Politique Télétravail & BYOD : Modèle Word [A.6.7, A.8.1]

Contrôles techniques pour sécuriser le télétravail selon le contrôle A.6.7 ISO 27001:2022

Le contrôle A.6.7 de la norme ISO 27001:2022 liste les mesures de sécurité à envisager pour encadrer le travail à distance : sécurité physique du lieu de télétravail (bureau dédié ou isolé, écran non visible depuis l'extérieur, documents sensibles correctement rangés et sécurisés), sécurité du réseau utilisé pour la connexion (VPN obligatoire ou architecture Zero Trust Network Access), protection des équipements (chiffrement intégral du disque, solution MDM pour la gestion centralisée des appareils, EDR installé et actif), et sensibilisation des collaborateurs aux risques spécifiques liés au travail hors bureau.

Le VPN traditionnel (mode full tunnel, tout le trafic passe par le réseau d'entreprise) reste la solution la plus répandue mais présente des limitations significatives en termes de performance et de scalabilité lors des pics d'utilisation — comme en a témoigné la crise de 2020. Les architectures ZTNA (Zero Trust Network Access) — Zscaler Private Access, Cloudflare Access, Microsoft Entra Private Access — offrent une alternative plus granulaire et plus performante : chaque application est accessible indépendamment via des connecteurs dédiés, avec une vérification continue de la conformité de l'appareil et du contexte d'accès à chaque tentative de connexion. Cette approche est désormais recommandée pour les nouveaux déploiements d'infrastructure de télétravail.

Gestion du BYOD : encadrement juridique, contraintes techniques et exigences ISO 27001

Le BYOD (Bring Your Own Device) soulève des questions complexes dans le cadre d'une politique ISO 27001 : comment imposer des contrôles de sécurité sur un équipement appartenant au collaborateur sans violer sa vie privée ni créer un risque juridique pour l'organisation ? Les solutions MDM (Mobile Device Management) permettent une séparation technique entre profil personnel et profil professionnel via la containerisation (Android Enterprise Work Profile, Apple Managed Open In), mais leur déploiement sur des équipements personnels nécessite le consentement explicite et documenté des collaborateurs, ainsi qu'une politique claire sur les données accessibles par l'employeur dans chaque compartiment.

D'un point de vue juridique et contractuel, la politique BYOD doit être formalisée dans un avenant au contrat de travail ou une charte informatique acceptée formellement par chaque collaborateur concerné. Ce document doit préciser les conditions d'accès aux données professionnelles, les mesures de sécurité imposées sur l'appareil personnel (chiffrement, code PIN minimum, mise à jour obligatoire du système), et les procédures en cas de perte ou de vol de l'appareil. En cas de départ du collaborateur, la procédure d'effacement des données professionnelles sur l'appareil personnel — via la solution MDM — doit être définie et techniquement testée avant tout déploiement BYOD en production.

La politique de télétravail et BYOD (Bring Your Own Device) encadre l'utilisation des ressources informatiques en dehors des locaux de l'organisation — que ce soit depuis le domicile du collaborateur, un espace de coworking, ou depuis un équipement personnel. Le contrôle A.6.7 d'ISO/IEC 27001:2022 (Travail à distance) et le contrôle A.8.1 (User endpoint devices) imposent de définir et mettre en œuvre des mesures de sécurité spécifiques pour ces contextes. Depuis la généralisation du télétravail post-COVID-19, ces contrôles sont devenus particulièrement critiques : la surface d'attaque des organisations s'est considérablement étendue avec des milliers de points d'accès distants, souvent depuis des réseaux domestiques peu sécurisés, avec des équipements parfois partagés avec la famille. Ce modèle Word, développé par Ayi NEDJIMI, consultant cybersécurité Lead Implementer ISO 27001, couvre les trois situations de travail hors site : le télétravail régulier depuis le domicile (avec ou sans avenant au contrat de travail), le nomadisme (travail depuis des locations variables — trains, hôtels, aéroports, espaces de coworking), et le BYOD (utilisation d'équipements personnels pour accéder aux ressources professionnelles). La politique doit équilibrer la nécessité de sécurité avec le droit au respect de la vie privée des collaborateurs (RGPD, Code du travail) et le droit à la déconnexion (Loi Travail 2016, article L2242-17 du Code du travail). Elle s'articule avec la charte d'utilisation du SI, la politique de gestion des accès logiques, et la politique de mots de passe pour former un dispositif cohérent de sécurité du travail hors site.

