents confidentiels sur une imprimante familiale non sécurisée, ne pas discuter de sujets sensibles si d'autres personnes peuvent entendre, verrouiller l'ordinateur même à domicile en cas d'absence.

Documenter les règles

La politique de télétravail doit préciser : qui peut télétravailler (tous les collaborateurs, certaines fonctions uniquement), depuis quels lieux (domicile uniquement, espaces publics autorisés ou non), avec quels équipements (professionnels uniquement, personnels autorisés sous conditions), quelles exigences de sécurité (VPN, MFA, chiffrement, filtre écran), quels horaires et disponibilités attendus.

Responsabilités du collaborateur

Le collaborateur en télétravail doit : utiliser uniquement les équipements et connexions autorisés, activer systématiquement le VPN pour tout accès professionnel, verrouiller l'équipement dès qu'il s'en éloigne, ne pas partager son équipement professionnel avec d'autres personnes, signaler immédiatement tout incident (perte, vol, compromission suspectée).

Responsabilités de l'organisation

L'organisation doit : fournir les équipements nécessaires ou valider les équipements personnels (BYOD), déployer les solutions techniques (VPN, MFA, chiffrement), former les collaborateurs aux bonnes pratiques de sécurité, assurer un support technique accessible, contrôler périodiquement la conformité aux règles.

Communication et formation

Organiser des sessions de formation spécifiques au télétravail : démonstration du VPN, sensibilisation aux risques WiFi public, bonnes pratiques d'écran en environnement public, gestion des documents papier à domicile. Distribuer un guide pratique récapitulant les règles essentielles.

• Autoriser le télétravail sans VPN : accéder aux systèmes internes depuis Internet sans VPN expose directement le réseau de l'organisation. Le VPN doit être obligatoire et systématique.
• Pas de politique documentée : laisser les collaborateurs improviser leurs pratiques de télétravail crée des incohérences et des risques. Documenter clairement les règles attendues.
• Équipements personnels non contrôlés : autoriser l'accès depuis des équipements personnels sans exigence de sécurité (chiffrement, antivirus, MFA) ouvre une brèche majeure. Imposer des prérequis stricts.
• Pas de sensibilisation aux risques : les collaborateurs ne sont pas naturellement conscients des risques liés au WiFi public ou au shoulder surfing. Former et rappeler régulièrement les bonnes pratiques.

La sécurité du travail à distance repose sur la protection des connexions (VPN obligatoire, MFA), la sécurisation des équipements (chiffrement, verrouillage, configuration sécurisée), et l'adaptation des comportements à l'environnement (filtre écran en public, WiFi sécurisé à domicile, vigilance constante).

Une politique de télétravail documentée définit les règles, les responsabilités du collaborateur et de l'organisation, et les exigences de sécurité minimales. La formation des collaborateurs aux risques spécifiques du travail à distance (réseaux publics, shoulder surfing, mélange pro/perso) complète le dispositif technique.