Magré le déconfinement, un grand nombre d’entreprises continuent d’utiliser le télétravail pour beaucoup de leurs salariés.
Pour autant, le télétravail est une solution qui doit s’accompagner de mesures de sécurité renforcées pour garantir la sécurité des systèmes d’information et des données traitées.
Télétravail et sécurité des données par l’employeur
La Cnil a publié des conseils à l’attention des employeurs.
Elle recommande aux entreprises ayant mis en place le télétravail :
- d’éditer une charte de sécurité dans le cadre du télétravail ou, dans le contexte actuel, au moins un socle de règles minimales à respecter et à communiquer aux salariés,
- de s’assurer de l’installation d’un pare-feu, d’un anti-virus et d’un outil de blocage de l’accès aux sites malveillants sur l’ensemble des postes de travail des salariés,
- de mettre en place un VPN afin d’éviter l’exposition directe des services de l’entreprise sur internet.
Que faire en cas d’utilisation par un salarié de son poste personnel pour travailler ?
Pour rappel, l’employeur est responsable de la sécurité des données à caractère personnel collectées en tant que responsable du traitement, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise.
L’employeur doit se prémunir des risques allant de l’atteinte ponctuelle à la disponibilité, l’intégrité et la confidentialité des données, à la compromission générale du système d’information de l’entreprise.
Dans une publication récente, la Cnil recommande aux entreprises :
- d’identifier les risques et les estimer en termes de gravité et de vraisemblance,
- de déterminer les mesures à mettre en œuvre et les formaliser dans une politique de sécurité : sensibilisation, autorisation préalable, contrôle de l’accès distant par un dispositif d’authentification, etc.
Que faire pour sécuriser les services proposés sur internet ?
La Cnil recommande aux entreprises ayant des services sur internet :
- d’utiliser des protocoles garantissant la confidentialité et l’authentification du serveur destinataire,
- d’appliquer les derniers correctifs de sécurité aux équipements et logiciels utilisés,
- de mettre en œuvre des mécanismes d’authentification à double facteur sur les services accessibles à distance afin de limiter les risques d’intrusion,
- de consulter régulièrement les journaux d’accès aux services accessibles à distance, et ce afin de détecter les comportements suspects,
- de veiller à ne pas rendre directement accessibles les interfaces de serveurs non sécurisées.
Télétravail et sécurité des données par les salariés
La Cnil a également publié des bonnes pratiques à suivre pour les salariés en télétravail.
Elle recommande aux salariés :
- de prendre connaissance et d’appliquer la charte informatique dans le cadre du télétravail,
- d’avoir une utilisation responsable des équipements et accès professionnels,
- de renforcer le mot de passe d’accès à la connexion internet,
- d’activer l’option de chiffrement WPA2 ou WPA3 avec un mot de passe long et complexe,
- de désactiver la fonction WPS et de supprimer le Wi-Fi invité,
- de veiller à se connecter uniquement à des réseaux de confiance et éviter les accès partagés avec des tiers,
- d’utiliser le VPN mis à disposition par votre entreprise,
- en cas d’utilisation d’un ordinateur personnel, de s’assurer que celui-ci est suffisamment sécurisé : antivirus, pare-feu ; mise à jour régulière du système d’exploitation et des logiciels utilisés ; sauvegardes régulières du travail effectué ; mot de passe complexe.
- d’éviter de transmettre des données confidentielles via des services de partage de fichiers en ligne,
- d’installer uniquement des applications autorisées par l’entreprise,
- de privilégier des outils de communication chiffrés de bout en bout,
- de ne pas ouvrir de courriel de personnes que vous ne connaissez pas,
- de privilégier les systèmes de visioconférence protégeant la vie privée.
Il convient pour l’employeur de lire les conditions d’utilisation de l’application utilisée et de s’assurer d’utiliser une application garantissant la confidentialité des communications et qui n’utilise pas les données collectées (nom, prénom, données de contact, adresse IP, identifiant de l’appareil, cookies, etc.) pour d’autres finalités.
