En télétravail, la surface d’attaque est structurellement plus large qu’au bureau. Tu te connectes depuis ton réseau domestique un réseau que ton service IT ne contrôle pas, parfois depuis un coworking ou un Wi-Fi public, sur des appareils qui échappent souvent à toute politique de sécurité d’entreprise. Les identifiants compromis restent la première porte d’entrée dans les incidents de sécurité remote.
La plupart des conseils de sécurité s’arrêtent pourtant à « installe un gestionnaire de mots de passe ». C’est la base, absolument nécessaire. Et c’est loin d’être suffisant en 2026.
Le gestionnaire : la fondation, pas la protection complète
Un gestionnaire de mots de passe fait trois choses essentielles. Il génère des mots de passe uniques et complexes pour chaque service. Il les stocke sous forme chiffrée. Il les remplit automatiquement au bon endroit.
Les options sérieuses disponibles en 2026 ?
- Bitwarden reste la référence open source, régulièrement auditée par des tiers indépendants, avec une version gratuite qui ne fait pas semblant d’être complète.
- 1Password mise sur une ergonomie supérieure et des fonctionnalités avancées pour environ 3-5 € par mois.
- Proton Pass s’impose comme le choix logique si tu es déjà dans l’écosystème Proton (mail, VPN) et que tu veux consolider ta sécurité sous un même acteur suisse.
- Dashlane, lui, joue la carte de l’interface accessible pour les utilisateurs moins techniques.
Toutes ces solutions sont fiables. Le critère de sélection le plus important n’est pas technique, au fond : c’est l’interface qui t’incitera à l’utiliser systématiquement plutôt qu’à tricher en tapant un mot de passe simple « juste pour ce service-là »
Là où le gestionnaire atteint ses limites : si quelqu’un accède au gestionnaire lui-même master password compromis, appareil volé sans écran de verrouillage, tous tes accès tombent d’un coup. Et si tu te fais phisher sur un site qui imite parfaitement l’interface de ton outil de travail, tu livres ton mot de passe directement à l’attaquant sans t’en rendre compte. Il faut une deuxième couche.
Le MFA : toutes les méthodes ne se valent pas, et la différence compte
Le MFA ( authentification à plusieurs facteurs) ajoute une barrière supplémentaire : même si ton mot de passe est compromis, l’accès nécessite une deuxième preuve d’identité. Mais toutes les méthodes MFA ne se valent pas, et choisir la mauvaise peut donner un faux sentiment de sécurité.
| Méthode | Niveau de sécurité | Résistance au phishing | Facilité d’usage |
|---|---|---|---|
| SMS (code par texto) | Faible | Non | Très facile |
| Application TOTP (Authy, Google Authenticator) | Bonne | Partielle | Facile |
| Application push (Duo, Microsoft Authenticator) | Bonne | Partielle | Facile |
| Clé physique (YubiKey, clé FIDO2) | Très élevée | Oui | Modérée |
| Passkey (clé cryptographique sur appareil) | Très élevée | Oui (natif) | Facile |
Le SMS est la méthode la plus répandue. C’est aussi la moins sûre. Les attaques par SIM swapping; un attaquant convainc ton opérateur de transférer ton numéro vers sa propre SIM permettent d’intercepter les codes reçus par texto. Ces attaques ont augmenté significativement en 2024-2025. Si un service te propose autre chose que le SMS, migre dès que possible.
Les applications TOTP génèrent des codes valables 30 secondes sur ton téléphone, sans connexion réseau. Nettement plus sûr que le SMS. La limite, c’est qu’un faux site de phishing peut te demander le code en temps réel et l’utiliser immédiatement avant qu’il expire d’où la mention « résistance partielle » dans le tableau.
Les clés physiques et les passkeys sont résistantes au phishing de manière native. La raison est cryptographique : elles sont liées à l’URL exacte du site. Sur un site d’imitation, elles refusent purement et simplement de fonctionner. Pas de marge d’erreur humaine.
Les passkeys en 2026 : ce qui change réellement pour le télétravailleur
Les passkeys sont la technologie d’authentification qui progresse le plus vite en déploiement réel. Le principe est élégant : au lieu d’un mot de passe que tu mémorises et qui peut être volé ou phishiné, une paire de clés cryptographiques. La clé privée reste sur ton appareil, protégée par ton empreinte digitale ou ton Face ID. La clé publique est stockée sur le serveur du service. Aucun secret ne transite sur le réseau au moment de la connexion.
Fin 2025, plus de 800 millions de comptes Google utilisent déjà des passkeys. Apple, Microsoft, GitHub, PayPal, Amazon, Docusign les supportent. En 2026, la liste s’est encore élargie. L’activation prend quelques minutes dans les paramètres de sécurité de chaque service pas besoin de compétences techniques.
Pour un télétravailleur, la résistance native au phishing est particulièrement précieuse. Le phishing ciblé, par exemple un attaquant crée un faux portail Teams ou un faux espace client visuellement identique à l’original cela reste l’une des menaces les plus efficaces contre les télétravailleurs qui gèrent leurs accès sans filet de sécurité IT d’entreprise. Avec une passkey, ce scénario ne fonctionne pas. Le mécanisme bloque l’authentification sur un domaine non reconnu, point final.
La migration pratique : active les passkeys sur tes services les plus critiques en priorité. Email principal, suite bureautique, outils financiers, gestionnaire de mots de passe lui-même. Pour les services qui ne les supportent pas encore, une application TOTP reste le deuxième meilleur choix.
Les angles morts que presque personne ne mentionne
Les comptes de récupération. Ton email de récupération et ton numéro de téléphone de secours sont souvent les seuls accès alternatifs à tes comptes principaux quand tu perds ton accès habituel. Si ces accès sont moins bien protégés que les comptes qu’ils sécurisent… ils deviennent le point d’entrée le plus facile pour un attaquant. Vérifie que ton email de récupération a lui-même un MFA fort. C’est une négligence que je vois partout, y compris chez des profils techniques.
Les accès dormants. Outils de clients terminés l’an dernier, espaces Slack de projets clôturés, drives partagés oubliés depuis six mois ces accès persistent et personne n’y pense. Ce sont des vecteurs d’attaque silencieux. Un audit annuel avec révocation systématique des accès inutilisés est un geste de sécurité sous-estimé. Quasi universel chez les télétravailleurs autonomes qui prennent le sujet au sérieux.
Le Wi-Fi public et de coworking. Un VPN de confiance reste la réponse correcte pour toute connexion sur un réseau que tu ne contrôles pas. Coworkings, hôtels, cafés, même les espaces qui se présentent comme professionnels peuvent avoir des configurations réseau qui exposent ton trafic. Activer le VPN sur ces réseaux doit devenir un automatisme, pas quelque chose que tu fais quand tu y penses.
