Télétravaillez en toute sécurité en suivant ces conseils de la CNIL

·

·

Télétravaillez en toute sécurité en suivant ces conseils de la CNIL
,

La CNIL a émis une recommandation à destination des employeurs concernant le télétravail de leurs salariés. Les points essentiels à suivre sont listés ci-dessous.

Les points clefs à suivre

Éditez une charte de sécurité dans le cadre du télétravail ou, dans le contexte actuel, au moins un socle de règles minimales à respecter, et communiquez ce document à vos collaborateurs suivant votre règlement intérieur. Si vous devez modifier les règles de gestion de votre système d’information pour permettre le télétravail (changement des règles d’habilitation, accès des administrateurs à distance, etc.), mesurez les risques encourus et, au besoin, prenez les mesures nécessaires pour maintenir le niveau de sécurité. Équipez tous les postes de travail de vos salariés au minimum d’un pare-feu, d’un anti-virus et d’un outil de blocage de l’accès aux sites malveillants. Mettez en place un VPN pour éviter l’exposition directe de vos services sur Internet, dès que cela est possible. Activez l’authentification du VPN à deux facteurs si c’est possible. Mettez à disposition de vos salariés une liste d’outils de communications et de travail collaboratif appropriés au travail distant, qui garantissent la confidentialité des échanges et des données partagées. Favorisez des outils dont vous conservez la maîtrise et assurez-vous qu’ils fournissent au minimum une authentification et un chiffrement des communications conformes à l’état de l’art et que les données transitant ne sont pas réutilisées pour d’autres finalités (amélioration du produit, publicitaire, etc.). Certains logiciels grand public peuvent transmettre à des tiers les données sur leurs utilisateurs, et s’avèrent donc particulièrement inadaptés pour un usage en entreprise. En outre, la direction interministérielle du numérique (DINUM) déconseille l’usage de certains logiciels, tels que Zoom, pour échanger des informations non publiques et recommande d’autres solutions telles que Jitsi. Vous pouvez également vous appuyer sur la liste des produits certifiés Certification de Sécurité de Premier Niveau (CSPN) délivrée par l’ANSSI.

Services accessibles depuis Internet

Utilisez des protocoles garantissant la confidentialité et l’authentification du serveur destinataire, par exemple HTTPS pour les sites web et SFTP pour le transfert de fichiers, en utilisant les versions les plus récentes de ces protocoles ;

Appliquez les derniers correctifs de sécurité aux équipements et logiciels utilisés (VPN, solution de bureau distant, messagerie, vidéoconférence etc.). Consultez régulièrement le bulletin d’actualité CERT-FR pour être prévenu des dernières vulnérabilités sur les logiciels et des moyens pour s’en prémunir ;

Mettez en œuvre des mécanismes d’authentification à double facteur sur les services accessibles à distance pour limiter les risques d’intrusions ;

Consultez régulièrement les journaux d’accès aux services accessibles à distance pour détecter des comportements suspects.

Ne rendez pas directement accessibles les interfaces de serveurs non sécurisées. De manière générale, limitez le nombre de services mis à disposition au strict minimum pour limiter les risques d’attaques.

Suivez les instructions de votre employeur

Si votre entreprise dispose d’une charte informatique dans le cadre du télétravail, prenez-en connaissance et appliquez-la rigoureusement.

Ne faites pas en télétravail ce que vous ne feriez pas au bureau. Ayez une utilisation responsable et vigilante de vos équipements et accès professionnels, notamment sur votre navigation web, en veillant à bien séparer les usages professionnels et les usages personnels. Vous pouvez par exemple créer des comptes distincts si vous utilisez une même application pour ces deux sphères.

Sécurisez votre connexion internet: assurez-vous du bon paramétrage de votre box Internet. Vérifiez son mot de passe d’accès administrateur, changez-le s’il est faible et mettez à jour son logiciel interne. Le site web de votre opérateur (par exemple celui de Bouygues, SFR, Orange et Free), vous accompagnera dans la bonne mise en œuvre de ces étapes.

Si vous utilisez le Wi-Fi, activez l’option de chiffrement WPA2 ou WPA3 avec un mot de passe long et complexe (l’Agence nationale de la sécurité des systèmes d’information (ANSSI) recommande par exemple une vingtaine de caractères). Désactivez la fonction WPS et supprimez le Wi-Fi invité. Ne vous connectez qu’à des réseaux de confiance et évitez les accès partagés avec des tiers.

Favorisez l’usage d’équipements fournis et contrôlés par votre entreprise

Si vous en avez la possibilité, utilisez autant que possible le VPN (Virtual Private Network ou réseau privé virtuel) mis à disposition par votre entreprise : i) privilégiez l’échange de données à travers les stockages disponibles depuis le VPN plutôt que par la messagerie électronique; ii) connectez-vous au moins une fois par jour au VPN pour appliquer les mises à jour; iii) désactivez votre VPN seulement lorsque vous utilisez des services consommateurs de bande passante, comme le streaming vidéo, qui ne nécessitent pas de passer par le réseau de votre entreprise.

Sécurisation de votre ordinateur personnel

Si vous devez utiliser un ordinateur personnel, assurez-vous qu’il est suffisamment sécurisé. Cela doit passer par:

l’installation d’un antivirus et d’un pare-feu. Si vous êtes sur le système d’exploitation Windows 10, vérifiez l’état de vos systèmes de protection au moyen du centre de sécurité ; l’utilisation d’un compte personnel avec des droits limités, protégé par un mot de passe fort et non partagé avec d’autres personnes (par exemple avec d’autres membres de votre famille) et sur lequel les applications installées se limitent au strict nécessaire ; la mise à jour régulière du système d’exploitation et des logiciels utilisés, notamment le navigateur web et ses extensions. Supprimez ou passez au plus vite à une version récente des logiciels dont le support ou la mise à jour sont abandonnés, comme le système d’exploitation Windows 7 (et les versions antérieures comme Windows XP) dont le support n’est plus assuré depuis le 14 janvier 2020 ; des sauvegardes régulières de votre travail de préférence sur les infrastructures de votre entreprise, si possible en activant une solution de sauvegarde automatique ; l’utilisation de mots de passe forts sur l’ensemble de vos services et l’activation de l’authentification à deux facteurs (clef d’authentification, jeton, SMS) dès que cela est proposé par le service. Les gestionnaires de mots de passe, par exemple les logiciels KeePass ou ZenyPass, vous permettront de sécuriser leur stockage et leur gestion.

Mesures concernant le téléphone personnel

Si vous devez utiliser votre téléphone personnel, protégez vos données et limitez les accès

Parce qu’ils vous accompagnent partout, les téléphones portables sont particulièrement exposées à la perte et aux vols:

Évitez d’y enregistrer des informations confidentielles: codes secrets, codes d’accès, coordonnées bancaires, etc ;

Activez le code PIN et mettez en place un délai de verrouillage automatique du téléphone.

Évitez les codes trop faciles (date de naissance, 0123, etc.) ;

Activez le chiffrement des informations sur votre téléphone lorsque c’est possible;

Notez le numéro « IMEI » du téléphone pour le bloquer en cas de perte ou de vol ;

N’installez des logiciels que depuis les plateformes officielles et évitez à tout prix les applications de sources inconnues ;

Lorsque vous installez de nouvelles applications sur votre appareil, lisez les conditions d’utilisation et la politique de confidentialité et limitez les données auxquelles elles peuvent avoir accès au strict nécessaire ;

Réglez les paramètres de géolocalisation afin de toujours contrôler quand et par qui être géolocalisé.

Communiquez en toute sécurité

Évitez de transmettre des données confidentielles via des services grand public de stockage, de partage de fichiers en ligne, d’édition collaborative ou via des messageries. À défaut, chiffrez les données avant de les transmettre et transmettez les clés de chiffrement via un canal de communication distinct (par exemple, communication du mot de passe par téléphone ou SMS). Des logiciels grand public comme 7-zip et Zed! permettent de chiffrer les données avec des algorithmes réputés fiables.

