- Le télétravail généralise les accès depuis des réseaux domestiques partageant le même segment réseau avec des équipements IoT grand public non sécurisés : routeurs grand public, télévisions connectées, assistants vocaux — autant de vecteurs de compromission potentielle du poste de travail professionnel.
- Les accès VPN "split-tunneling" — qui routent uniquement les flux d'entreprise via le tunnel VPN en laissant le reste du trafic passer directement par le réseau domestique — exposent le poste professionnel à des attaques depuis des ressources Web ou réseau non sécurisées.
- Uber (2022) a été compromis via une attaque de fatigue MFA ciblant un employé en télétravail — l'absence de contrôle de contexte (localisation, heure, comportement habituel) a permis de valider une authentification anormale.
- L'accès conditionnel basé sur le contexte — évaluant la localisation géographique, le réseau source, l'état du terminal et l'heure d'accès — permet de détecter et bloquer les authentifications anormales sans dégrader l'expérience des accès légitimes.
- Les environnements distants créent des dépendances sur des FAI et équipements réseau hors contrôle de l'organisation — les plans de continuité doivent intégrer des scénarios de défaillance réseau en télétravail.
Le télétravail a introduit une nouvelle classe de dépendances dans la sécurité des systèmes d'information : la dépendance sur des réseaux domestiques que l'organisation ne maîtrise pas, sur des équipements IoT grand public avec lesquels les postes professionnels partagent désormais le même segment réseau, et sur des FAI dont la fiabilité et les pratiques de sécurité sont hors du périmètre d'audit de la DSI.
Ces dépendances ne sont pas nouvelles — elles existaient pour les rares télétravailleurs avant 2020 — mais leur généralisation les a transformées en risques systémiques. Quand 30% des collaborateurs travaillent à domicile, la sécurité du réseau domestique devient un enjeu de sécurité organisationnel, pas seulement un problème individuel de chaque employé.
Le réseau domestique comme environnement hostile
Le réseau domestique d'un collaborateur partage plusieurs caractéristiques avec un réseau non maîtrisé : routeur fourni par le FAI avec firmware rarement mis à jour et interface d'administration exposée, équipements IoT grand public (télévisions connectées, enceintes intelligentes, thermostats, caméras de sécurité) avec des vulnérabilités connues non corrigées, et potentiellement d'autres utilisateurs (famille, colocation) accédant au même réseau. Un attaquant qui compromet un équipement IoT du réseau domestique peut potentiellement atteindre le poste professionnel s'ils partagent le même VLAN (ce qui est le cas dans la majorité des boxs résidentielles sans configuration avancée). La compromission latérale depuis un équipement IoT domestique vers le poste de travail professionnel est un scénario documenté, non théorique.
VPN : tunnel complet vs split-tunneling
La configuration VPN détermine quels flux réseau du poste distant passent par le tunnel chiffré vers l'infrastructure d'entreprise. En configuration tunnel complet (full tunnel), tout le trafic Internet du poste distant est routé via le VPN — il passe par les filtres DNS, les proxies web et les systèmes de détection d'entreprise, réduisant l'exposition aux sites malveillants et permettant une surveillance centralisée des flux. En configuration split-tunneling, seul le trafic à destination des ressources d'entreprise passe par le tunnel — le reste navigue directement via le réseau domestique, hors de toute surveillance. Le split-tunneling réduit la charge sur le VPN et améliore les performances, mais expose le poste aux risques du réseau domestique et supprime la visibilité sur une partie de l'activité réseau du poste distant.
La compromission de Colonial Pipeline illustre parfaitement les risques des accès distants insuffisamment sécurisés. Un compte VPN d'un ancien employé, non révoqué lors de son départ et sans MFA, a été utilisé pour introduire le ransomware qui a paralysé l'infrastructure de distribution de carburant sur la côte Est américaine. Même sans télétravail généralisé, la gestion des accès distants — révocation systématique, MFA obligatoire, monitoring des connexions anormales — est le facteur déterminant dans la sécurité des accès depuis l'extérieur.
L'accès conditionnel basé sur le contexte
L'accès conditionnel enrichit l'évaluation des demandes d'accès avec des données contextuelles allant au-delà de la simple vérification d'identifiants. La localisation géographique : une connexion depuis un pays où le collaborateur n'a jamais travaillé est une anomalie qui mérite une vérification supplémentaire ou un blocage. L'heure d'accès : une connexion à 3h du matin depuis un profil habituellement actif en journée est suspect. Le réseau source : une connexion depuis un réseau connu (résidence principale) vs un réseau inconnu ou associé à un VPN anonymisant. L'état du terminal : le terminal utilisé est-il enrôlé MDM, est-il conforme aux politiques ? Ces facteurs contextuels, évalués ensemble via des politiques d'accès conditionnel (Entra ID Conditional Access, Okta Adaptive MFA), permettent de distinguer les accès légitimes des accès frauduleux sans ajouter de friction pour les utilisateurs réguliers.
La continuité d'activité face aux défaillances réseau domestiques
Les plans de continuité d'activité traditionnels prévoient les défaillances des infrastructures d'entreprise, mais rarement les défaillances des connexions des télétravailleurs. Or, une panne FAI, une coupure électrique, ou une défaillance du routeur domestique d'un collaborateur en télétravail peut l'exclure des systèmes d'information pendant des heures. Pour les collaborateurs dont les fonctions sont critiques (astreintes, opérations, support), le plan de continuité doit définir des alternatives : connexion via mobile en partage de connexion (la politique MDM doit permettre et sécuriser ce mode), point de repli physique (bureau principal, site secondaire), ou fourniture d'une connexion de secours (clé 4G d'entreprise). Ces alternatives doivent être testées régulièrement — découvrir qu'une clé 4G d'entreprise n'a pas de SIM active lors d'un incident n'est pas une position acceptable.
Un attaquant de 18 ans a compromis l'infrastructure d'Uber via une attaque de fatigue MFA : il a bombardé un employé de notifications d'authentification jusqu'à ce que l'employé valide par erreur, puis a utilisé cette authentification pour accéder aux outils internes incluant AWS, GCP, et l'outil d'administration Okta. L'absence de contrôle de contexte — horaire, localisation, comportement inhabituel — a permis de valider une authentification anormale. L'attaquant avait accès à "pratiquement tout" selon sa propre description, dont les secrets d'infrastructure.
WannaCry a paralysé plusieurs usines Renault en France et en Roumanie, forçant l'arrêt de chaînes de production. La propagation s'est réalisée via le réseau interne depuis des postes non patchés. Ce cas illustre que les postes distants — en télétravail ou sur des sites non-siège — qui se connectent au réseau interne via VPN peuvent propager des malwares s'ils ne sont pas eux-mêmes à jour. La politique de conformité doit s'appliquer aux postes distants avec la même rigueur qu'aux postes sur site.
La compromission de Medibank via des identifiants volés a exposé 9,7 millions de clients, dont des données médicales. Les identifiants compromis appartenaient à un employé ou prestataire avec accès distant. Medibank a refusé de payer la rançon, et les données ont été publiées progressivement sur le darkweb. Ce cas illustre les conséquences d'accès distants insuffisamment protégés dans un secteur où les données sont particulièrement sensibles — et le dilemme stratégique du paiement de rançon.