Contexte réglementaire et normatif

ISO/IEC 27001:2022 — Contrôles A.6.7 et A.8.1

Le contrôle A.6.7 (Travail à distance) impose à l'organisation de mettre en œuvre des mesures de sécurité pour protéger les informations accessibles, traitées ou stockées lors du travail à distance. Cela couvre le chiffrement des communications, la protection des équipements, et les règles de comportement des télétravailleurs. Le contrôle A.8.1 (User endpoint devices) impose que les informations stockées, traitées ou accessibles depuis les équipements des utilisateurs finaux (postes de travail, laptops, tablettes, smartphones) soient protégées. Ces deux contrôles impliquent une politique formalisée qui définit les équipements autorisés, les mesures de sécurité techniques obligatoires, et les obligations comportementales des utilisateurs.

Code du travail — Télétravail et droit à la déconnexion

En France, le télétravail régulier et volontaire doit être encadré par un accord collectif ou une charte unilatérale de l'employeur (article L1222-9 du Code du travail). La politique de télétravail ISO 27001 doit être cohérente avec cet encadrement légal. Le droit à la déconnexion (article L2242-17 du Code du travail, issu de la Loi Travail du 8 août 2016) doit être mentionné dans la politique : les collaborateurs ne sont pas tenus d'être joignables en dehors de leurs heures habituelles de travail, et les outils numériques ne doivent pas être utilisés pendant les temps de repos.

RGPD — Surveillance des télétravailleurs

La surveillance des télétravailleurs (monitoring de l'activité sur les équipements à distance, enregistrement des connexions, capture d'écran, etc.) doit être proportionnée et respecter les droits des collaborateurs. En France, la CNIL a précisé que les outils de surveillance des télétravailleurs doivent être proportionnés, limités à l'activité professionnelle, et faire l'objet d'une information préalable des collaborateurs et d'une consultation du CSE. Toute mesure de surveillance de l'activité doit être déclarée dans le registre des traitements de données (RGPD Art.30) en qualité d'employeur.

Structure détaillée de la politique de télétravail et BYOD

Section 1 — Périmètre et définitions

Définition des situations couvertes (télétravail régulier, occasionnel, nomadisme, BYOD), les activités autorisées et celles qui ne peuvent être réalisées qu'en présentiel (manipulation de documents hautement confidentiels, accès à des systèmes critiques depuis des réseaux non sécurisés), et la définition du "lieu de télétravail autorisé" (domicile déclaré, espace de coworking agréé, etc.).

Section 2 — Équipements autorisés et mesures techniques obligatoires

Distinction entre trois scénarios : équipement professionnel fourni par l'organisation (laptop managé, configuration centralisée MDM), équipement personnel avec profil professionnel managé (BYOD avec MDM/MAM — Mobile Application Management), et équipement personnel non managé (accès limité via VDI/Desktop virtuel uniquement). Mesures techniques obligatoires selon le scénario : chiffrement du disque (BitLocker/FileVault), VPN systématique pour l'accès aux ressources internes, antivirus/EDR à jour, MFA pour tous les accès distants, désactivation de la caméra/micro sur les SI sensibles.

Section 3 — Obligations des télétravailleurs

Règles de comportement : utiliser uniquement le VPN fourni pour accéder aux ressources internes, ne pas laisser l'équipement professionnel accessible à des tiers (famille, colocataires), verrouiller systématiquement l'écran lors de toute absence, ne pas utiliser les équipements professionnels pour des usages personnels (sauf tolérance définie explicitement), ne pas stocker de données professionnelles sur des services cloud personnels (Dropbox personnel, Google Drive non managé), et signaler immédiatement tout incident (perte, vol, logiciel suspect).

Section 4 — Règles spécifiques au télétravail en espace public

Règles pour les situations de nomadisme (train, avion, café, hôtel) : usage systématique du filtre de confidentialité d'écran (filtre physique anti-regard), interdiction de passer des appels confidentiels dans des espaces publics, méfiance vis-à-vis des réseaux WiFi publics (VPN obligatoire, connexion via hotspot 4G/5G préférable), vigilance contre le shoulder surfing et le skimming des claviers, et interdiction de laisser des équipements ou supports sans surveillance (même dans une voiture fermée).

Tableau des contrôles — Checklist télétravail et BYOD ISO 27001

Guide d'utilisation étape par étape

1. Inventorier les situations de travail hors site dans l'organisation : identifiez qui travaille à distance (télétravailleurs réguliers, nomades, consultants distants), avec quels équipements (laptops professionnels, tablettes, smartphones, équipements personnels), et depuis quels types de lieux (domicile, espaces de coworking, sites clients, transports). Cet inventaire détermine l'étendue et la complexité de votre politique.
2. Définir la stratégie BYOD de l'organisation : trois postures possibles. BYOD interdit : seuls les équipements professionnels fournis et managés sont autorisés — politique la plus sécurisée mais coûteuse (achat/renouvellement des équipements) et contraignante. BYOD toléré sous conditions : les équipements personnels peuvent accéder aux ressources professionnelles uniquement via VDI/Desktop virtuel, sans stockage local de données professionnelles. BYOD managé (MAM) : les équipements personnels sont partiellement gérés via un profil professionnel MDM/MAM, avec séparation des données perso et pro. Chaque posture a des implications sécurité, légales (consentement utilisateur pour le MDM), et opérationnelles différentes.
3. Déployer les contrôles techniques préalablement : avant de publier la politique, assurez-vous que les contrôles techniques qu'elle impose sont en place : solution VPN disponible et fonctionnelle pour tous les télétravailleurs, MFA activé pour les accès distants, chiffrement disque sur tous les laptops managés, MDM déployé, et si BYOD autorisé, solution VDI ou MAM configurée.
4. Consulter le CSE si applicable : en France, toute modification des outils numériques et des conditions de travail qui affecte les conditions d'emploi doit faire l'objet d'une consultation du Comité Social et Économique (CSE). La mise en place d'une politique de télétravail ou d'outils de monitoring des télétravailleurs entre généralement dans ce cadre. Anticipez cette consultation (délai typique de 1 à 3 mois) dans votre planning de déploiement.
5. Former les télétravailleurs aux risques spécifiques : organisez une formation ou un module e-learning spécifique aux risques du télétravail : phishing ciblant les télétravailleurs (plus vulnérables hors de l'entreprise), risques des WiFi publics, confidentialité des échanges dans les espaces partagés, gestion des incidents (qui prévenir, comment). Cette formation doit être documentée et renouvelée annuellement.
6. Mettre en place une procédure de gestion des incidents hors site : un laptop perdu ou volé lors du télétravail est un incident de sécurité potentiel (données sur le disque, accès aux ressources internes via les sessions actives). La procédure doit définir : qui contacter en premier (RSSI, helpdesk), dans quel délai (idéalement sous 2h pour déclencher l'effacement à distance), et les étapes de l'enquête post-incident.

Points de vigilance pour l'audit de certification

1. Politique télétravail sans mention du droit à la déconnexion : en France, une politique de télétravail sans mention du droit à la déconnexion peut être considérée comme non conforme au droit du travail — et un auditeur ISO 27001 qui connaît bien le contexte légal peut le soulever. Remédiation : ajoutez une clause explicite sur le droit à la déconnexion, avec les modalités d'exercice.
2. BYOD autorisé sans cadre formel : si des collaborateurs utilisent des équipements personnels pour accéder aux ressources professionnelles sans qu'une politique BYOD ne soit définie, c'est une NC potentielle. Remédiation : soit vous interdisez formellement le BYOD et vérifiez techniquement l'application (accès conditionnel basé sur la conformité du device), soit vous formalisez le cadre BYOD avec les mesures de sécurité correspondantes.
3. Chiffrement disque non vérifié : une politique qui impose le chiffrement du disque mais sans mécanisme de vérification technique de sa mise en œuvre (rapport MDM, policy Intune/JAMF) n'est pas effective. Remédiation : configurez votre MDM pour forcer et rapporter le statut du chiffrement disque sur tous les équipements.
4. Surveillance des télétravailleurs non déclarée au RGPD : si votre organisation monitore l'activité des télétravailleurs (keylogger, captures d'écran, analyse de navigation), ce traitement doit être déclaré dans le registre RGPD, documenté dans le cadre de votre politique de télétravail, et avoir fait l'objet d'une information préalable des collaborateurs. Un traitement de surveillance non déclaré est une violation RGPD.

Questions fréquentes

Peut-on refuser le télétravail à un collaborateur pour des raisons de sécurité ?

