Accès distant et télétravail : les 3 erreurs de configuration qui exposent votre organisation
Votre accès distant fonctionne. Vos collaborateurs télétravaillent. Et quelque part dans cette configuration mise en place rapidement, une porte est restée ouverte depuis 2020.
Chez Computis, nous réalisons chaque semaine des audits de sécurité pour des PME romandes, des communes et des institutions publiques. Et depuis 2022, nous trouvons
systématiquement le même angle mort dans leurs infrastructures : les accès distants. Mis en place rapidement lors de la période COVID, souvent par un prestataire qui n'est plus là, configurés avec les outils disponibles à l'époque — et jamais audités depuis.
En 2025, le protocole RDP (Bureau à distance Windows) est impliqué dans 54% des incidents de ransomware dans les PME européennes. Le VPN sans MFA reste le vecteur d'attaque numéro un pour les intrusions sur les réseaux d'entreprise en Suisse romande. Ces deux vulnérabilités coexistent dans la majorité des organisations que nous auditons.
Le problème : ce qui a été fait vite en 2020 n'a pas été revu depuis
Le télétravail généralisé de 2020 a forcé des milliers de PME à déployer des accès distants en quelques jours. VPN, Bureau à distance Windows (RDP), solutions de bureau virtuel — tout a été mis en place dans l'urgence, avec les ressources disponibles, sans le recul nécessaire pour en évaluer les implications de sécurité.
La configuration de 2020 n'est plus une solution d'urgence temporaire. Elle est devenue votre surface d'attaque permanente.
Ce qu'on observe sur le terrain
Dans une PME de services financiers de 22 collaborateurs, nous avons identifié lors d'un audit que le port RDP (3389) était directement exposé sur Internet depuis 4 ans. Aucun MFA. Le compte administrateur utilisé pour les connexions distantes avait le même mot de passe depuis 2019. Ce compte avait tenté de se connecter depuis 14 pays différents au cours des 30 derniers jours — sans qu'aucune alerte ne soit jamais remontée.
Dans une commune vaudoise de 5'000 habitants, le VPN déployé en 2020 ne disposait d'aucune authentification à deux facteurs. Le certificat SSL du VPN avait expiré depuis 18 mois. Les logs de connexion n'étaient pas conservés au-delà de 7 jours.
🇨🇭 Ce que ça veut dire pour votre organisation
La nLPD exige des mesures techniques appropriées pour protéger les données personnelles. Un accès distant sans MFA sur des systèmes traitant des données personnelles constitue une mesure inadéquate au sens de la loi. En cas d'incident via ce vecteur, l'absence de logs de connexion aggrave votre exposition — vous ne pouvez pas démontrer ce qui s'est passé ni ce qui a été accédé.
Les 3 erreurs de configuration à corriger en priorité
1. RDP exposé directement sur Internet sans VPN
Le Bureau à distance Windows (RDP) ne doit jamais être accessible directement depuis Internet. C'est l'erreur la plus courante et la plus dangereuse que nous trouvons. Un port 3389 exposé est scanné en permanence par des outils automatisés qui testent des millions de combinaisons d'identifiants par heure. La correction est simple : RDP ne doit être accessible qu'après connexion VPN authentifiée. Pas de compromis.
2. VPN sans MFA — un identifiant suffit pour entrer
Un VPN sans authentification à deux facteurs offre une protection illusoire. Un identifiant compromis dans une fuite de données externe — LinkedIn, un forum, un service tiers — suffit pour accéder à l'intégralité de votre réseau interne. Le MFA sur le VPN est la mesure de sécurité au meilleur ratio coût/protection qui existe. Elle prend une demi-journée à déployer et réduit le risque d'intrusion via ce vecteur de 99%.
3. Absence de politique de session et de journalisation
Pas de déconnexion automatique après inactivité. Pas de limitation des horaires d'accès. Pas de logs conservés suffisamment longtemps. Ces trois absences transforment un accès distant en porte ouverte permanente. Et en cas d'incident, l'absence de journalisation vous prive de tout moyen de comprendre ce qui s'est passé — et de le démontrer aux autorités ou à votre assureur.
