ITSkillsCenter
Cybersécurité

Sécuriser le télétravail : guide complet pour PME

9 min de lecture
Miniature - Sécuriser le télétravail : guide complet pour PME

Ce que vous saurez faire à la fin

  1. Déployer un VPN ou une architecture Zero Trust pour protéger les accès distants des télétravailleurs.
  2. Configurer le MFA (multi-facteur) sur Microsoft 365, Google Workspace et toutes les applications critiques.
  3. Installer un EDR (CrowdStrike, SentinelOne, Bitdefender GravityZone) sur les postes des collaborateurs en télétravail.
  4. Sécuriser les outils de visioconférence (Teams, Meet, Zoom) avec mots de passe, salles d’attente et chiffrement.
  5. Rédiger une politique BYOD claire et déployer un MDM (Microsoft Intune, Google Endpoint) pour les mobiles.

Durée : 8h. Pré-requis : Microsoft 365 Business Standard (10 500 FCFA/utilisateur/mois) ou Google Workspace Business (8 500 FCFA), VPN OpenVPN/WireGuard auto-hébergé (gratuit) ou Tailscale (3 000 FCFA/user/mois), EDR (à partir de 5 000 FCFA/poste/mois pour Bitdefender), connexion internet 4G+/Fibre chez les collaborateurs (15 000 à 35 000 FCFA/mois Orange/Free).

Étape 1 — Cartographier les risques du télétravail

Avant de déployer, identifiez vos zones d’exposition. Pour une PME sénégalaise typique : email pro accessible depuis le domicile, fichiers comptables OHADA partagés via WhatsApp ou Drive, accès au logiciel de facturation depuis un PC personnel, connexion Wi-Fi non sécurisée du collaborateur, smartphone perdu avec session Wave Pro ouverte.

Classez chaque risque sur une matrice probabilité x impact, traitez d’abord les rouges (haut/haut).

Étape 2 — Choisir entre VPN classique et Zero Trust

Critère VPN classique Zero Trust (ZTNA)
Principe Tunnel chiffré vers le réseau d’entreprise Vérification continue de chaque accès
Coût mensuel/user 0 à 1 500 FCFA (auto-hébergé) 3 000 à 8 000 FCFA (Cloudflare, Tailscale, Zscaler)
Complexité Moyenne Faible (SaaS) ou élevée (auto-géré)
Sécurité Bonne mais « tout ou rien » Granulaire par application
Recommandation PME < 20 users, budget serré > 20 users, équipe distribuée

Étape 3 — Déployer WireGuard (VPN moderne et léger)

WireGuard est plus rapide et plus simple qu’OpenVPN. Sur un VPS Ubuntu 22.04 :

# Installation
sudo apt update
sudo apt install wireguard

# Générer les clés du serveur
wg genkey | sudo tee /etc/wireguard/server_private.key | wg pubkey | sudo tee /etc/wireguard/server_public.key

# Configurer le serveur /etc/wireguard/wg0.conf
sudo nano /etc/wireguard/wg0.conf
[Interface]
Address = 10.66.66.1/24
ListenPort = 51820
PrivateKey = <contenu de server_private.key>
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
# Aïssatou (Comptabilité)
PublicKey = <clé publique client>
AllowedIPs = 10.66.66.2/32
# Activer le forwarding et démarrer
sudo sysctl -w net.ipv4.ip_forward=1
sudo systemctl enable --now wg-quick@wg0
sudo wg show

Étape 4 — Alternative SaaS : Tailscale

Pour éviter la complexité, Tailscale crée un réseau maillé sécurisé en quelques minutes. Plan gratuit jusqu’à 3 utilisateurs, 3 000 FCFA/user au-delà.

# Sur chaque poste (Linux)
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

# Sur Windows : télécharger le MSI sur tailscale.com
# Sur macOS : App Store
# Sur Android/iOS : Play Store / App Store

# Vérifier les pairs connectés
tailscale status

Dans la console admin, activez MagicDNS, HTTPS Certificates, et configurez les ACL pour limiter qui accède à quoi.