Oui, l'employeur peut refuser ou encadrer le télétravail pour des raisons de sécurité de l'information, à condition que ce refus soit justifié et non discriminatoire. Concrètement, la politique de télétravail peut définir des catégories de postes ou d'activités pour lesquels le télétravail est limité ou interdit : postes traitant des données hautement confidentielles dont le chiffrement en situation de mobilité ne peut être garanti, postes nécessitant l'accès à des systèmes sensibles uniquement accessibles sur le réseau interne (sans possibilité de VPN sécurisé), ou postes dans des secteurs soumis à des réglementations spécifiques (défense, souveraineté, certaines fonctions bancaires sous DORA). En France, le refus de télétravail doit être motivé et les critères objectifs. Une politique de sécurité documentée et appliquée de manière cohérente constitue une base juridique solide pour ce type de refus.

Comment gérer le BYOD pour les employés qui changent d'appareil fréquemment ?

La gestion du BYOD avec des équipements changeants est effectivement un défi opérationnel. Plusieurs approches permettent de le simplifier. L'approche "accès conditionnel basé sur l'identité" (Zero Trust) authentifie l'utilisateur de manière robuste (MFA) et autorise l'accès uniquement aux applications dans un navigateur sécurisé (reverse proxy) ou via VDI — sans rien installer sur l'équipement personnel. L'utilisateur peut changer d'équipement sans procédure de provisioning MDM. C'est la solution la plus flexible mais elle requiert une infrastructure plus sophistiquée. L'approche "enrollment MDM à la demande" permet à l'utilisateur d'enrôler son équipement dans le MDM via un portail self-service. Le MDM installe un profil professionnel et les applications autorisées. Si l'équipement change, l'ancien est désinstallé via le portail et le nouveau est enrôlé. Cette approche est plus contraignante pour l'utilisateur mais offre une meilleure visibilité sur les équipements accédant aux ressources. Dans tous les cas, documentez dans la politique la procédure d'enrôlement et de désenrôlement des équipements personnels, et le délai de traitement en cas de perte ou de changement d'équipement.

Comment aborder le WiFi public dans la politique de télétravail ?

Le WiFi public (cafés, gares, aéroports, hôtels) représente un risque significatif pour les télétravailleurs nomades : attaques man-in-the-middle, point d'accès malveillant (evil twin), sniffing de trafic non chiffré. La politique doit définir clairement les règles applicables en contexte de WiFi public. La règle de base est l'utilisation systématique du VPN de l'entreprise sur tout réseau WiFi non contrôlé par l'organisation. Pour les organisations ayant déployé une solution Zero Trust Network Access (ZTNA), l'accès aux ressources internes via ZTNA offre une protection équivalente au VPN avec une meilleure expérience utilisateur. Pour les activités très sensibles (appels avec des informations confidentielles, manipulation de données très sensibles), la politique peut imposer l'utilisation d'un hotspot 4G/5G personnel plutôt que le WiFi public. Sensibilisez régulièrement les collaborateurs nomades aux attaques sur WiFi public : présentez des exemples concrets (faux portail captif, evil twin) pour rendre la menace tangible. Les collaborateurs qui comprennent le risque adoptent plus facilement les bonnes pratiques.

Comment gérer le cas d'un collaborateur en télétravail dont le domicile est perquisitionné ?

Ce scénario, bien que rare, est réel : si un collaborateur fait l'objet d'une perquisition à son domicile, les équipements professionnels présents peuvent être saisis par les autorités. La politique de télétravail doit anticiper ce risque. Recommandations pour les équipements professionnels au domicile : le collaborateur doit informer immédiatement le RSSI en cas de saisie d'un équipement professionnel. L'équipement doit être chiffré (BitLocker/FileVault) pour protéger les données en cas de saisie. Si les données sur le device sont très sensibles, envisagez de stocker les données sur des serveurs internes plutôt que localement sur le laptop. Sur le plan légal, l'organisation n'a pas à laisser l'autorité accéder aux données professionnelles sans un cadre légal approprié (réquisition judiciaire). Documentez dans la politique la procédure à suivre par le collaborateur en cas de saisie d'un équipement professionnel, et assurez-vous que le RSSI et le service juridique sont rapidement informés pour coordonner la réponse.

Pour aller plus loin

• Charte d'utilisation du SI — Modèle ISO 27001 (A.5.10)
• Politique de gestion des accès logiques ISO 27001 (A.5.15-18)
• Politique de mots de passe ISO 27001 — Modèle conforme ANSSI/NIST
• Procédure de gestion des incidents ISO 27001 (A.5.24-28)
• Notre service d'accompagnement ISO 27001 complet