En une phrase. Le télétravail sécurisé mobilise 4 piliers selon l’ANSSI : poste maîtrisé (corporate, chiffré, EDR), accès distant sécurisé (VPN + MFA), gouvernance (charte télétravail signée) et sensibilisation (phishing, vol matériel). Le guide ANSSI « Recommandations de sécurité informatique pour le télétravail » (mars 2023) reste la référence. NIS 2 impose ces mesures aux entités essentielles ; la CNIL a sanctionné plusieurs cas d’absence de MFA sur accès distants.
Depuis 2020, le télétravail concerne en moyenne 38 % des salariés français au moins 1 jour par semaine (DARES 2024). C’est aussi le vecteur d’intrusion #2 après le phishing (Verizon DBIR 2024 — 24 % des intrusions exploitent un accès distant compromis).
Pour approfondir : PSSI ANSSI, PCA ANSSI, cartographie SI.
Points clés
- L’ANSSI publie le guide « Recommandations de sécurité pour le télétravail » (mars 2023).
- Poste corporate + chiffrement disque + EDR : socle non négociable.
- MFA obligatoire sur tous les accès distants (VPN, webmail, SaaS).
- Le BYOD doit faire l’objet d’une politique spécifique (MDM, conteneurs).
- La charte télétravail est obligatoire (Code du travail art. L1222-9).
1. Cadre juridique du télétravail sécurisé
| Texte | Exigence |
|---|---|
| Code travail L1222-9 | Charte ou accord collectif |
| RGPD art. 32 | Sécurité du traitement |
| NIS 2 art. 21 §2(i) | Contrôle d’accès |
| ANI 2020 télétravail | Bonnes pratiques |
| Guide ANSSI 2023 | Référentiel opérationnel |
2. Poste de travail : corporate ou BYOD ?
| Modèle | Sécurité | Coût | Acceptable ANSSI |
|---|---|---|---|
| COPE (Corporate, Personally Enabled) | Très haut | Élevé | Oui, recommandé |
| COBO (Corporate, Business Only) | Très haut | Élevé | Oui |
| CYOD (Choose Your Own Device) | Haut | Moyen | Oui sous conditions |
| BYOD (Bring Your Own Device) | Variable | Faible | Uniquement avec MDM strict ou VDI |
L’ANSSI déconseille fortement le BYOD pur pour les données sensibles. Pour OIV/OSE : BYOD interdit de fait.
3. Configuration minimale du poste
Pour Windows 11 (référence ANSSI 2024) :
- Disque chiffré BitLocker avec TPM 2.0 + PIN
- Compte utilisateur non admin (UAC niveau 4)
- EDR activé (Defender for Endpoint P1 minimum)
- Pare-feu activé en sortie aussi
- Patches Windows et applicatifs < 30 jours
- VPN configuré avec auth certificat + MFA
- Verrouillage automatique < 5 minutes
- Sauvegarde cloud synchronisée (OneDrive Business chiffré)
Pour macOS : FileVault + Gatekeeper + MDM Jamf/Intune. Pour Linux : LUKS + auditd + AppArmor.
4. VPN : technologies recommandées
L’ANSSI qualifie plusieurs solutions VPN :
| Solution | Qualification | Usage |
|---|---|---|
| IPsec IKEv2 | Référence ANSSI | Site-to-site, nomade |
| WireGuard | Acceptable depuis 2022 | Nomade moderne |
| OpenVPN | Acceptable (TLS 1.2+) | Nomade |
| Stormshield VPN | Qualifié | Défense, secteur public |
| Tixeo | Qualifié SecNumCloud | Visio + collab |
À éviter : PPTP (cassé), L2TP/IPSec sans PSK fort, SSL VPN propriétaires non audités.
5. MFA : obligatoire partout
Hierarchie ANSSI 2024 :
| Facteur | Robustesse | Acceptation |
|---|---|---|
| Clé FIDO2 (YubiKey, Token2) | Très haute | Recommandée |
| TOTP (Google/Microsoft Auth) | Haute | Acceptable |
| Push notification | Moyenne | Acceptable avec number matching |
| SMS | Faible | Déconseillé sauf défaut |
| Très faible | Déconseillé |
La CNIL a sanctionné CDISCOUNT (2022) — 230 000 € notamment pour absence de MFA sur les accès admin.
6. Accès aux applications : Zero Trust
Le modèle Zero Trust Network Access (ZTNA) remplace progressivement le VPN traditionnel :
- Pas de réseau de confiance
- Authentification continue
- Accès application par application (pas réseau entier)
- Inspection contextuelle (device posture, géo, horaire)
Solutions : Zscaler ZPA, Cloudflare Access, Palo Alto Prisma Access, Microsoft Entra Private Access.