Installez uniquement des applications autorisées par votre entreprise. Si votre entreprise ne propose pas de système de déploiement d’application, téléchargez celles-ci depuis les sites ou les magasins officiels des éditeurs.

Privilégiez des outils de communication chiffrés de bout en bout, si votre entreprise ne vous fournit pas d’outils de communication sécurisée. Évitez les applications gratuites qui ne vous offrent pas de garanties fortes de sécurité. Dans tous les cas, respectez toujours les instructions de votre employeur.

Privilégiez les systèmes de visioconférence qui protègent la vie privée. Vérifiez les conditions d’utilisation de votre logiciel pour vous assurez que ces outils garantissent la confidentialité de vos données et ne les réutilisent pas pour d’autres finalités. L’ANSSI a certifié Tixeo pour les administrations, les Opérateurs d’Importance Vitale (OIV) et les entreprises soucieuses de leur sécurité. La direction interministérielle du numérique (DINUM) et la Direction Générale de l’Administration et de la Fonction Publique (DGFAP) fournissent un tableau comparatif pour vous accompagner dans le choix d’une solution qui convient à votre besoin.

Prévention des tentatives d’hameçonnage

Soyez particulièrement vigilant sur les tentatives d’hameçonnage

Les pirates profitent des périodes de crise ou de trouble pour inventer de nouvelles escroqueries et tirer profit de ces événements. Soyez vigilant à tout contact :

de personnes que vous ne connaissez pas, surtout si elles vous invitent à cliquer sur des liens ou à ouvrir un fichier; d’une personne connue vous envoyant une communication inhabituelle. Essayez de vérifier cette information par un autre canal (téléphone, SMS, mail); de personnes cherchant à créer un sentiment d’urgence ou de danger. Le cas échéant, toujours utiliser un autre canal pour vérifier les informations communiquées, par exemple en effectuant une recherche sur Internet.

En cas de doute, demandez de l’aide à votre directeur des systèmes d’information (DSI) ou votre responsable de la sécurité des systèmes informatiques (RSSI).
Questions / Réponses juridiques

Quels sont les points clés à suivre pour le télétravail selon la CNIL ?

Les points clés à suivre pour le télétravail, selon la CNIL, incluent plusieurs recommandations essentielles. Tout d’abord, il est déterminant d’éditer une charte de sécurité ou, au minimum, un socle de règles minimales à respecter. Ce document doit être communiqué aux collaborateurs conformément au règlement intérieur de l’entreprise. Ensuite, si des modifications des règles de gestion du système d’information sont nécessaires pour permettre le télétravail, il est impératif de mesurer les risques encourus et de prendre les mesures nécessaires pour maintenir un niveau de sécurité adéquat. De plus, chaque poste de travail doit être équipé d’un pare-feu, d’un anti-virus et d’un outil de blocage des sites malveillants. La mise en place d’un VPN est également recommandée pour éviter l’exposition directe des services sur Internet, avec une authentification à deux facteurs si possible.

Comment sécuriser les services accessibles depuis Internet ?

Pour sécuriser les services accessibles depuis Internet, il est recommandé d’utiliser des protocoles garantissant la confidentialité et l’authentification du serveur destinataire, tels que HTTPS pour les sites web et SFTP pour le transfert de fichiers. Il est essentiel d’utiliser les versions les plus récentes de ces protocoles pour assurer une sécurité optimale. Il est également déterminant d’appliquer les derniers correctifs de sécurité aux équipements et logiciels utilisés, comme les VPN et les solutions de messagerie. Pour rester informé des dernières vulnérabilités, il est conseillé de consulter régulièrement le bulletin d’actualité CERT-FR. De plus, la mise en œuvre de mécanismes d’authentification à double facteur sur les services accessibles à distance est fortement recommandée pour limiter les risques d’intrusions. Il est également important de surveiller régulièrement les journaux d’accès pour détecter des comportements suspects.

Quelles sont les mesures à prendre concernant l’utilisation d’un ordinateur personnel ?

Si un employé doit utiliser un ordinateur personnel pour le télétravail, plusieurs mesures de sécurité doivent être mises en place. Tout d’abord, il est essentiel d’installer un antivirus et un pare-feu. Pour les utilisateurs de Windows 10, il est recommandé de vérifier l’état des systèmes de protection via le centre de sécurité. Ensuite, l’utilisation d’un compte personnel avec des droits limités est conseillée, ce compte devant être protégé par un mot de passe fort et non partagé. Il est également important de mettre à jour régulièrement le système d’exploitation et les logiciels utilisés, en particulier le navigateur web et ses extensions. Les sauvegardes régulières du travail, de préférence sur les infrastructures de l’entreprise, sont également déterminantes. Enfin, l’utilisation de mots de passe forts et l’activation de l’authentification à deux facteurs sont fortement recommandées pour tous les services utilisés.

Quelles précautions prendre pour sécuriser un téléphone personnel utilisé pour le travail ?

Lorsqu’un employé utilise son téléphone personnel pour le travail, il est important de prendre plusieurs précautions pour protéger ses données. Tout d’abord, il est conseillé d’éviter d’enregistrer des informations confidentielles telles que des codes secrets ou des coordonnées bancaires sur le téléphone. L’activation d’un code PIN et la mise en place d’un délai de verrouillage automatique sont également des mesures de sécurité essentielles. Il est recommandé d’éviter les codes trop simples, comme les dates de naissance, et d’activer le chiffrement des informations sur le téléphone lorsque cela est possible. Il est également important de noter le numéro IMEI du téléphone pour pouvoir le bloquer en cas de perte ou de vol. Les employés doivent installer des logiciels uniquement depuis des plateformes officielles et éviter les applications de sources inconnues. Enfin, il est conseillé de régler les paramètres de géolocalisation pour contrôler quand et par qui le téléphone peut être géolocalisé.

Comment communiquer en toute sécurité dans le cadre du télétravail ?

Pour communiquer en toute sécurité, il est recommandé d’éviter de transmettre des données confidentielles via des services grand public de stockage ou de partage de fichiers. Si cela est inévitable, il est conseillé de chiffrer les données avant de les transmettre et d’envoyer les clés de chiffrement par un canal distinct, comme un appel téléphonique. Les employés doivent également installer uniquement des applications autorisées par leur entreprise. Si aucune solution de déploiement d’application n’est proposée, il est préférable de télécharger les applications depuis les sites ou magasins officiels des éditeurs. Il est également conseillé de privilégier des outils de communication chiffrés de bout en bout. En cas d’absence d’outils sécurisés fournis par l’entreprise, il est important d’éviter les applications gratuites qui ne garantissent pas une sécurité adéquate. Enfin, il est essentiel de respecter les instructions de l’employeur concernant les outils et méthodes de communication.

Quelles sont les recommandations pour prévenir les tentatives d’hameçonnage ?

Pour prévenir les tentatives d’hameçonnage, il est déterminant d’être particulièrement vigilant, surtout en période de crise. Les pirates exploitent souvent ces moments pour lancer de nouvelles escroqueries. Les employés doivent être prudents face à tout contact de personnes inconnues, surtout si ces dernières les incitent à cliquer sur des liens ou à ouvrir des fichiers. Il est également important de se méfier des communications inhabituelles provenant de personnes connues. Dans ce cas, il est conseillé de vérifier l’information par un autre canal, comme un appel téléphonique ou un message texte. Les employés doivent également se méfier des messages créant un sentiment d’urgence ou de danger. Dans ces situations, il est recommandé d’utiliser un autre canal pour vérifier les informations, par exemple en effectuant une recherche sur Internet. En cas de doute, il est toujours préférable de demander de l’aide à un responsable de la sécurité des systèmes informatiques ou à un directeur des systèmes d’information.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  • Bienvenue, je suis votre assistant juridique
Rédaction en cours .... ...
Chat Icon