En mars 2024, une PME lyonnaise de 80 salariés découvre une exfiltration de données clients. Le vecteur d’entrée : un poste personnel connecté depuis un café, sans VPN, sans authentification à deux facteurs. L’employé télétravaillait trois jours par semaine, comme 22% des salariés français cette année-là (INSEE, premier semestre 2024). L’incident a paralysé les opérations pendant 11 jours. Ce scénario n’est pas isolé : 67% des entreprises françaises ont subi au moins une cyberattaque en 2024, contre 53% en 2023. La cause revient souvent au même constat, le travail hybride a étendu la surface d’exposition sans que les politiques de sécurité n’aient suivi. Pourtant, sécuriser les accès distants n’implique pas de ralentir les équipes. C’est une question de configuration, pas de restriction.
Pourquoi le travail hybride crée une surface d’attaque élargie
Au bureau, un salarié se connecte derrière un pare-feu géré, sur un réseau supervisé, depuis un poste contrôlé par la DSI. À domicile ou dans un espace de coworking, ces couches de protection tombent ensemble. Le réseau n’est plus maîtrisé, le poste est parfois personnel, la connexion non chiffrée.
Le phishing reste le vecteur dominant avec 60% des brèches en 2024, devant les failles sur appareils non patchés (47%, CESIN 2025). Ce qui concentre les risques, c’est la combinaison BYOD (Bring Your Own Device) et réseau domestique : deux variables hors du contrôle direct de la DSI. Sans politique formalisée sur les appareils personnels, l’entreprise n’a aucune visibilité sur où ses données transitent ni sur quels terminaux elles résident.
La gestion des identités ajoute une couche de complexité. Un compte compromis sur un service cloud accessible depuis n’importe où peut suffire à déclencher une attaque par rebond sur tout le système d’information. C’est le mouvement latéral : une entrée, puis une propagation interne silencieuse.
Le modèle Zero Trust : accès permanent, confiance zéro
Le Zero Trust part d’un principe simple : aucun utilisateur, aucun appareil, aucun réseau n’est fiable par défaut, même à l’intérieur du périmètre de l’entreprise. Chaque demande d’accès est vérifiée en continu selon l’identité, l’état du terminal et le comportement de la session.
Cette architecture colle au profil du salarié hybride. L’accès est accordé selon le contexte au moment de la connexion, pas selon un statut fixe. Un même employé peut avoir un accès complet depuis son poste professionnel sur le réseau d’entreprise et un accès restreint depuis son téléphone sur un réseau inconnu.
81% des organisations prévoient d’adopter une stratégie Zero Trust d’ici 2026, selon le rapport ThreatLabz 2025 de Zscaler. Le VPN traditionnel, qui crée un tunnel permanent sans granularité sur les droits, cède la place au ZTNA (Zero Trust Network Access). La différence est concrète : le ZTNA réduit la latence car il ouvre uniquement les flux nécessaires, là où le VPN achemine tout le trafic.
L’ANSSI a publié en juin 2025 ses fondamentaux sur le modèle Zero Trust, l’intégrant comme référence pour les organisations sensibles.
Authentification, endpoints et MFA : 3 piliers opérationnels
La sécurité du travail hybride repose sur 3 couches techniques déployables indépendamment de la taille de l’organisation :
- L’authentification multifacteur (MFA) bloque les accès compromis avant qu’ils atteignent les systèmes. Selon Microsoft, le MFA réduit de 99,9% le risque de compromission de compte. Son déploiement sur la messagerie, le VPN et les applications métier est l’action la plus rapide et la plus rentable.
- La gestion des endpoints (MDM/EDR) traite le point aveugle des postes non supervisés. Les solutions MDM imposent le chiffrement, forcent les mises à jour et permettent un effacement à distance si l’appareil est perdu. Les EDR comme CrowdStrike, SentinelOne ou Microsoft Defender for Endpoint détectent les comportements anormaux en temps réel.
- La politique BYOD formalisée définit contractuellement ce qui est autorisé sur un appareil personnel : applications permises, données accessibles. Sans ce document, la politique de sécurité reste sans prise sur les appareils non gérés.
Ces 3 piliers n’affectent pas le quotidien des équipes. Le MFA ajoute 5 secondes à une connexion. L’EDR tourne en arrière-plan. La politique BYOD relève de l’onboarding. L’impact sur la productivité est marginal quand la mise en œuvre est correcte.
Plateformes collaboratives sécurisées : la question de la souveraineté
Les outils collaboratifs sont devenus l’interface principale du travail hybride : partage de fichiers, messagerie, visioconférence. Ils concentrent aussi les données les plus sensibles, des contrats aux échanges RH. Le choix de la plateforme a donc une dimension sécuritaire directe, pas seulement fonctionnelle.
Depuis 2025, la souveraineté numérique s’impose comme critère de sélection dans les appels d’offres publics et pour les entreprises soumises à NIS2. Les outils hébergés hors de l’Union européenne exposent les données à des législations extraterritoriales : le Cloud Act américain permet aux autorités américaines de requérir l’accès aux données stockées par des entreprises américaines, même en Europe.
Pour les données sensibles, intégrer une plateforme collaborative Oodrive Work dans l’environnement hybride répond à ces exigences de souveraineté tout en couvrant les usages courants de partage et de coédition. Les certifications (ISO 27001, qualification ANSSI) sont des marqueurs de sélection concrets, au-delà des arguments commerciaux.
Le critère fonctionnel compte autant. Une plateforme sécurisée mais inutilisable pousse les équipes vers des alternatives grand public non maîtrisées. Le shadow IT amplifie exactement le risque qu’on cherche à contenir.
Formation et culture de sécurité : le facteur humain
60% des brèches en 2025 impliquent une erreur humaine ou une manipulation sociale. Un salarié qui clique sur un lien de phishing contourne tous les dispositifs techniques en amont. La formation n’est pas un complément à la sécurité technique, c’est une composante à part entière.
Les programmes de sensibilisation qui fonctionnent combinent 3 éléments : des simulations de phishing régulières (pas un seul module annuel), des rappels contextuels au moment de l’action risquée et une culture du signalement sans sanction. Un salarié qui reconnaît avoir cliqué sur un lien douteux doit pouvoir le déclarer sans craindre de conséquences, c’est ce qui permet de contenir l’incident rapidement.
Le rapport Owl Labs 2025 note une hausse du stress chez 31% des salariés hybrides. Un dispositif sécuritaire perçu comme surveillance accentue cette tension. Expliquer pourquoi les mesures existent, pas seulement imposer leur existence, réduit la résistance interne.
Déployer la sécurité hybride sans bloquer les équipes
La progression par étapes réduit la friction. Commencer par le MFA et le chiffrement des postes, qui ont le rapport impact/contrainte le plus favorable, avant d’aborder la migration vers une architecture Zero Trust plus structurante.
Un audit des accès existants révèle en général des comptes dormants, des droits excessifs jamais révoqués après un projet et des applications cloud hors inventaire. Ce travail préalable réduit la surface d’attaque sans aucun outil supplémentaire.
La directive NIS2, dont la transposition en droit français est en cours depuis fin 2024, impose des obligations de gestion des risques et de reporting aux organisations des secteurs essentiels. Pour les entreprises concernées, la conformité offre un cadre de départ structuré.
Recensez les comptes disposant d’un accès VPN, activez le MFA sur la messagerie professionnelle cette semaine et identifiez les 3 outils collaboratifs utilisés hors du périmètre IT contrôlé.