7. Environnement physique : recommandations ANSSI
À domicile :
- Pièce dédiée ou paravent visuel
- Pas de réunion sensible en lieu public (TGV, café)
- Webcam désactivable physiquement (cache)
- Micro désactivable
- Box internet : changer mot de passe par défaut, WPA3 si possible
- Wi-Fi invité séparé du Wi-Fi pro
Le télétravail en tiers-lieu (coworking) impose des précautions supplémentaires : filtre écran, pas de Wi-Fi public sans VPN.
8. Visioconférence sécurisée
L’ANSSI distingue 3 niveaux :
| Niveau | Données | Solutions acceptables |
|---|---|---|
| Standard | Données publiques / DR | Teams, Meet, Zoom |
| Sensible | Données internes | Teams, Webex, Tixeo |
| Diffusion restreinte (DR) | Stratégique, OIV | Tixeo, Olvid Meet, RENATER |
Zoom et Teams ne sont pas qualifiés pour Diffusion Restreinte (transmission éventuelle hors UE).
9. Messagerie et collaboration
Pour les contenus internes sensibles :
- Olvid (qualifié, E2EE) pour échanges critiques
- Tchap (basé Matrix, gouvernement français)
- Whaller (réseau social français)
- Jamespot (collaboration française)
Éviter pour le pro sensible : WhatsApp, Telegram, Signal (acceptable mais étranger).
10. Stockage et partage de fichiers
| Solution | Qualification | Souveraineté |
|---|---|---|
| OneDrive / SharePoint | Non qualifié | US |
| Google Drive | Non qualifié | US |
| Box | Non qualifié | US |
| Drive ENS / RENATER | Acceptable | FR |
| Oodrive | SecNumCloud | FR |
| Outscale Suite | SecNumCloud | FR |
| NextCloud (auto-hébergé) | Variable | FR |
Pour les données de santé, SecNumCloud ou HDS sont obligatoires.
11. Charte télétravail : contenu type
Selon le Code du travail (art. L1222-9) et la jurisprudence prud’homale, la charte doit couvrir :
- Éligibilité (postes, ancienneté)
- Modalités (jours, horaires, joignabilité)
- Sécurité informatique (poste fourni, VPN, MFA)
- Confidentialité (lieu de travail, écran, impression)
- Frais professionnels
- Droit à la déconnexion
- Sanctions disciplinaires en cas de manquement sécurité
12. Sensibilisation et tests
Programme recommandé ANSSI :
- Formation initiale télétravail (1h, signature)
- Phishing simulé trimestriel
- Rappel sécurité mensuel (1 e-mail/mois, 1 minute lecture)
- Quiz annuel obligatoire
- Exercices crise (vol laptop, compromission compte) annuel
Solutions de phishing simulé : KnowBe4, Cofense, Phished.io, Conscio Technologies (français).
FAQ
Faut-il un poste corporate pour le télétravail ?
Recommandé fortement par l’ANSSI. Indispensable pour OIV/OSE, données sensibles, NIS 2. Le BYOD est acceptable uniquement avec MDM strict et conteneurisation (Microsoft Intune, Jamf, MobileIron). Coût d’un poste corporate : ~1 200 € amortis sur 4 ans = 25 €/mois.
Le VPN est-il toujours nécessaire en 2026 ?
Oui pour l’accès au SI interne. Pour les applications SaaS (Office 365, Salesforce), une solution ZTNA (Zero Trust) est souvent plus adaptée. Le VPN reste indispensable pour fileshares, ERP internes, accès admin.
Quelle est la responsabilité du salarié en télétravail ?
Le salarié doit respecter la charte télétravail et les consignes sécurité (Code travail L1222-9). En cas de faute lourde (partage volontaire d’identifiants, contournement MFA), sanction disciplinaire et engagement de responsabilité possibles. Mais la sécurité reste de la responsabilité de l’employeur (art. L4121-1 et RGPD art. 32).
Peut-on télétravailler à l’étranger ?
Oui mais avec précautions : (1) impôt et URSSAF (pays UE OK 25%, hors UE risqué), (2) RGPD si transfert de données vers pays hors UE, (3) sécurité (Wi-Fi pays à risque, surveillance étatique). L’ANSSI publie une liste de pays à risque pour les déplacements pro (Russie, Chine, Iran, Corée du Nord).
Comment gérer le vol d’un laptop télétravail ?
(1) Verrouillage à distance Intune/Jamf, (2) Effacement à distance (wipe), (3) Rotation mots de passe comptes connectés, (4) Révocation certificats VPN, (5) Plainte police obligatoire, (6) Déclaration assurance + RH. Si données personnelles à risque : notification CNIL sous 72h.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial