Cybersécurité • 5 min
Pourquoi le risque cyber en télétravail ne se limite pas au poste professionnel, mais passe aussi par le routeur, les objets connectés, les usages personnels et le niveau réel de maîtrise du réseau domestique.
On parle beaucoup du SI de l’entreprise. Beaucoup moins, à mon sens, de ce qui se passe à domicile.
Avec le télétravail, une partie de l’activité a quitté les murs de l’entreprise. Mais une partie du risque aussi.
Le sujet n’est pas de fantasmer une sécurité parfaite à domicile. Le sujet est d’éviter une erreur fréquente : considérer implicitement l’environnement domestique comme digne du même niveau de confiance que celui de l’entreprise.
Quand on pense sécurité du télétravail, on pense souvent au poste portable d’entreprise, au VPN, au MFA ou aux outils collaboratifs.
Mais entre le poste professionnel et les ressources de l’entreprise, il y a souvent un environnement beaucoup moins piloté : le réseau domestique, les équipements connectés, les usages familiaux et un niveau de maîtrise très variable selon les situations.
Le travail à distance ne passe pas seulement par un ordinateur portable d’entreprise. Il passe aussi par un routeur grand public, parfois peu mis à jour, des objets connectés, un NAS personnel, un PC familial sur le même réseau, ou encore des interfaces d’administration laissées actives.
Pris isolément, chacun de ces éléments peut sembler secondaire. Mais ensemble, ils rappellent une réalité simple : le périmètre réel d’exposition ne s’arrête plus au bureau.
Une approche trop théorique consiste à considérer que le poste professionnel sécurisé suffit à neutraliser le risque global.
En réalité, la question est plus large : que fait-on réellement transiter depuis le domicile ? Avec quel niveau d’accès ? Avec quelle séparation entre usages professionnels et usages personnels ? Et surtout : quelles hypothèses de confiance fait-on, sans vraiment les vérifier ?
Le sujet n’est pas de tout contrôler au domicile. Le sujet est de calibrer correctement ce que l’on accepte de faire transiter par des environnements que l’on ne maîtrise pas réellement.
Le télétravail n’a pas seulement déplacé le travail. Il a aussi déplacé une partie de la surface d’exposition.
La vraie question n’est donc pas seulement : “nos accès distants sont-ils sécurisés ?”. La vraie question est aussi : “avons-nous bien mesuré ce que nous faisons passer par des environnements domestiques dont le niveau réel de maîtrise est très variable ?”
C’est souvent là que l’on voit si la cybersécurité est pensée comme un dispositif réel, ou simplement comme un périmètre théorique.
Parce qu’une partie du travail à distance ne transite pas uniquement par le poste professionnel, mais aussi par un environnement domestique composé de routeurs, objets connectés, équipements personnels et usages familiaux dont le niveau de maîtrise est très variable.
Ils sont très utiles, mais ne suffisent pas à eux seuls à neutraliser tous les risques si les ressources accessibles à distance transitent par un environnement domestique peu maîtrisé ou mal segmenté.
Une PME devrait au minimum clarifier les accès réellement autorisés, le niveau de criticité des ressources accessibles à distance, les protections minimales attendues, la séparation entre usages personnels et professionnels et les hypothèses de confiance faites sur l’environnement domestique.
Ressources liées
Le vrai sujet n’est pas de savoir s’il faut être pro-cloud ou pro-on-prem. Il est de déterminer quel modèle est le plus cohérent pour un service donné, avec une lecture complète des coûts, des contraintes et du niveau de maturité d’exploitation.
Beaucoup de PME ont déjà un prestataire informatique, mais pas toujours un vrai pilotage du système d’information. Cet article aide à comprendre qui fait quoi, où commencent les angles morts et quand une DSI externalisée devient pertinente.
Le rôle d’un RSI n’est pas d’empêcher par principe. Il consiste souvent à dire oui, mais avec un cadre clair, des garde-fous et une responsabilité posée.
Un premier échange permet souvent de clarifier les hypothèses de confiance, les niveaux d’accès accordés et les protections minimales utiles pour un travail à distance plus maîtrisé.
