Concilier télétravail et cyber-sécurité.

Social: Proposé par rédaction actualisé le 10 mai 2018

Le télétravail c'est l'utilisation à distance des ressources de l'entreprise.
Est-il utile de rappeler que le télétravail est un travail utilisant les NTIC et les ressources informatiques, données et logiciels, de l'entreprise via un réseau extérieur à l'entreprise, dont l'Internet.

Ici ne sont abordés que les aspects du télétravail non itinérant.
Il est important de dissocier le télétravail d'un travail fait à la maison, avec un logiciel autonome comme un traitement de texte ou un tableur, qui une fois terminé est envoyé par courriel à l'entreprise. C'est un travail à distance mais pas du télétravail. Les problèmes de sécurité sont d'ordres très différents, même si certains points liés à la sécurité et la confidentialité sont communs.

Les risques liés au travail à distance : Affaiblissement de la sécurité de votre réseau interne et de la protection de vos données par la multiplication des points d'accès à votre réseau, domicile, réseau public , Wi-Fi, la multiplication des terminaux et des applications sur lesquels l'entreprise n'a pas de contrôle.

Si des solutions techniques existent, elles ne suffisent pas à elles seules à maintenir ou à renforcer la sécurité de votre Système d'Information. Il est nécessaire de mener une réflexion approfondie s'appuyant sur la politique de sécurité actuelle ou, à défaut, sur une charte de bon usage de l'informatique. Pour limiter les cyber-risques, il faut agir sur différentes clefs: Le matériel, les logiciels, les règles de sécurité et la formation des personnels

Les grands principes :

• Chiffrement des communications : Le télétravail suppose d'avoir une connexion constante avec le réseau interne de l'entreprise, donc de ses données et ressources matérielles et logicielles. Cette connexion, porte grande ouverte sur vos données, doit être hautement sécurisée. L'utilisation d'un VPN chiffrant les communications est indispensable.
• Identification sécurisée : Si le chiffrement est un préalable, la connexion au réseau de l'entreprise doit se faire avec une double authentification, matérielle ou logicielle et un identifiant associé à un mot de passe. L'authentification matérielle ou logicielle permet de reconnaître l'ordinateur, l'identifiant et le mot de passe, l'utilisateur. L'authentification de l'utilisateur ne devant jamais être automatisée.
• Gestion des droits d'accès : Mettre en place une gestion fine des droits des utilisateurs en n'attribuant que les droits strictement nécessaires, sur des plages horaires convenues.
• Sécurisation du terminal : L'accès au terminal devra être sécurisé, un simple mot de passe au lancement de la session n'est pas suffisant. Une clef USB pouvant servir de dongle pour démarrer le PC ou activer la session.
• Chiffrement des données : Enfin, même si les données sont chiffrées lors des transferts, généralement elles sont enregistrées en clair sur le terminal. Ces données pourraient être stockées dans un conteneur chiffré.

Le matériel :

Techniquement, il doit être considéré comme un terminal, avec des possibilités limitées non pas en performance mais en interactions. Afin de pouvoir configurer librement le terminal tant d'un point de vue matériel que logiciel, celui-ci doit appartenir à l'entreprise.
Ce qui permet d'interdire l'installation de logiciel non prévu ou non autorisé et de limiter l'utilisation à un usage strictement professionnel et au seul salarié de l'entreprise.
Un détournement d'usage ou d'utilisateur pouvant mettre un terme au télétravail avec un retour au sein de l'entreprise. Mentions qui devraient être incluses dans l'accord, la charte ou l'avenant au contrat de travail.

La sécurité n'est pas que la protection anti-virus ou la prévention des vols et pertes de données, elle doit intégrer une protection mécanique contre le vol de l'ordinateur ou logicielle en cas de vol, la protection contre les surtensions électriques...

Les logiciels :

Contrôler l'installation des logiciels offre la possibilité d'automatiser les mises à jour, de prendre le contrôle à distance du terminal, d'avoir un navigateur personnalisé ou optimisé aux besoins de l'entreprise, de limiter l'accès à un ou plusieurs sites autorisés, de limiter l'usage des ports USB, etc.

La sensibilisation des utilisateurs aux règles de sécurité:

• Imposer l'usage de la messagerie professionnelle pour les échanges professionnels.
• Définir la liste des documents qu'ils sont autorisés à conserver sur leur terminal ou sous toute autre forme.
• Plus que d'imposer de nouvelles règles, il est préférable de supprimer les mauvais usages et réformer les mauvaises habitudes.

La formation et l'assistance.

Formation/initiation, qui soit plus qu'une démonstration, à l'utilisation du VPN et des méthodes de connexion et d'identification, à l'utilisation des outils de chiffrement et de sauvegarde.

Mettre en place une assistance technique à même de résoudre d'éventuelles difficultés rencontrées sur le matériel ou les logiciels.

L'alternative Cloud :

L'utilisation du cloud avec une plateforme de bureau virtuel ne répond que partiellement à la sécurisation des données, multiplie les opérations de synchronisation des données et surtout oblige à développer une solide infrastructure de sécurité du cloud couvrant tous les terminaux personnels ou professionnels ainsi que les logiciels installés.
Chaque nouveau service Cloud utilisé augmente votre dépendance à la technique, au prestataire du logiciel en ligne et au fournisseur du cloud.

Commentaire : L'usage du BYOD est évidemment à proscrire puisqu'il ne permet aucun contrôle de la sécurité des données. Pour les choix techniques, le mieux étant l'ennemi du bien, les solutions éprouvées et les plus simples à mettre en œuvre constituent un bon choix.

Vous pourriez être intéressé par l'aspect réglementaire du télétravail depuis la loi n° 2018-217 du du 29 mars 2018.

Lecture complémentaire : Mobilité et télétravail dans le monde professionnel créent de nouveaux risques. L'ANSSI édite un guide de recommandations à télécharger ou ICI

-