Pratiqué par de plus en plus d’entreprises et prisé par les salariés, le télétravail rend encore plus de sens dans un contexte de crise sanitaire.
Cependant, même dans un contexte d’urgence, la mise en place du télétravail nécessite quelques précautions de la part des entreprises pour ne pas avoir de mauvaises surprises – notamment en matière de protection des données. Stormshield livre ici les bonnes pratiques à adopter.
Depuis septembre 2017, de nouvelles règles élargissent le cadre juridique du télétravail en France, permettant aux collaborateurs d’exercer de façon plus ou moins régulière leur activité professionnelle en dehors des locaux de l’entreprise. Mais cette mise en place du télétravail a de quoi donner des sueurs froides aux RSSI.
Sensibiliser les collaborateurs aux risques informatiques du télétravail
Le télétravail permet donc aux salariés concernés d’accéder à distance aux ressources et informations dont ils ont besoin pour travailler. Mais puisque ces ressources et informations peuvent être sensibles voir critiques pour l’entreprise, il faut éviter tout risque de contamination du SI de l’entreprise, toute fuite et autre perte de données. Même en urgence, des mesures sont donc à prendre avant tout déploiement.
Dans un contexte d’urgence, oublions les sessions de formation : pas le temps pour les mettre en place, et certainement pas le bon moment pour réunir physiquement plusieurs personnes pour une formation ! Ce qui n’empêche pas cependant de donner ou de rappeler quelques consignes importantes dans un e-mail ou une fiche A4 facilement imprimable :
Bien mettre à jour son ordinateur, si ce n’est pas déjà fait automatiquement.
Vérifier que l’antivirus est bien activé et qu’il est également mis à jour.
Protéger son accès Wifi personnel par un mot de passe suffisamment fort, modifié régulièrement et bien sûr non connu de tous les voisins.
Enlever toute information éventuellement présente dans le nom du réseau Wifi (SSID) personnel, qui permettrait d’identifier le télétravailleur puis son entreprise par une simple recherche LinkedIn.
Éviter les clés USB qui sont passées par divers ordinateur.
Et enfin, même à la maison, ne jamais oublier de verrouiller la session lorsqu’on ne travaille pas sur l’ordinateur. Certes, le risque de « croissantage » de la part de vos proches ou d’une aide à domicile est peu probable. Mais le risque d’indiscrétion de la part d’un visiteur ou de suppression accidentelle de données par le petit dernier qui veut « travailler comme Maman/Papa » reste bien présent. À chaque environnement de travail ses menaces !
N’hésitez pas également à transmettre à vos collaborateurs le lien vers le site cybermaleillance.gouv.fr, qui a créé un kit de sensibilisation aux questions numériques, afin de partager les bonnes pratiques dans les usages personnels et professionnels.
Garder l’ordinateur portable à portée de main
Pour ne pas être pris au dépourvu, demandez dès maintenant aux possesseurs d’un ordinateur portable de bien l’emporter systématiquement avec eux tous les soirs et week-ends, en cas de mise en quarantaine d’urgence.
Idéalement, le chiffrement de surface devrait être activé sur ces ordinateurs portables, mais le temps risque de manquer pour cela. À défaut, rappelez aux télétravailleurs qu’ils doivent garder l‘ordinateur avec eux en particulier dans les transports, et ne pas le laisser sans surveillance. Y compris pour les collaborateurs véhiculés, qui ne devraient pas laisser leur ordinateur dans le coffre pendant qu’ils vont faire une course…
Généraliser les accès à distance
Grâce à votre solution de protection réseau, vous avez certainement déjà mis en place des accès à distance sécurisés pour les populations nomades. Aisés à mettre en place avec une simple procédure, vous souhaitez sans doute les offrir aux nouveaux télétravailleurs. Installez dès maintenant les clients VPN SSL sur les postes des utilisateurs qui en auront besoin en cas de télétravail impromptu, et faites-leur tester l’accès dès que possible.
Mais alors que vous ouvrez ces accès, ne confondez pas vitesse et précipitation lors la configuration : pensez bien que vous voudrez sans doute les refermer une fois revenu en situation normale.
Gardez le contact avec les télétravailleurs…
Malgré les recommandations et procédures rédigées et communiquées en urgence, certains collaborateurs rencontreront des difficultés, en particulier les populations moins techniques. Assurez-vous de leur communiquer des points de contacts bien identifiés pour les accompagner. Et assurez la disponibilité de vos équipes IT qui vont passer beaucoup de temps à faire du support utilisateurs pendant cette période, au détriment des projets.
Au passage, rappelez qu’on ne donne pas son mot de passe : ni à un collègue au téléphone, ni à une personne soi-disant de l’IT. Certains attaquants malins pourraient profiter de la situation.
… et entre les travailleurs
Pour faciliter la communication à distance, plusieurs éditeurs de solutions de visio conférence proposent leurs services de vidéo conférence gratuitement en cette période difficile. Utile pour les réunions, mais aussi pour avoir un partage d’écran et faciliter l’assistance technique à distance sans démultiplier les outils à installer. Vérifiez néanmoins rapidement que leurs conditions de service sont bien conformes avec vos contraintes règlementaires, dont le RGPD.
Faire le point à l’heure du retour à la normale
L’occasion de faire le point et un retour d’expérience :
. Qu’est-ce qui doit être « défait », qu’est-ce qui pourrait rester dans la durée ?
. Des données ont-elles été stockées sur des matériels et périphériques moins sécurisés, à titre exceptionnel ? Il va falloir s’assurer qu’elles soient bien détruites.
. Certaines procédures rédigées rapidement peuvent-elles être améliorées et réutilisées ?
. Quels ont été les points de blocage ?
Ce qui suppose bien sûr, urgence ou pas urgence, que toutes les actions entreprises et problèmes rencontrés aient été tracés, que ce soit dans un e-mail ou un gestionnaire de tickets.
Et l’occasion d’adopter le télétravail de façon plus régulière, avec une préparation appropriée et mieux sécurisée, cette fois-ci ?