Vous avez dû placer vos salariés en télétravail en urgence. Cette mise en place a créé des flottements concernant l’application des règles de sécurité informatique et la protection des données. Ce qu’il faut mettre en place.
1. Pourquoi un VPN pour le télétravail ?
Pour sécuriser l’entreprise et les salariés en mobilité qu’ils soient à leur domicile, en voiture ou sur un lieu tiers (client, etc.), il faut passer par un réseau privé virtuel (VPN ou Virtual Private Network). Le VPN permet de créer un lien direct entre des ordinateurs tout en isolant les échanges du reste du trafic. Il créé une connexion sécurisée entre des appareils nomades et vos serveurs aussi nommée « tunnel sécurisé ».
Une entreprise est responsable de ses données, mais aussi de celles de ces clients et de ses salariés. Sa responsabilité est civile et pénale. Le VPN permet d’échanger des données sans prendre de risque, c’est-à-dire sans qu’elles puissent être interceptées entre un point X à un point Y.
2. Comment fonctionne un VPN ?
Le VPN demande une authentification, puis crypte les données de l’appareil en mobilité jusqu’au serveur VPN qui les déchiffre. Tous les envois d’informations visuelles ou écrites sont cryptés.
Le salarié télécharge puis lance un agent de connexion qui lui permet d’accéder au VPN depuis son ordinateur portable, son téléphone. Il rentre son mot de passe et il rentre sur son environnement de travail qui est stocké sur le serveur central de la société. Quel que soit le cas – ordinateur personnel ou professionnel, rien ne doit résider sur le portable du l’utilisateur. Le salarié se connecte au serveur de la société et travaille sur son ordinateur comme s’il était à son bureau. Sur son environnement professionnel en « mode déporté », il retrouve toutes ses applications et fichiers ce qui ainsi simplifie la sécurité et les droits de licences applicatifs professionnel. Une fois connectée, la personne qui enregistre son document Word, le fera sur son bureau au travail et non sur le disque dur de son ordinateur. Le tour est joué. Rien n’est stocké sur l’ordinateur personnel seule sa mémoire RAM est utilisée.
Ce VPN va permettre de protéger l’anonymat des utilisateurs (adresse IP) et protéger les données.
3. Paramétrer correctement son serveur VPN pour le télétravail
Concrètement, si vous n’avez pas installé de VPN, c’est le moment à la fois pour le télétravail, mais aussi pour votre entreprise (>> contactez-nous).
Achetez un VPN. Sur votre serveur professionnel, vous avez dû créer un annuaire avec des profils d’utilisateurs. Chaque profil dispose d’un certain nombre de droits.
Vérifiez vos profils utilisateurs
Le serveur doit posséder dans son système tous les profils utilisateurs et les droits associés à ceux-ci. Souvent les profils ne sont pas différenciés. Ils ont tous les mêmes droits, ils font tous la même chose. Vérifiez que vous n’avez pas accordé les mêmes droits à tout le monde — ce qui est souvent le cas et pause des soucis de sécurité. Pour assurer au mieux ce paramétrage, nous vous conseillons de reprendre les fiches de poste des salariés et de réfléchir aux règles à appliquer. Si ce travail n’a pas été fait, il peut être judicieux de faire un point sur votre stratégie de sécurité système (Contactez-nous).
Créez un profil nomade pour le télétravail
Vous choisissez les profils enregistrés qui correspondent aux salariés en télétravail et, vous les indiquez comme potentiellement nomades.
Paramétrez le cryptage
Vous allez paramétrer le niveau de cryptage du VPN. En France le maximum autorisé est de 512 kbits. Il ne faut utiliser ce maximum légal. Si jamais des salariés partent à l’étranger, vous pourrez ou devrez, si la zone est à risque augmenter le niveau de cryptage.
Paramétrage des plages horaires des sessions
Profitez-en pour ajouter des règles concernant les horaires de connexions possibles. En effet vous ne pouvez pas permettre l’accès à l’ordinateur de la société aux employés à point d’heure. Un employé doit faire 8 h par jour. On peut paramétrer une plage horaire pour la connexion allant de 6 h à 21 h, par exemple.
Paramétrage de l’impression
C’est ici que vous allez donner le droit à certains salariés d’imprimer des documents à leur domicile. Un droit qu’on ne donnera pas à la comptable, par exemple. On ne peut permettre l’impression de la comptabilité de la société hors de celle-ci sans prendre des risques.
Un seul VPN ou plusieurs
Si vous êtes 10 dans votre société, un VPN suffit. À partir de 30 personnes, on commence à réfléchir à la possibilité d’utiliser plusieurs VPN. On utilise alors un VPN par grande famille : un pour les dirigeants, par exemple, et un autre pour le groupe dont les droits sont différents.
Vous n’utilisez pas de serveur ? Il vous faut installer un serveur Linux/LDAP pour commencer. Contactez un professionnel pour vous conseiller et vous accompagner.
Pour de plus amples informations : le guide du nomadisme de l’Anssi
Télétravail : ce qu’on ne doit pas faire
Il n’est pas judicieux de laisser les salariés travailler sur leur ordinateur personnel. L’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise. La possibilité d’utiliser des outils personnels relève avant tout d’un choix de l’employeur qui peut tout aussi bien l’autoriser sous conditions, ou l’interdire. Le Code du travail n’interdit pas l’usage de moyens personnels. Les risques contre lesquels il est indispensable pour l’employeur de se prémunir vont de l’atteinte ponctuelle à la disponibilité, l’intégrité et la confidentialité des données, à la compromission générale du système d’information de l’entreprise (intrusion, virus, chevaux de Troie, etc.)
Alors, comment réduire ces risques ?
-
- Identifier les risques, en tenant compte des spécificités du contexte (quels équipements, quelles applications, quelles données ?) et les estimer en termes de gravité et d’occurrence.
- Déterminer les mesures à mettre en œuvre et les formaliser dans une politique de sécurité.
On ne sait pas comment les personnes entretiennent leur matériel (le disque dur peut griller), ou elles s’installent pour travailler (un enfant peut renverser un verre d’eau sur l’ordinateur).
De même, les salariés doivent éviter d’emporter des dossiers papiers, d’après la CNIL. Elle indique que si c’est le cas il serait bon que les salariés le signalent.
4. La CNIL et le télétravail
L’urgence de la mise en place du télétravail a créé des flottements dans le respect de la Règlementation générale de Protection des Données (RGPD) et la sécurité des entreprises. Si la tolérance a été de mise, ce n’est plus le cas aujourd’hui.
Pour satisfaire aux exigences du télétravail et respecter la RGPD, la CNIL indique qu’il faut :
- Se doter d’une charte informatique et lui donner une force
contraignante ; - Établir une politique de mot de passe
- Prévoir le verrouillage automatique de session ;
- Utiliser des antivirus régulièrement mis à jour ;
- Installer un « pare-feu » (Firewall) logiciel ;
- Sécuriser les accès distants des salariés par VPN ;
- Sécuriser les réseaux Wifi — protocole WPA2 ou WPA2-PSK ;
- Interdire les accès aux sites non sécurisés.
L’ensemble de ces préconisations font l’objet d’un mémo spécifique édicté par la CNIL
Dans l’hypothèse où vos collaborateurs utilisent des supports mobiles personnels (smartphone, ordinateur portable, tablette), il convient d’appliquer les recommandations de la CNIL suivantes : www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques