La CNIL vient de publier une fiche thématique autour du télétravail et des bonnes pratiques à suivre pour tous les salariés amenés à travailler de chez eux en cette période de confinement.
Depuis le début de la crise sanitaire et du confinement des Français, nombre d’éditeurs de sécurité ont publié des tribunes, papiers de blogs et autres avertissements quant aux bonnes pratiques à adopter face au télétravail. Bien sûr chacun tournant à sa sauce les conseils pour mettre en valeur ses propres solutions ou spécialités.
Voir la CNIL publier une fiche de conseils et bonnes pratiques présente un tout autre intérêt. La haute autorité française est notamment chargée de veiller à ce que l’informatique soit au service du citoyen mais aussi au bon respect par les entreprises du RGPD, le règlement général pour la protection des données et notamment des données personnelles.
Il est vrai que cette période de chaos met en tension la sécurité des systèmes d’information d’autant qu’elle est perçue comme une aubaine sans précédent par des cyberattaquants opportunistes. Depuis le début du mois de mars, les attaques par déni de service sur les VPN et les infrastructures se multiplient tout comme les attaques quotidiennes par Phishing dont le nombre n’a jamais été aussi élevé.
Dans sa fiche librement accessible en ligne, la CNIL formule 6 préconisations :
1/ Suivre les instructions de son employeur et notamment respecter la charte de l’entreprise. Avec une idée forte : ne pas faire en télétravail ce que l’on ne ferait pas au travail.
2/ Sécuriser sa connexion Internet en s’assurant de bien activer les protections des box notamment en matière de Wi-Fi (chiffrement WPA2 ou WPA3) et de pare-feu intégré.
3/ Favoriser l’usage d’équipements fournis et contrôlés par son entreprise autrement dit utiliser le PC fourni par l’entreprise pour le télétravail et plus encore utiliser le VPN seulement pour télétravailler et pas pour surfer sur les sites de streaming vidéo. La CNIL recommande également de se connecter quotidiennement au VPN et au SI de l’entreprise afin de recevoir les mises à de sécurité (et la mise à jour des paramètres de sécurité) qui peuvent être critiques en cette période.
4/ En cas d’usage d’un ordinateur personnel pour télétravailler, veiller à ce qu’il soit suffisamment sécurisé. La CNIL encourage de bien vérifier les paramètres du centre de sécurité de Windows 10 et de veiller à ce que tout soit bien activé. Elle préconise de ne pas utiliser un profil « administrateur » pour télétravailler mais un profil dédié au télétravail sans droit d’administration pour réduire très considérablement les risques d’infection. Enfin, elle insiste sur l’importance de mots de passe forts et uniques, sur la nécessité d’activer l’authentification à deux facteurs et sur l’intérêt des gestionnaires de mots de passe comme KeePass et ZenyPass.
5/ Communiquer en toute sécurité en évitant de transmettre par des services grand public de partage des données et des fichiers de l’entreprise, en installant et en utilisant que les logiciels et services autorisés par l’entreprise, et en utilisant autant que possible des systèmes de visioconférence certifiés par l’ANSSI tels que Tixeo.
6/ Être très vigilant face aux tentatives d’hameçonnage, autrement dit de Phishing en se montrant méfiant face à tout email avec une demande douteuse (notamment celle cherchant à créer un sentiment d’urgence ou de danger), en ne cliquant pas sur les liens des emails mais en se connectant manuellement aux services, en ne cliquant pas sur les pièces attachées envoyées par email. En cas de doute, contactez les DSI et RSSI de l’entreprise.
Des conseils pleins de bon sens, qui devraient être appliqués de longue date mais qu’il faut aussi savoir rappeler et répéter pour s’assurer que chacun, en cette période très atypique et compliquée mais aussi de recrudescence des attaques, ne mette pas en danger la sécurité de ses données personnelles et la sécurité de son entreprise.
CNIL : Salariés en télétravail : quelles sont les bonnes pratiques à suivre ?