L'approche Computis
La sécurisation des accès distants n'est pas un projet complexe. C'est un projet de quelques jours, sur une infrastructure que vous avez déjà, avec des mesures dont l'impact est immédiat et mesurable.
Chez Computis, notre approche pour les PME et communes romandes fonctionne en trois temps.
D'abord, un audit préliminaire : cartographie complète des accès distants actifs, test d'exposition des ports, analyse de la configuration VPN et RDP, vérification des politiques MFA en place, revue des logs existants.
Ensuite, la mise en conformité : fermeture des ports exposés, déploiement MFA sur tous les accès distants critiques, configuration des politiques de session (timeout, restriction horaire, restriction géographique si pertinent), mise en place de la journalisation.
Enfin, le suivi : alerte sur les connexions anormales, revue trimestrielle des accès actifs, procédure de révocation immédiate en cas de départ collaborateur.
Ce que ça donne concrètement pour votre organisation :
Passez à l'action
Votre accès distant a-t-il été audité depuis sa mise en place ?
Chez Computis, nous réalisons un audit préliminaire de vos accès distants pour les PME et communes romandes sans équipe IT dédiée. Exposition des ports, configuration VPN, MFA, journalisation — rapport documenté, recommandations priorisées par risque réel.
👤 Cybersécurité, cloud ou réseau — chez Computis, vous avez un interlocuteur unique qui maîtrise les trois domaines. Pas de transfert de dossier, pas de prestataire tiers.
Ce qu'il faut retenir
L'accès distant que vous avez mis en place en 2020 pour traverser une crise est devenu votre infrastructure permanente. Les attaquants le savent. La bonne nouvelle : trois corrections ciblées — fermer le RDP, activer le MFA, journaliser — réduisent le risque d'intrusion via ce vecteur de façon spectaculaire. C'est précisément ce que nous faisons.
FAQ
Notre VPN fonctionne bien depuis 4 ans — pourquoi s'en préoccuper maintenant ?
Un VPN qui "fonctionne bien" et un VPN qui est sécurisé sont deux choses distinctes. Un VPN sans MFA fonctionne parfaitement — et reste une porte ouverte pour quiconque dispose d'un identifiant compromis. La question n'est pas si votre VPN fonctionne, mais si quelqu'un d'autre que vos collaborateurs peut l'utiliser.
Le MFA, c'est compliqué à déployer pour une PME sans IT ?
Non. Pour une PME de 10 à 100 collaborateurs, le déploiement MFA sur un VPN prend une demi-journée. Les solutions modernes (Microsoft Authenticator,
Duo, etc.) sont transparentes pour l'utilisateur — une notification push sur le smartphone, acceptée en 3 secondes. La friction est réelle les premiers jours,
puis elle disparaît.
La nLPD nous oblige-t-elle à sécuriser nos accès distants ?
La nLPD exige des mesures techniques appropriées pour protéger les données personnelles. Un accès distant sans MFA sur des systèmes traitant des données
personnelles est explicitement considéré comme une mesure inadéquate. En cas d'intrusion via ce vecteur, l'absence de protection appropriée aggrave
significativement votre exposition légale.
Nous n'avons pas d'équipe IT interne — Computis peut-il gérer tout cela à notre place ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d'une même équipe — vous avez un interlocuteur unique qui assure le déploiement, la configuration, la formation et le suivi.
Comment fonctionne l'audit préliminaire Computis sur ce sujet ?
L'audit préliminaire est une prestation payante qui produit un rapport documenté : exposition des ports, analyse VPN et RDP, état du MFA, revue des logs, recommandations priorisées. Son coût est intégralement déduit de la prestation si vous choisissez de travailler avec nous par la suite.
Abonnez-vous — chaque mardi, un éclairage concret sur l’IT, le WiFi et la cybersécurité pour les PME et institutions suisses.