Le télétravail et la bascule massive vers le cloud ont profondément redéssiné le périmètre de sécurité des organisations. Un collaborateur qui se connecte depuis son domicile à des applications hébergées dans le cloud sort, de fait, du périmètre réseau traditionnel que la cybersécurité de l’entreprise a longtemps eu pour mission de protéger. En 2026, les attaquants l’ont bien compris : ils ciblent en priorité le VPN d’accès distant, le Wi-Fi personnel non maîtrisé et les usages cloud parallèles au système d’information officiel, plutôt que de chercher à percer un pare-feu périmétrique de mieux en mieux défendu.
Ces trois vecteurs partagent un point commun : ils reposent sur des identifiants et des sessions, rarement sur une faille logicielle spectaculaire. Une attaque réussie via le télétravail ou un usage cloud mal maîtrisé permet le plus souvent à un attaquant d’accéder aux données de l’entreprise en se faisant passer pour un collaborateur légitime, sans jamais déclencher d’alerte technique visible. Pour un RSSI, comprendre ces vecteurs n’est pas une option : c’est une condition de la cybersécurité de toute organisation dont les collaborateurs travaillent à distance.
Cet article détaille comment le VPN, le Wi-Fi personnel et le Shadow IT sont concrètement exploités, comment se déroule une attaque combinant ces vecteurs, et les recommandations que l’équipe Piirates met en œuvre lors de ses missions de test d’intrusion pour sécuriser durablement vos accès distants et vos usages cloud.
Le télétravail a déplacé le périmètre de sécurité, pas supprimé le risque
Pendant longtemps, la sécurité d’un système d’information reposait sur une hypothèse simple : ce qui est à l’intérieur du réseau est globalement de confiance, ce qui est à l’extérieur ne l’est pas. Le télétravail généralisé et la migration vers des applications SaaS ont rendu cette hypothèse obsolète. Un collaborateur en télétravail accède directement, depuis son domicile, à des ressources qui autrefois n’étaient joignables que depuis le réseau interne.
Pour l’attaquant, cette évolution est une opportunité. Il n’a plus besoin de contourner un pare-feu périmétrique soigneusement configuré : il lui suffit de compromettre un point d’accès distant, qu’il s’agisse d’un VPN d’entreprise, d’un poste personnel utilisé en BYOD, ou d’un compte cloud mal protégé. C’est un changement de philosophie d’attaque, et c’est également la raison pour laquelle les référentiels comme le MITRE ATT&CK consacrent des techniques entières aux services distants externes (T1133, External Remote Services) et aux relations de confiance entre organisations (T1199, Trusted Relationship).
Le VPN d’accès distant, cible privilégiée des attaquants
Le VPN d’entreprise reste, pour beaucoup d’organisations, le principal point d’entrée légitime vers le système d’information depuis l’extérieur. C’est précisément ce qui en fait une cible de choix.
Exploitation de vulnérabilités sur les passerelles VPN. Les équipements VPN d’entreprise (Fortinet, Ivanti, Pulse Secure, Citrix, pour ne citer que les fournisseurs les plus régulièrement concernés) ont fait l’objet ces dernières années de vulnérabilités critiques exploitées activement, souvent avant même la publication d’un correctif. Une passerelle VPN exposée sur internet et non mise à jour constitue un point d’entrée direct dans le réseau interne, sans qu’aucun identifiant ne soit nécessaire.
Vol d’identifiants VPN par phishing ou réutilisation de mots de passe. Quand la passerelle elle-même est à jour, l’attaquant se tourne vers l’utilisateur. Une campagne de phishing ciblant les identifiants VPN, ou la réutilisation d’un mot de passe déjà compromis lors d’une fuite de données tierce, suffit souvent à obtenir un accès légitime, sans déclencher la moindre alerte technique.
