La Cnil livre ses conseils pour sécuriser le télétravail

PARIS, 6 avril 2020 – Dans deux fiches d’information publiées sur son site internet le 1er avril 2020, la Cnil fait de nouvelles recommandations.

La pandémie de Covid-19 a contraint de nombreuses entreprises à mettre en place des solutions de télétravail. Afin de les accompagner dans ce processus, la Cnil a diffusé, le 1er avril, sur son site internet, des fiches d’information destinées à ces entreprises et à leurs salariés pour sécuriser leurs pratiques.

Entreprises : sécurisez votre système d’information

Le télétravail « doit s’accompagner de mesures de sécurités renforcées pour garantir la sécurité des systèmes d’information et des données traitées », explique la commission. Pour sécuriser leur système d’information, elle recommande ainsi aux entreprises d’éditer une charte de sécurité dans le cadre du télétravail ou, à tout le moins, un socle de règles minimales à respecter. Ce document doit ensuite être communiqué à l’ensemble des collaborateurs selon ce que prévoit le règlement intérieur, précise la Cnil. Elle ajoute qu’en cas de modification des règles de gestion du système d’information pour permettre le télétravail, telle qu’un changement des conditions d’accès des administrateurs à distance, les risques encourus doivent être mesurés, et, le cas échéant, des mesures doivent être prises.

La commission conseille aussi aux entreprises d’équiper les postes de travail des salariés, « au minimum », d’un antivirus, d’un pare-feu et d’un outil de blocage de l’accès aux sites malveillants, et d’instaurer un VPN (Virtual Private Network ou réseau privé virtuel) avec une activation d’authentification à deux facteurs. Si les services de l’entreprise sont sur internet, la Cnil préconise en outre de :

– consulter régulièrement les journaux d’accès aux services accessibles à distance pour détecter des comportements suspects ;

– utiliser des protocoles garantissant la confidentialité et l’authentification du serveur destinataire ;

– appliquer les derniers correctifs de sécurité aux équipements et logiciels ;

– mettre en œuvre des mécanismes d’authentification à double facteur sur les services accessibles à distance pour limiter les risques d’intrusions;

– ne pas rendre directement accessibles les interfaces de serveurs non sécurisées.

Salariés : adoptez les bonnes pratiques

La Cnil invite aussi les télétravailleurs :

– à suivre les instructions de leur employeur en appliquant rigoureusement la charte informatique de l’entreprise et en veillant à bien séparer les usages professionnels et personnels de la navigation web;

– à sécuriser leur connexion internet en s’assurant du bon paramétrage de leur box internet ;

– à utiliser autant que possible le VPN mis à disposition par leur entreprise ;

– à s’assurer que leur ordinateur personnel est suffisamment sécurisé s’ils doivent l’utiliser. Cela doit notamment passer par l’installation d’un antivirus et d’un pare-feu, l’utilisation d’un compte personnel avec des droits limités, protégé par un mot de passe fort et non partagé avec d’autres personnes, ainsi que des mises à jour et des sauvegardes régulières ;

– à sécuriser leur communication en évitant de transmettre des données confidentielles via des services grand public de stockage, de partage de fichiers en ligne, d’édition collaborative ou des messageries.

L’installation d’applications autorisées par l’entreprise, le recours à des outils de communication chiffrés de bout en bout et aux systèmes de visioconférence protégeant la vie privée sont à privilégier ;

– être particulièrement vigilants sur les tentatives d’hameçonnage.