🔐 SwissForts
Accès distant et télétravail : les 3 erreurs de configuration qui exposent votre organisation
CT
Votre accès distant fonctionne. Vos collaborateurs télétravaillent. Et quelque part dans cette configuration mise en place rapidement, une porte est restée ouverte depuis 2020.
02/06/2026
10:10
Le problème : ce qui a été fait vite en 2020 n'a pas été revu depuis
Le télétravail généralisé de 2020 a forcé des milliers de PME à déployer des accès distants en quelques jours. VPN, Bureau à distance Windows (RDP), solutions de bureau virtuel — tout a été mis en place dans l'urgence, avec les ressources disponibles, sans le recul nécessaire pour en évaluer les implications de sécurité. Cinq ans plus tard, ces configurations sont toujours en place — mais le contexte a changé. Les attaquants ont eu cinq ans pour les analyser, les tester, en exploiter les failles. Les outils de scan automatisé repèrent en quelques secondes un port RDP exposé sur Internet. Les bases de données d'identifiants compromis ont été enrichies de milliards d'entrées supplémentaires. La configuration de 2020 n'est plus une solution d'urgence temporaire. Elle est devenue votre surface d'attaque permanente.
Ce qu'on observe dans les PME et communes romandes
Dans une PME de services financiers de 22 collaborateurs, nous avons identifié lors d'un audit que le port RDP était directement exposé sur Internet depuis 4 ans. Aucun MFA. Le compte administrateur utilisé pour les connexions distantes avait le même mot de passe depuis 2019. Ce compte avait tenté de se connecter depuis 14 pays différents au cours des 30 derniers jours — sans qu'aucune alerte ne soit jamais remontée. Dans une commune vaudoise de 5'000 habitants, le VPN déployé en 2020 ne disposait d'aucune authentification à deux facteurs. Le certificat SSL du VPN avait expiré depuis 18 mois. Les logs de connexion n'étaient pas conservés au-delà de 7 jours. La nLPD exige des mesures techniques appropriées pour protéger les données personnelles. Un accès distant sans MFA sur des systèmes traitant des données personnelles constitue une mesure inadéquate au sens de la loi. En cas d'incident via ce vecteur, l'absence de logs de connexion aggrave votre exposition — vous ne pouvez pas démontrer ce qui s'est passé ni ce qui a été accédé.
Les 3 erreurs de configuration à corriger en priorité
1. RDP exposé directement sur Internet sans VPN Le Bureau à distance Windows ne doit jamais être accessible directement depuis Internet. Un port 3389 exposé est scanné en permanence par des outils automatisés qui testent des millions de combinaisons d'identifiants par heure. La correction est simple : RDP ne doit être accessible qu'après connexion VPN authentifiée. Pas de compromis. 2. VPN sans MFA — un identifiant suffit pour entrer Un VPN sans authentification à deux facteurs offre une protection illusoire. Un identifiant compromis dans une fuite de données externe suffit pour accéder à l'intégralité de votre réseau interne. Le MFA sur le VPN est la mesure de sécurité au meilleur ratio coût/protection qui existe. Elle prend une demi-journée à déployer et réduit le risque d'intrusion via ce vecteur de 99%. 3. Absence de politique de session et de journalisation Pas de déconnexion automatique après inactivité. Pas de limitation des horaires d'accès. Pas de logs conservés suffisamment longtemps. Ces trois absences transforment un accès distant en porte ouverte permanente. En cas d'incident, l'absence de journalisation vous prive de tout moyen de comprendre ce qui s'est passé — et de le démontrer aux autorités ou à votre assureur.
L'approche Computis : sécuriser l'accès distant en trois étapes
La sécurisation des accès distants n'est pas un projet complexe. C'est un projet de quelques jours, sur une infrastructure que vous avez déjà, avec des mesures dont l'impact est immédiat et mesurable. Chez Computis, notre approche fonctionne en trois temps. D'abord, un audit préliminaire : cartographie complète des accès distants actifs, test d'exposition des ports, analyse de la configuration VPN et RDP, vérification des politiques MFA en place, revue des logs existants. Ensuite, la mise en conformité : fermeture des ports exposés, déploiement MFA sur tous les accès distants critiques, configuration des politiques de session (timeout, restriction horaire), mise en place de la journalisation. Enfin, le suivi : alerte sur les connexions anormales, revue trimestrielle des accès actifs, procédure de révocation immédiate en cas de départ collaborateur.
RDP exposé, VPN sans MFA, zéro journalisation — 54% des ransomwares passent par ces vecteurs. Les 3 corrections prioritaires pour les PME romandes.
FAQ
Notre VPN fonctionne bien depuis 4 ans — pourquoi s'en préoccuper maintenant ?
Un VPN qui "fonctionne bien" et un VPN qui est sécurisé sont deux choses distinctes. Un VPN sans MFA fonctionne parfaitement — et reste une porte ouverte pour quiconque dispose d'un identifiant compromis. La question n'est pas si votre VPN fonctionne, mais si quelqu'un d'autre que vos collaborateurs peut l'utiliser.
Le MFA, c'est compliqué à déployer pour une PME sans IT ?
Non. Pour une PME de 10 à 100 collaborateurs, le déploiement MFA sur un VPN prend une demi-journée. Les solutions modernes (Microsoft Authenticator, Duo) sont transparentes pour l'utilisateur — une notification push sur smartphone, acceptée en 3 secondes. La friction est réelle les premiers jours, puis elle disparaît.
La nLPD nous oblige-t-elle à sécuriser nos accès distants ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d'une même équipe — vous avez un interlocuteur unique qui assure le déploiement, la configuration, la formation et le suivi.
Nous n'avons pas d'équipe IT interne — Computis peut-il gérer tout cela à notre place ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d'une même équipe — vous avez un interlocuteur unique qui assure le déploiement, la configuration, la formation et le suivi.
Comment fonctionne l'audit préliminaire Computis sur ce sujet ?
L'audit préliminaire est une prestation payante qui produit un rapport documenté : exposition des ports, analyse VPN et RDP, état du MFA, revue des logs, recommandations priorisées. Son coût est intégralement déduit de la prestation si vous choisissez de travailler avec nous.
Sujets abordés
VPN
Télétravail
MFA
SwissForts
nLPD
PME Suisse
Votre accès distant a-t-il été audité depuis sa mise en place ?
Chez Computis, nous réalisons un audit préliminaire de vos accès distants pour les PME et communes romandes sans équipe IT dédiée. Exposition des ports, configuration VPN, MFA, journalisation — rapport documenté, recommandations priorisées par risque réel. Notre audit préliminaire est payant et sérieux. Son coût est intégralement déduit de la prestation si vous décidez de travailler avec nous. Cybersécurité, cloud ou réseau — un seul interlocuteur chez Computis.