Absence ou contournement de l’authentification multifacteur. De nombreux accès VPN, en particulier ceux configurés il y a plusieurs années ou destinés à des comptes de service, ne sont toujours pas protégés par une authentification multifacteur. Quand elle est en place, des techniques de MFA fatigue (multiplication des demandes de validation jusqu’à obtenir une validation accidentelle) ou de vol de session permettent parfois de la contourner.
Une fois connecté via le VPN, l’attaquant se trouve dans une position équivalente à celle d’un collaborateur légitime en télétravail : il accède au réseau interne comme s’il s’y trouvait physiquement.
Toutes nos missions sont spécifiques
Parce que vos enjeux le sont !
Le test d'intrusion est avant tout une philosophie qui, couplé avec nos compétences techniques multiples peut s'adapter aux différentes cibles.
Le Wi-Fi personnel, un périmètre que l’entreprise ne maîtrise pas
Le réseau Wi-Fi domestique d’un collaborateur échappe presque totalement à la politique de sécurité de son employeur. Cette zone d’ombre est régulièrement exploitée.
Box internet non mise à jour. De nombreuses box grand public conservent leurs identifiants d’administration par défaut ou des firmwares obsolètes, ce qui en fait une cible accessible pour un attaquant cherchant à s’implanter durablement sur le réseau domestique d’un collaborateur ciblé.
Interception de trafic sur réseau non maîtrisé. Un Wi-Fi personnel mal sécurisé, ou un réseau public utilisé en déplacement, expose le trafic réseau à des techniques d’interception (attaque de l’intermédiaire, point d’accès frauduleux imitant un réseau légitime). Si les échanges ne sont pas correctement chiffrés de bout en bout, des informations d’authentification peuvent être capturées.
Objets connectés domestiques comme point de rebond. Un réseau domestique héberge aujourd’hui souvent des objets connectés peu sécurisés (caméras, imprimantes, assistants vocaux). Un attaquant ayant compromis l’un de ces équipements dispose d’un point d’observation durable sur le réseau local, y compris sur le trafic du poste professionnel qui y est connecté.
Ce vecteur illustre une réalité simple : la sécurité d’un collaborateur en télétravail dépend en partie d’un réseau que l’entreprise ne configure pas, ne surveille pas, et ne corrige pas.
Shadow IT et usages cloud non maîtrisés
Le troisième vecteur, souvent le plus difficile à cartographier, est celui des usages cloud qui se développent en dehors du périmètre validé par la DSI, communément appelé Shadow IT.
Multiplication des applications SaaS non référencées. Un collaborateur qui souscrit de sa propre initiative à un outil cloud pour gagner en productivité crée, sans en avoir toujours conscience, un nouveau point d’accès aux données de l’entreprise, potentiellement sans authentification renforcée ni politique de rétention des données.
Permissions OAuth excessives accordées à des applications tierces. La connexion en un clic via un compte Microsoft ou Google à une application tierce accorde fréquemment des permissions bien plus larges que nécessaire. Un attaquant qui compromet cette application tierce, ou qui en publie une malveillante imitant un outil légitime, obtient un accès direct aux données cloud de la victime sans jamais toucher à son mot de passe.
Stockage cloud mal configuré. Des espaces de partage cloud configurés en accès trop large, ou des liens de partage considérés à tort comme confidentiels, exposent régulièrement des données sensibles à toute personne disposant du lien, sans qu’aucune authentification ne soit requise.
Vol de jetons de session (token theft). Plutôt que de voler un mot de passe, l’attaquant cible désormais directement les jetons de session qui maintiennent une connexion active à un service cloud. Un jeton dérobé permet de contourner l’authentification multifacteur, puisque la session est déjà considérée comme authentifiée par le service.
Le déroulement type d’une attaque combinant ces trois vecteurs
Ces vecteurs sont rarement exploités isolément. Une chaîne d’attaque typique observée en mission de pentest externe combine plusieurs d’entre eux :
Reconnaissance. L’attaquant identifie les outils cloud utilisés par l’organisation, ainsi que les collaborateurs en télétravail exposés sur les réseaux sociaux professionnels.
Point d’entrée initial. L’accès initial est obtenu via un e-mail de phishing ciblant les identifiants cloud ou VPN, ou via l’exploitation d’une vulnérabilité connue sur une passerelle d’accès distant non mise à jour.
Contournement de l’authentification multifacteur. Si une protection MFA est en place, l’attaquant tente un contournement par fatigue de validation, ou récupère directement un jeton de session valide.
Persistance dans l’environnement cloud. Une fois authentifié, l’attaquant crée une règle de redirection de messagerie discrète, ou accorde à une application tierce sous son contrôle des permissions durables, afin de conserver un accès même si le mot de passe est modifié.
Exploration et exfiltration. L’attaquant explore les espaces de stockage cloud accessibles, identifie les données à valeur commerciale ou stratégique, puis procède à leur exfiltration progressive pour limiter le risque de détection.
Méthodologie de détection en mission
Détecter ce type de compromission suppose de surveiller des signaux différents de ceux d’une intrusion réseau classique.
Analyse des journaux de connexion cloud. Les journaux d’authentification des principales suites cloud professionnelles permettent d’identifier des connexions depuis des localisations géographiques incohérentes avec l’activité habituelle d’un collaborateur, ou des connexions impossibles dans un délai donné entre deux localisations distantes.
Revue des règles de messagerie et des permissions applicatives. L’audit des règles de redirection ou de suppression automatique de messages, ainsi que la revue périodique des applications tierces autorisées via OAuth, permet d’identifier des mécanismes de persistance discrets.
Cartographie des usages cloud réels versus autorisés. Une solution de type CASB (Cloud Access Security Broker), ou à défaut un audit manuel du trafic sortant, permet de faire apparaître les applications cloud effectivement utilisées par les collaborateurs, souvent bien plus nombreuses que celles officiellement recensées par la DSI.
Analyse comportementale des accès VPN. Des connexions VPN à des horaires inhabituels, depuis des adresses IP associées à des fournisseurs d’hébergement plutôt qu’à des fournisseurs d’accès grand public, ou des volumes de données transférés anormalement élevés, constituent des signaux à corréler.
Nos pentesters intègrent systématiquement cette dimension lors des audits d’infrastructure externe et des campagnes de social engineering : au-delà de la faisabilité technique d’un accès initial, l’enjeu est d’évaluer la capacité réelle de l’organisation à détecter un usage anormal une fois cet accès obtenu.
Comment se protéger
1. Généraliser une authentification multifacteur résistante au phishing. Les méthodes basées sur des clés physiques ou des standards comme FIDO2 réduisent significativement le risque de contournement par rapport à une simple validation par notification.
2. Maintenir à jour les équipements d’accès distant. Les passerelles VPN doivent faire l’objet d’un suivi prioritaire des correctifs de sécurité, compte tenu de leur exposition directe sur internet.
3. Adopter une architecture de type Zero Trust. Plutôt que de faire confiance à un utilisateur une fois connecté au VPN, vérifier en continu l’identité, l’état de l’appareil et le contexte de chaque demande d’accès limite fortement la portée d’une compromission initiale.
4. Encadrer les usages cloud plutôt que de les interdire. Un catalogue d’applications cloud validées, accompagné d’un processus simple pour en proposer de nouvelles, réduit la tentation du Shadow IT sans freiner la productivité des équipes.
5. Revoir régulièrement les permissions applicatives OAuth. Un audit périodique des applications tierces connectées aux comptes professionnels permet de révoquer les accès devenus inutiles ou suspects.
6. Sensibiliser les collaborateurs à la sécurité de leur environnement domestique. Des recommandations simples (mise à jour de la box internet, changement des identifiants par défaut, séparation du réseau professionnel et personnel) réduisent l’exposition liée au télétravail.
