Télétravail et cybersécurité : 7 angles morts du SI hors bureau
40 à 60 % des collaborateurs travaillent au moins 2 jours/semaine hors bureau. La majorité des incidents cyber commencent désormais sur un endpoint en télétravail. Voici les 7 angles morts les plus fréquents.
Télétravail et cybersécurité : 7 angles morts du SI hors bureau (et comment les fermer)
TL;DR — En 2026, 40 à 60 % des collaborateurs des ETI travaillent au moins 2 jours/semaine hors bureau. Les périmètres réseau classiques sont obsolètes : la majorité des incidents cyber commencent désormais sur un endpoint en télétravail. Voici les 7 angles morts les plus fréquents, et comment un SOC moderne les détecte.
L'illusion du « VPN suffit »
Beaucoup de DSI imaginent qu'avec un VPN d'entreprise et une MFA, le télétravail est sécurisé. C'est faux pour au moins 7 raisons opérationnelles.
Angle mort 1 — Le DNS hors-VPN
Quand un collaborateur travaille à domicile :
- Avant de connecter le VPN, il navigue 5 à 30 minutes en clair (lecture mails perso, news, café numérique).
- Les requêtes DNS partent vers le résolveur de la box (souvent compromis ou pollué).
- Un poste compromis pendant cette fenêtre conserve la compromission une fois le VPN connecté.
Détection : un EDR moderne (UniSOC inclus) journalise les requêtes DNS avant la connexion VPN, les corréle avec la threat intelligence (domaines DGA, C2 connus), et alerte si une connexion suspecte précède l'auth d'entreprise.
Angle mort 2 — Le partage Wi-Fi compromis
Cafés, hôtels, aéroports, coworkings, gares : un collaborateur en mobilité se connecte en moyenne à 6 à 12 réseaux Wi-Fi différents par mois. Risques :
- Evil twin : un attaquant publie un SSID identique à un Wi-Fi légitime (« Hilton-Guest ») et capte le trafic.
- Captive portal piégé : page d'auth qui injecte un cookie ou collecte des credentials.
- Pivoting : autres machines compromises sur le même Wi-Fi tentent d'attaquer la VOTRE.
Solution : VPN forcé en always-on dès le démarrage du poste (pas optionnel), DNS-over-HTTPS bloqué hors résolveur d'entreprise, EDR avec module détection ARP poisoning.
Angle mort 3 — Les terminaux personnels (BYOD)
Smartphone perso pour relever ses emails pro, ordinateur familial pour finir un dossier urgent, tablette pour consulter le CRM en réunion externe : 78 % des collaborateurs admettent l'avoir fait ces 12 derniers mois.
Sur un terminal personnel :
- Pas d'EDR.
- Mises à jour OS irrégulières.
- Présence d'applications inconnues du SI (jeux, apps VPN gratuites, extensions navigateur).
- Sauvegarde automatique vers iCloud ou Google Drive personnel = fuite de données silencieuse.
Solution : politique BYOD claire (interdiction OU MDM léger via Intune/Jamf), accès aux ressources sensibles uniquement depuis terminaux managés, détection Shadow IT côté SOC. C'est l'un des cas d'usage centraux de notre offre entreprises, où le mix BYOD + télétravail rend la visibilité endpoint critique.
Angle mort 4 — Le cloud personnel comme tunnel d'exfiltration
Un collaborateur qui veut emporter du travail le week-end : il copie un dossier vers son Dropbox perso, son Google Drive perso, ou se l'envoie sur Gmail. Sans intention malveillante.
Mais :
- Si son compte perso est compromis (ce qui arrive régulièrement via infostealers), les données pro fuitent.
- Aucune trace côté SI : l'upload va de l'endpoint vers Google.com, ce qui ressemble à du trafic légitime.
Détection moderne : module DLP réseau sur l'endpoint (UniSOC le fait avec Sylink-EDR) qui catalogue les domaines de file-sharing et bloque ou alerte sur les uploads vers cloud non-autorisé.
Angle mort 5 — La MFA contournable par phishing
La MFA classique (code 6 chiffres par SMS ou TOTP) est contournable via :
- Adversary-in-the-Middle (Evilginx, Modlishka) : le pirate proxy le formulaire de login, capture le code MFA en temps réel.