Étape 5 — Activer le MFA partout

Le MFA bloque 99 % des compromissions de compte selon Microsoft. Activez-le sur tous les services :

# Microsoft 365 - Activer MFA via Conditional Access
# Centre d'admin Entra > Protection > Conditional Access > Nouvelle stratégie
# - Affecté à : Tous les utilisateurs
# - Applications cloud : Toutes
# - Conditions : Localisations sauf "Bureau Dakar"
# - Octroyer l'accès : Exiger l'authentification multifacteur

# En PowerShell pour les power users
Connect-MsolService
Get-MsolUser -All | Set-MsolUser -StrongAuthenticationRequirements `
    @(@{RelyingParty="*"; State="Enabled"})

Pour Google Workspace : Console admin > Sécurité > Authentification > Validation en deux étapes > Activer pour tous, méthode privilégiée Google Authenticator ou clé physique YubiKey (15 000 FCFA).

Étape 6 — Imposer un gestionnaire de mots de passe

Bitwarden (gratuit ou 1 200 FCFA/user/mois en Business) ou 1Password (4 500 FCFA/user/mois). Déployez en masse via une politique RH : tous les nouveaux mots de passe doivent être générés via le gestionnaire, taille minimum 16 caractères.

# Déploiement Bitwarden self-hosted (Docker)
mkdir bitwarden && cd bitwarden
curl -Lso bitwarden.sh https://func.bitwarden.com/api/dl/?app=self-host&platform=linux
chmod +x bitwarden.sh
./bitwarden.sh install
./bitwarden.sh start

# Accès via https://votre-domaine.sn

Étape 7 — Déployer un EDR sur tous les postes

Un antivirus classique ne suffit plus. Un EDR (Endpoint Detection & Response) détecte les comportements suspects et permet l’investigation à distance. Pour les PME, Bitdefender GravityZone Business Security (5 000 FCFA/poste/mois) offre un bon rapport qualité-prix.

# Installation Bitdefender sur Windows
# Télécharger l'installeur depuis la console GravityZone
# Lancer en silent install
setup_downloader.exe /SUPPRESSREBOOT /S

# Vérification du statut
"C:\Program Files\Bitdefender\Endpoint Security\product.console.exe" /get-status

# Sur Linux (Ubuntu/Debian)
wget -O bitdefender.deb https://download.bitdefender.com/SMB/...
sudo dpkg -i bitdefender.deb
sudo systemctl status bdservicehost

Configurez la console : politique de scan quotidien, blocage USB en lecture seule, isolation automatique sur détection de ransomware, alertes par email vers le RSSI.

Étape 8 — Sécuriser Microsoft Teams / Google Meet / Zoom

Pour Microsoft Teams via le centre d’admin :

  • Réunions > Stratégies de réunion > Global : exiger une salle d’attente, désactiver la participation anonyme, activer le chiffrement E2E pour les réunions sensibles.
  • Politique d’enregistrement : enregistrement uniquement par les organisateurs, conservation 90 jours.

Pour Zoom Pro (12 500 FCFA/user/mois) :

Paramètres > Réunion > Sécurité :
- Exiger un mot de passe pour toutes les réunions
- Activer la salle d'attente
- Verrouiller la réunion une fois tous arrivés
- Chiffrement E2E activé (désactive enregistrement cloud)
- Désactiver le partage d'écran pour les participants par défaut
- Désactiver l'accès aux fichiers via le chat

Étape 9 — Politique BYOD (Bring Your Own Device)

Si vos collaborateurs utilisent leur smartphone personnel pour le pro, formalisez les règles dans un document signé :

Règle Obligation
Verrouillage écran PIN 6 chiffres ou biométrie obligatoire
Chiffrement appareil Activé (par défaut iOS, à vérifier Android)
OS à jour Mises à jour sous 7 jours après publication
Apps pro autorisées Liste fournie (Outlook, Teams, OneDrive, Wave Pro)
Wi-Fi public Interdit sans VPN actif
Perte/vol Signalement RSSI sous 1h, effacement à distance autorisé
Départ entreprise Effacement du conteneur pro obligatoire

Étape 10 — Déployer un MDM (Microsoft Intune)

Inclus dans Microsoft 365 Business Premium (17 500 FCFA/user/mois). Permet d’imposer les règles BYOD techniquement.

Centre d'admin Intune > Appareils > Stratégies de conformité :
1. Créer une politique iOS/iPadOS
   - Code requis : 6 chiffres minimum
   - Verrouillage après 5 min d'inactivité
   - Bloquer jailbreak
   - Système iOS 16+ uniquement
2. Créer une politique Android (Android Enterprise)
   - Conteneur de travail séparé
   - Bloquer captures d'écran dans apps pro
   - Effacement sélectif possible
3. Conditional Access > Bloquer accès aux ressources
   pour appareils non conformes

Alternative gratuite pour Google Workspace : Console admin > Appareils > Mobile et points de terminaison > Activer la gestion avancée.

Étape 11 — Sécuriser le partage de fichiers

Bannissez les pièces jointes WhatsApp pour les documents pros. Imposez OneDrive/Google Drive avec :

  • Liens partagés expirant à 30 jours maximum.
  • Mots de passe sur les liens vers documents sensibles (contrats, comptabilité OHADA).
  • Désactivation du partage externe par défaut, activation au cas par cas.
  • DLP (Data Loss Prevention) activé pour bloquer l’envoi externe de fichiers contenant « RIB », « IBAN », « CNI ».
Microsoft 365 - Politique DLP exemple :
Centre de conformité > Prévention contre la perte de données > Créer
- Modèle : "Données financières Sénégal"
- Détecter : numéro CNI sénégalais, IBAN, numéro Wave
- Action : bloquer l'envoi externe + notification utilisateur
- Exception : groupe "Direction"

Étape 12 — Former les équipes au télétravail sécurisé

Module e-learning de 45 min couvrant : choix d’un poste de travail isolé à la maison, ne jamais laisser un appareil pro sans surveillance, ne pas connecter de clé USB inconnue, signaler immédiatement toute anomalie. Quiz à 16/20 minimum pour valider.

Distribuez un kit physique : adhésif cache-webcam (500 FCFA), filtre de confidentialité écran (8 000 FCFA pour 14″), verrou Kensington (12 000 FCFA pour le café-coworking).

Étape 13 — Mettre en place une procédure incident

Un télétravailleur qui suspecte une compromission doit savoir quoi faire en moins de 5 minutes :

Procédure "J'ai un doute" :
1. Déconnecter le câble réseau / désactiver Wi-Fi
2. Ne PAS éteindre le PC (perte des preuves)
3. Appeler le numéro RSSI : +221 77 XXX XX XX
4. Envoyer une photo de l'écran si possible (depuis téléphone)
5. Attendre les instructions, ne rien manipuler

Le RSSI peut alors :
- Isoler le poste via la console EDR
- Désactiver les comptes Microsoft 365 / Google
- Effacer le conteneur Intune à distance
- Lancer une investigation forensique

Étape 14 — Audit trimestriel et amélioration continue

Tous les 3 mois, vérifiez : taux de postes conformes Intune (cible 100 %), nombre de comptes sans MFA (cible 0), incidents signalés et MTTR, mises à jour OS en retard. Présentez les résultats au CODIR avec un plan d’action correctif.

Erreurs classiques à éviter

  • VPN sans MFA : un mot de passe volé donne accès à tout le réseau interne.
  • Pas d’EDR sur les postes personnels utilisés en pro : ils deviennent la porte d’entrée.
  • Partager des fichiers via WhatsApp : aucun contrôle, aucune traçabilité, fuite garantie.
  • Réunions Zoom sans mot de passe ni salle d’attente : Zoombombing et écoute possible.
  • Pas de procédure de départ collaborateur : comptes oubliés actifs des mois après le départ.
  • Wi-Fi public sans VPN : interception triviale des credentials sur réseau ouvert.
  • BYOD sans politique écrite : impossible de réclamer un effacement en cas de vol.

Checklist Télétravail Sécurisé

✓ Cartographie des risques télétravail réalisée
✓ VPN WireGuard ou Tailscale déployé pour 100 % des télétravailleurs
✓ MFA activé sur Microsoft 365 / Google Workspace pour tous
✓ Gestionnaire de mots de passe (Bitwarden/1Password) imposé
✓ EDR installé sur 100 % des postes pro et personnels utilisés
✓ Politique de réunions (mot de passe, salle d'attente) appliquée
✓ Politique BYOD signée par chaque collaborateur concerné
✓ MDM (Intune ou Google Endpoint) déployé pour les mobiles
✓ DLP activé pour bloquer l'envoi externe de données sensibles
✓ Module e-learning télétravail complété par tous (16/20+)
✓ Kit sécurité physique distribué (cache-webcam, filtre)
✓ Procédure incident communiquée et testée
✓ Numéro RSSI accessible depuis chaque poste
✓ Audit trimestriel programmé avec KPI au CODIR
✓ Procédure offboarding documentée et appliquée
#audited
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires