Effectuer une recherche sur le site

Votre devise

Sécuriser le télétravail : VPN, ZTNA et bonnes pratiques

12 mai 2026
Cybersécurité
Informatique & Technologies numériques
Sécuriser le télétravail : VPN, ZTNA et bonnes pratiques- Oo2

Le télétravail n’est plus un simple sujet d’organisation. Pour une DSI ou un RSSI, c’est d’abord un sujet d’accès, d’exposition du SI et de maîtrise du risque. La vraie question n’est plus “comment connecter les collaborateurs à distance ?”, mais “comment leur donner le bon accès, sans ouvrir trop large ?”. C’est pour cette raison que le VPN sécurisé reste utile, mais ne suffit plus à lui seul. Le cadre de référence évolue vers le Zero Trust et le Zero Trust Network Access. 

Qu’est-ce que la sécurité télétravail aujourd’hui ?

La sécurité télétravail regroupe les mesures qui protègent les accès, les terminaux, les applications et les données quand les collaborateurs travaillent hors des locaux de l’entreprise. Elle repose moins sur la confiance accordée au réseau que sur la vérification de l’identité, du terminal et du contexte d’accès.

Pendant longtemps, beaucoup d’entreprises ont sécurisé le télétravail en prolongeant le réseau interne vers l’extérieur. Cette logique montre aujourd’hui ses limites. Les usages sont distribués, les applications sont dans le cloud, les postes sont mobiles, et le réseau interne n’est plus un repère suffisant. Le NIST le rappelle clairement : en Zero Trust, aucune confiance implicite ne doit être accordée à un utilisateur ou à un appareil en raison de sa localisation réseau ou de sa propriété.

Pourquoi le VPN ne suffit plus ?

Un VPN sécurisé protège le transport des données, mais il ne garantit pas à lui seul un contrôle d’accès assez fin. Il chiffre les flux ; il ne limite pas toujours suffisamment ce qu’un utilisateur peut atteindre une fois connecté.

Le VPN reste une brique utile, surtout sur des réseaux peu fiables. L’ANSSI recommande d’ailleurs son usage lorsqu’un collaborateur n’a pas d’autre choix qu’un Wi Fi public, tout en évitant les opérations sensibles dans ce contexte.

Le problème apparaît quand le VPN devient le cœur du modèle d’accès. Dans ce cas, il peut ouvrir un périmètre plus large que nécessaire. Pour un RSSI, cela pose un risque évident : si un compte ou un terminal est compromis, l’attaquant peut parfois se déplacer latéralement plus facilement qu’il ne devrait.

En pratique, les limites du VPN seul sont simples :

  • il protège le canal, pas toujours la granularité de l’accès ;
  • il peut donner une visibilité excessive sur le réseau interne ;
  • il reste dépendant d’une hygiène de sécurité irréprochable ;
  • il ne remplace ni le MFA, ni le moindre privilège, ni le contrôle de posture du terminal.

La CISA (Cybersecurity and Infrastructure Security Agency) recommande donc de maintenir à jour les VPN, les équipements réseau et les postes utilisés à distance, et d’imposer le MFA sur toutes les connexions distantes.

Que change le Zero Trust dans la sécurité télétravail ?

Le Zero Trust change le point de départ : on ne fait plus confiance parce qu’un utilisateur est connecté “au bon réseau”. Chaque accès doit être vérifié avant d’être autorisé.

Ce n’est pas un simple changement de vocabulaire. C’est une autre manière de concevoir l’accès distant. On ne protège plus seulement un périmètre ; on protège des ressources, des applications, des données et des workflows. Pour la DSI, cela permet de mieux aligner la sécurité avec les usages cloud et SaaS. Pour le RSSI, cela réduit la confiance implicite et recentre les contrôles sur ce qui compte vraiment : l’identité, la posture du terminal, le niveau de risque et la sensibilité de la ressource demandée.

Pourquoi le Zero Trust Network Access prend-il autant d’importance ?

Le Zero Trust Network Access donne accès à une ressource précise, pas à tout un réseau. L’utilisateur accède à l’application dont il a besoin, selon son identité, son terminal et le contexte de sécurité.

C’est ce qui rend le ZTNA particulièrement pertinent en télétravail. Là où un VPN étend souvent le réseau de l’entreprise jusqu’au collaborateur, le ZTNA limite l’accès dès le départ. On réduit donc l’exposition, on améliore la traçabilité et on applique plus facilement le principe du moindre privilège.

Concrètement, le Zero Trust Network Access apporte :

  • un accès ciblé à une application ou un service ;
  • ne décision d’accès fondée sur le contexte ;
  • une meilleure segmentation logique ;
  • une réduction des mouvements latéraux en cas de compromission ;
  • une intégration plus naturelle avec l’IAM, l’EDR, le MDM et les politiques de conformité.

C’est aussi pour cela que la CISA place le Zero Trust dans une trajectoire de maturité, et non comme un simple remplacement produit pour produit.

Quelles bonnes pratiques faut-il prioriser ?

Les priorités sont assez stables : MFA, correctifs de sécurité, séparation des usages, moindre privilège, vigilance face au phishing et contrôle des terminaux. Ce sont les mesures qui améliorent le plus vite la sécurité télétravail.

1. Renforcer l’authentification

La première mesure utile reste l’authentification forte. La CISA recommande explicitement le MFA sur les connexions VPN et souligne l’intérêt des mécanismes résistants au phishing pour les services critiques.

2. Revenir aux bases d’hygiène de sécurité

L’ANSSI rappelle des fondamentaux très concrets, souvent plus efficaces qu’une surcouche technologique mal exploitée :

  • séparer strictement les usages personnels et professionnels ;
  • appliquer les mises à jour dès qu’elles sont disponibles ;
  • éviter les équipements non validés ;
  • utiliser des mots de passe robustes ;
  • activer la double authentification dès que possible. 

3. Mieux gouverner les droits

Le moindre privilège n’est pas une bonne intention, c’est une discipline. Un collaborateur, un administrateur ou un prestataire ne doit accéder qu’à ce qui est nécessaire à sa mission. C’est un point de convergence fort entre le NIST et la CISA, et l’un des leviers les plus efficaces pour limiter l’impact d’une compromission.

4. Traiter le facteur humain comme un vrai risque

Le télétravail reste vulnérable aux faux portails de connexion, au phishing et à l’ingénierie sociale. La sensibilisation continue, le signalement rapide des comportements suspects et la discipline sur les mots de passe restent essentiels. Là encore, la technique seule ne suffit pas.

VPN ou ZTNA : faut-il choisir ?

Pas forcément. Dans beaucoup d’organisations, la bonne approche consiste à garder un VPN sécurisé pour certains usages transitoires, tout en déployant le Zero Trust Network Access sur les applications critiques et les accès les plus sensibles.

En réalité, le vrai sujet n’est pas de choisir un sigle contre un autre. Le sujet est d’arbitrer le bon modèle d’accès. Une DSI ou un RSSI doit surtout se poser ces questions :

  • quel niveau de granularité voulons-nous sur les accès ?
  • quels signaux de contexte voulons-nous vérifier ?
  • quels terminaux doivent être considérés comme conformes ?
  • quelles applications doivent sortir du modèle VPN classique ?
  • quelle articulation entre IAM, MDM, EDR et contrôle d’accès ?

C’est cette réflexion qui fait passer une politique de télétravail d’un mode simplement fonctionnel à un mode réellement maîtrisé. 

Pourquoi se former avec CompTIA Security+ ?

Pour les équipes sécurité, infrastructure et support avancé, CompTIA Security+ reste une bonne base pour consolider les fondamentaux : contrôle d’accès, authentification, gestion du risque, posture de sécurité et bonnes pratiques opérationnelles.

Dans ce type de projet, la difficulté n’est pas seulement technique. Il faut aussi partager un langage commun entre équipes sécurité, infra, support et gouvernance. C’est précisément ce que peut apporter une certification généraliste solide comme CompTIA Security+ : un socle commun utile pour piloter la sécurité télétravail sans perdre de vue les fondamentaux.

Voir la formation CompTIA Security +

 

FAQ : questions fréquentes sécurité et télétravail

 

 

La sécurité télétravail, c’est quoi exactement ?

La sécurité télétravail désigne l’ensemble des mesures qui protègent les utilisateurs, les terminaux, les accès distants, les applications et les données quand le travail s’effectue hors site. Elle combine contrôle d’accès, authentification, sécurité des postes et sensibilisation.

Quelle différence entre VPN sécurisé et Zero Trust Network Access ?

Le VPN sécurisé chiffre les flux entre l’utilisateur et l’entreprise. Le Zero Trust Network Access ajoute un contrôle plus fin : il ouvre un accès ciblé à une ressource précise, selon l’identité, le terminal et le contexte de sécurité.

Le VPN est-il encore utile pour le télétravail ?

Oui. Il reste utile pour protéger les flux, surtout sur des réseaux peu fiables. Mais il doit être complété par du MFA, des correctifs réguliers, une gestion stricte des droits et une logique d’accès plus granulaire.

Pourquoi le Zero Trust est-il mieux adapté au télétravail ?

Parce qu’il part du principe qu’aucune connexion n’est fiable par défaut. Chaque accès doit être vérifié avant d’être accordé, ce qui correspond mieux à un environnement distribué, mobile et cloud.

Quelles bonnes pratiques faut-il déployer en priorité ?

Commencez par le MFA, les mises à jour, la séparation des usages personnels et professionnels, le moindre privilège, la protection contre le phishing et le contrôle de conformité des terminaux. Ce sont les mesures les plus rapidement efficaces.

Que doit arbitrer un RSSI ou une DSI sur ce sujet ?

Le bon niveau de granularité des accès, la posture des terminaux, l’authentification forte, la journalisation, l’intégration IAM/MDM/EDR et la trajectoire de migration entre VPN historique et approche ZTNA.