Le télétravail a durablement transformé la surface d'attaque des entreprises. Les équipes IT se retrouvent à gérer des accès depuis des réseaux domestiques, des appareils non maîtrisés, et souvent via des solutions conçues pour le bureau. Un bastion PAM résout ce problème structurellement — sans sacrifier la productivité.
Le télétravail a ouvert des brèches que les attaquants exploitent activement
Avant 2020, la majorité des accès aux serveurs d'entreprise provenait du réseau interne. Les pare-feux protégeaient le périmètre et les accès RDP restaient "derrière le firewall". La généralisation du télétravail a tout changé.
Aujourd'hui, vos collaborateurs, vos prestataires et vos équipes IT accèdent à votre infrastructure depuis leur domicile, un café, un hôtel. Les chemins d'accès se sont multipliés, et la surface d'attaque avec eux.
Les 4 risques majeurs du télétravail non sécurisé
1. RDP exposé directement sur internet
C'est l'erreur la plus courante et la plus dangereuse. Ouvrir le port 3389 (RDP) directement sur internet revient à placer un terminal de connexion sur la place publique. Les scanners automatiques le détectent en quelques minutes. Des milliers de tentatives de brute-force suivent quotidiennement.
2. VPN sans authentification multifacteur
Un VPN sans MFA ne protège pas contre le vol de credentials. Si un collaborateur utilise le même mot de passe que son compte LinkedIn compromis lors d'une fuite, l'attaquant dispose d'un accès VPN légitime à votre réseau entier.
3. Comptes prestataires partagés et jamais désactivés
L'infogérant, le consultant, le développeur freelance qui a travaillé sur un projet il y a six mois : ces comptes restent souvent actifs indéfiniment. En cas de départ ou de compromission, l'accès persiste sans que personne ne le sache.
4. Impossibilité de tracer ce qui s'est passé
Sans enregistrement des sessions, vous ne savez pas ce qu'un collaborateur ou un prestataire a fait sur vos serveurs. En cas d'incident ou de litige, vous n'avez aucune preuve. Ce vide documentaire pose des problèmes NIS2, assuranciels et contractuels.
Comment un bastion PAM répond à chaque risque
Point d'entrée unique et contrôlé
Avec un bastion, vos serveurs ne sont plus directement accessibles depuis internet. Seul le bastion est exposé (HTTPS/443), et lui seul établit les connexions RDP/SSH vers vos machines internes. La surface d'attaque se réduit drastiquement : un seul point à protéger au lieu de dizaines.
MFA obligatoire sur chaque connexion
Le bastion impose l'authentification à deux facteurs avant d'autoriser l'accès. Code TOTP, application d'authentification, SSO avec votre fournisseur d'identité (OIDC, SAML 2.0) : même si un mot de passe est compromis, l'accès reste bloqué sans le second facteur.
Accès Just-in-Time pour les prestataires
Le bastion permet de créer des accès temporaires avec expiration automatique. Un prestataire reçoit un accès valable 4 heures pour une intervention de maintenance. Passé ce délai, l'accès se coupe automatiquement — sans action manuelle de votre équipe IT.
Enregistrement complet des sessions
Chaque session RDP, SSH ou VNC est enregistrée et rejouable depuis le navigateur. Si un incident survient, vous disposez d'une trace complète de ce qui s'est passé, minute par minute. C'est la base d'un audit trail conforme NIS2 et exploitable en cas de litige.
Le bastion ne remplace pas le VPN, il le complète
Une confusion fréquente : le bastion PAM ne remplace pas votre VPN pour l'accès aux ressources bureautiques (fichiers partagés, outils internes). Les deux coexistent avec des rôles distincts :
- VPN — accès réseau général pour les collaborateurs aux ressources non sensibles
- Bastion PAM — accès contrôlé, tracé et enregistré aux serveurs, aux équipements d'infrastructure, aux bases de données
Pour les accès privilégiés (admin système, accès production, intervention prestataire), le bastion est la couche de sécurité indispensable que le VPN ne fournit pas.
Mise en place : ce que ça demande concrètement
La bonne nouvelle : déployer un bastion PAM moderne ne nécessite pas un projet de 18 mois. Avec une solution comme Remsek :
- Installation en moins d'une heure sur votre propre serveur (Docker ou package natif)
- Configuration des connexions — renseignez l'IP et les credentials de vos serveurs, une fois
- Création des comptes utilisateurs avec les droits adaptés à chaque profil
- Activation du MFA — TOTP natif ou SSO avec votre IdP existant
- Formation des équipes — le bastion est accessible depuis un navigateur, sans client lourd à installer
Cas d'usage : le MSP qui gère 15 clients en télétravail
Un MSP qui intervient chez 15 clients différents avec 8 techniciens en télétravail total. Avant le bastion : chaque technicien avait les credentials de chaque client dans un gestionnaire de mots de passe partagé. Un départ d'employé impliquait une rotation manuelle de tous les mots de passe chez tous les clients.
Après le déploiement du bastion chez chaque client : les techniciens se connectent via le bastion avec leur compte nominatif et leur MFA personnel. La révocation d'un accès se fait en un clic. Chaque intervention est enregistrée et reportée au client. Le MSP peut fournir un rapport d'audit mensuel automatiquement généré.
Conclusion
Le télétravail n'est plus une exception, c'est la norme. Les solutions de sécurité doivent évoluer avec cette réalité. Un bastion PAM n'est pas une contrainte imposée aux équipes : correctement déployé, il simplifie la gestion des accès tout en éliminant les risques les plus critiques — RDP exposé, comptes partagés, absence de traçabilité.
La question n'est plus "faut-il un bastion en télétravail ?" mais "combien de temps encore sans ?"
Sécurisez vos accès distants dès aujourd'hui
Remsek se déploie en moins d'une heure. Tous les protocoles depuis le navigateur. Essai sans engagement.
Demander une démo