Télétravail et cybersécurité : les risques oubliés des PME en 2026

Le télétravail a créé une nouvelle surface d’attaque

Avant 2020, la majorité des PME françaises fonctionnaient avec un périmètre de sécurité relativement simple : un réseau d’entreprise, des postes dans les bureaux, un accès internet filtré. La crise sanitaire a explosé ce modèle en quelques semaines — et les habitudes prises dans l’urgence n’ont pas toujours été corrigées depuis.

En 2026, le télétravail partiel est la norme dans la plupart des PME françaises. Avec lui, des risques que beaucoup de dirigeants n’ont pas encore pleinement mesurés.

Les risques spécifiques du télétravail

Les réseaux Wi-Fi domestiques

Le réseau Wi-Fi d’un employé en télétravail est rarement aussi sécurisé que le réseau d’entreprise. Routeurs anciens, mots de passe faibles, firmware non mis à jour, équipements partagés avec les enfants ou la famille — chaque point est une vulnérabilité potentielle. Si un attaquant compromet le réseau domestique d’un salarié, il peut intercepter les communications professionnelles.

Le BYOD non encadré

BYOD (Bring Your Own Device) désigne l’utilisation des appareils personnels pour le travail. Beaucoup de PME l’ont accepté par défaut lors du télétravail d’urgence — sans politique ni encadrement. Un ordinateur personnel qui accède aux données de l’entreprise sans chiffrement, sans antivirus à jour et avec des logiciels personnels non contrôlés est un vecteur d’attaque majeur.

Les accès distants mal sécurisés

Le bureau à distance (RDP) et les VPN configurés dans l’urgence ont ouvert des portes que les cybercriminels ont rapidement identifiées. Les scans automatiques de ports RDP ouverts sur internet sont constants — et les tentatives d’intrusion par force brute sur ces accès représentent une part significative des incidents en PME.

La vigilance réduite hors du bureau

L’environnement de bureau crée une forme naturelle de vigilance collective — on peut se retourner pour demander à un collègue si un email semble suspect. À domicile, cette friction naturelle n’existe plus. Les employés en télétravail sont statistiquement plus susceptibles de cliquer sur des liens de phishing.

Les mesures concrètes à mettre en place

• VPN obligatoire pour tous les accès aux ressources internes — avec double authentification sur le VPN lui-même. Remplacez les accès RDP directs par un VPN.
• Politique BYOD formalisée — définissez clairement quels appareils peuvent accéder aux données de l’entreprise, avec quelles conditions (antivirus, chiffrement, mises à jour).
• Chiffrement du disque dur obligatoire sur tous les appareils accédant aux données sensibles — BitLocker (Windows) ou FileVault (Mac) sont gratuits et intégrés.
• Gestionnaire de mots de passe d’entreprise — pour éviter que les employés utilisent les mêmes mots de passe personnels sur les outils professionnels.
• Formation spécifique télétravail — les risques du Wi-Fi public, la vigilance phishing renforcée, les bonnes pratiques de l’espace de travail à domicile.
• Inventaire des équipements connectés — savoir exactement quels appareils accèdent à vos données, même à distance.

L’impact sur votre assurance cyber

Les assureurs cyber ont intégré le télétravail dans leurs questionnaires de souscription. Ils demandent désormais si vous avez une politique BYOD, si les accès distants sont sécurisés par VPN et 2FA, et si vos employés en télétravail sont couverts par le contrat.

Point important : si un incident survient depuis le réseau personnel d’un employé sur un appareil non déclaré, certains contrats peuvent exclure la couverture. Vérifiez explicitement que votre contrat couvre les incidents liés au télétravail.

Pour comprendre les garanties à vérifier, consultez notre guide comment choisir son assurance cyber.