Aucune de ces mesures ne suffit isolément. C’est la combinaison d’une gestion rigoureuse des identités, d’une visibilité réelle sur les usages cloud, et d’une hygiène de base sur les environnements distants qui permet de reprendre la main sur un périmètre de sécurité devenu, par nature, distribué.
Ce que cela signifie concrètement pour un RSSI
Une compromission liée au télétravail ou aux usages cloud ne se traduit presque jamais par un incident bruyant. Elle ressemble à une connexion normale, avec des identifiants normaux, depuis un endroit qui paraît plausible. C’est précisément ce qui en fait un risque prioritaire : la question n’est plus seulement de savoir si le périmètre résistera à une intrusion frontale, mais si l’organisation est capable de détecter un usage anormal d’un accès par ailleurs parfaitement légitime.
C’est pourquoi l’audit des accès distants et des usages cloud fait partie des contrôles systématiquement intégrés aux missions de test d’intrusion menées par Piirates sur les infrastructures externes, les environnements cloud et les campagnes de social engineering, quel que soit le secteur d’activité de l’organisation concernée.
L’approche Piirates face au risque télétravail et cloud
Chez Piirates, l’évaluation des accès distants et des usages cloud fait partie des réflexes systématiquement intégrés à chaque mission portant sur une infrastructure externe ou une architecture cloud. L’objectif n’est jamais de constater une faiblesse théorique, mais de démontrer concrètement, dans le contexte réel de l’organisation, la portée d’un accès VPN compromis ou d’un usage cloud non maîtrisé sur l’ensemble du système d’information.
Pour un RSSI, cette approche a un avantage direct : elle transforme une question souvent perçue comme diffuse en une évaluation concrète du risque, assortie de recommandations directement actionnables par les équipes IT. C’est cette exigence de démonstration qui structure chaque mission de l’équipe Piirates portant sur le télétravail et la cybersécurité du cloud.
Cybersécurité du télétravail : comment les attaquants exploitent vos usages cloud
Ce que nous ne faisons pas
(Liste non exhaustive)
Piratage de boite mail
Piratage comptes réseaux sociaux
Espionnage
Exfiltration de sms
Récupération de Cryptomonnaies
Prise en main à distance de véhicules
Suivi GPS de véhicule
Envoyez nous un ping
Le télétravail déplace le point d’accès au système d’information hors du réseau maîtrisé par l’entreprise. Le poste de travail, la connexion Wi-Fi et les usages cloud du collaborateur échappent en partie au contrôle direct de la DSI, ce qui élargit la surface exploitable par un attaquant.
Le Shadow IT désigne l’ensemble des outils et services cloud utilisés par les collaborateurs sans validation ni supervision de la DSI. Ces usages cloud parallèles échappent aux politiques de sécurité et de sauvegarde de l’entreprise, ce qui en fait une zone d’exposition difficile à cartographier et à sécuriser.
Non, à lui seul. Un VPN sécurise le transport des données mais ne protège ni contre le vol d’identifiants, ni contre l’exploitation d’une vulnérabilité sur la passerelle elle-même. Il doit être combiné à une authentification multifacteur robuste et, idéalement, à une approche Zero Trust.
En combinant un catalogue d’applications validées, une revue régulière des permissions OAuth accordées aux applications tierces, une visibilité sur les usages cloud réels via un outil de type CASB, et une authentification multifacteur généralisée sur l’ensemble des accès distants.
Nos pentesters testent la robustesse des accès distants exposés (VPN, applications cloud), évaluent la possibilité de contourner l’authentification multifacteur en place, et vérifient la capacité de détection de l’organisation face à une connexion anormale, en conditions réelles.
Cybersécurité, télétravail, usage cloud : VPN, Wi-Fi personnel et Shadow IT sont devenus les principales portes d’entrée des attaquants en 2026.