- MFA bombing : envoi de 50 push notifications en boucle, l'utilisateur finit par valider.
- SIM swap sur le SMS.
Les attaques AiTM ont bondi en 2024-2025 : +500 % dans certains rapports CERT.
Solution :
- MFA résistante au phishing : clés FIDO2 (YubiKey, Titan), passkeys.
- Number matching obligatoire sur les push (Microsoft Authenticator, Okta Verify).
- Détection côté SOC : login depuis géo inhabituelle + nouveau device + navigateur non vu = alerte automatique, même si la MFA est validée.
Angle mort 6 — Le poste personnel piraté qui contamine le pro
Scénario observé chez un client UniSOC en mars 2026 :
- Collaborateur installe un jeu cracké sur son PC perso → infostealer (RedLine).
- RedLine vole les cookies de session du navigateur perso → y compris ceux du webmail pro (un onglet ouvert).
- Attaquant utilise le cookie pour se connecter au webmail sans déclencher la MFA (session déjà valide).
- Lit les emails RH, vole une discussion sur un licenciement à venir, monte une attaque de spearphishing très crédible.
Ce scénario est invisible à un SOC qui ne surveille pas la threat intelligence credential exposure (Telegram, Hudson Rock).
UniSOC inclut nativement la surveillance des fuites Telegram + Hudson Rock + XposedOrNot dans son module Credential Exposure.
Angle mort 7 — Les déplacements à l'étranger (Chine, Russie, Émirats)
Un dirigeant qui voyage en Chine, en Russie, ou aux Émirats avec son ordinateur portable d'entreprise :
- Saisies douanières : contrôle obligatoire du contenu du laptop.
- Implants matériels : risque connu (modulateurs USB, keyloggers), documenté par les agences ANSSI et NSA.
- Réseaux télécoms : interception 4G/5G légalement organisée dans plusieurs pays.
Solution : politique « burner laptop » pour les destinations à risque (laptop dédié, vidé au retour, jamais reconnecté au SI ; cf. recommandations ANSSI).
Comment un SOC moderne couvre ces angles morts
Un SOC managé performant en 2026 doit pouvoir, sur chaque endpoint en télétravail :
- Journaliser l'activité réseau hors-VPN (avant/après connexion).
- Géolocaliser les connexions et alerter sur les écarts inhabituels.
- Surveiller les fuites de credentials sur Telegram et marchés noirs.
- Détecter les sessions valides volées (cookie hijacking) via comportement.
- Bloquer les uploads vers cloud personnel non autorisé (DLP réseau).
- Isoler automatiquement un endpoint à risque, même hors site d'entreprise.
UniSOC apporte ces 6 capacités en standard sur Sylink-EDR, intégrées à la plateforme SOC managé.
Plan d'action en 30 jours
Pour un RSSI qui veut fermer ces angles morts rapidement :
| Semaine | Action |
|---|---|
| S1 | Cartographier le parc télétravail réel (combien de jours/semaine, depuis où, quels terminaux) |
| S1-S2 | Activer EDR sur 100 % des endpoints télétravailleurs (pas 70 %) |
| S2 | Forcer VPN always-on, bloquer DoH externe, durcir DNS d'entreprise |
| S3 | Déployer FIDO2 sur les utilisateurs à risque (admin, finance, RH, codir) |
| S3 | Ajouter la surveillance Telegram credential exposure (différenciateur UniSOC) |
| S4 | Sensibiliser les collaborateurs : cours de 30 min + simulation de phishing AiTM |
| S4 | Mettre en place le SOC managé 24/7 si pas déjà en place |
Conclusion
Le télétravail n'est pas un risque cyber « en plus » : c'est le risque dominant en 2026. Les périmètres réseau ne servent plus à grand-chose ; il faut surveiller chaque endpoint comme s'il était exposé directement à internet — parce qu'il l'est en télétravail.
Un SOC qui ne couvre pas ces 7 angles morts est en retard d'au moins 5 ans. Évaluez votre prestataire actuel sur ces 7 points avant de renouveler.
Évaluez gratuitement votre exposition télétravail : Testez le scan des identifiants compromis sur votre domaine → — résultat en 30 secondes, sans inscription.