La norme ISO27002, édition 2013, introduit une section (6.2) dédiée aux équipements et aux travaux ‘nomades’. Qu’est-ce que j’entends par ‘nomades’ ? Ce sont tous ces équipements que nous emportons partout et les applications professionnelles que nous aimerions utiliser partout (le télétravail).
On peut s’étonner de retrouver ceci dans le chapitre 6 sur l’organisation de la sécurité. Choisir le nombre et le rôle dévolu aux équipements et personnels mobiles avec leurs responsabilités est bien une question d’organisation.
L’objectif de contrôle poursuivi est d’assurer la sécurité du télétravail et de l’utilisation d’appareils mobiles.
Appareils mobiles
Il faut gérer correctement les risques liés aux ordinateurs et des téléphones portables mobiles ‘professionnels’ : ils peuvent être volés, perdus ou endommagés et leur utilisation peut être observée ou écoutée.
Tout doit être fait pour ne pas compromettre les informations de l’entreprise. Les appareils mobiles sont donc équipés de solutions de sécurité supplémentaires. En effet, l’emploi ‘hors des frontières’ de l’entreprise, comme la connexion à internet au travers des firewalls (pare-feux), facilite « l’infection » des équipements qui importent ensuite celle-ci à l’intérieur des frontières, sans passer par les filtres et les solutions de sécurité ‘internes’.
Une ‘politique de sécurité’ énonce les règles de protection technique ainsi celles que les personnels qui ont reçu l’autorisation de les emporter doivent ‘impérativement’ respecter au risque de perdre cet avantage (un privilège).
On y retrouve :
- les exigences de protection physique (par exemple ne pas laisser les appareils sans surveillance dans les endroits publics, y compris les chambres d’hôtel)
- les mesures spécifiques pour empêcher l’accès aux informations en cas de vol.
Vous ne devriez pas être étonnés que les équipements soient vérifiés à leur retour, et plus particulièrement encore s’ils sont restés longtemps à l’extérieur.
Il est important que votre entreprise ou organisation diffuse, à destination des personnes autorisées à emporter ces équipements mobiles, des messages spécifiques de sensibilisation et de formation à la sécurité.
Ce contrôle couvre aussi ce qu’on appelle le BYOD (Bring Your Own Device) ou AVEC (Apportez Votre propre Equipement de Communication) en français. On se retrouve ici confronté à un problème parfois épineux : comme ces équipements appartiennent aux personnes et pas à l’entreprise, cette dernière n’a pas toute l’autorité pour son emploi et sa configuration.
L’entreprise veillera à obtenir la séparation des utilisations privées et professionnelles et à ne permettre l’accès aux informations professionnelles (comme les courriels) qu’après la signature d’une convention commune sur l’emploi et le respect des règles de sécurité.
Télétravail
Ici, il s’agit de protéger les informations consultées, stockées et traitées lors de la prestation des activités professionnelles ‘hors des murs’ de l’entreprise.
Accéder aux courriels est une chose, travailler ‘à distance’ sur les informations et avec les applications (parfois sensibles) professionnelles en est une autre. Il y aura donc plus de restrictions d’utilisation et d’accès que lors du travail ‘au bureau’.
En plus des exigences de sécurité physique pour empêcher l’accès non autorisé, par exemple par les membres de la famille, on trouvera celles concernant la connexion à l’internet.
L’entreprise exige fréquemment une liaison sécurisée vers les systèmes de l’entreprise, seul moyen d’accès à l’internet et aux informations avec des restrictions plus étroites selon leur classification.
On utilisera soit les équipements mobiles de l’entreprise, soit le matériel privé avec des obligations de protection technique spécifiques et une autorisation de vérifier qu’elles sont respectées.
Votre organisation ou entreprise met-elle en œuvre des bonnes pratiques ? Les règles imposées vous paraissent-elles plus claires ? Avez-vous des questions ? N’hésitez pas à m’écrire.
A bientôt plus en sécurité avec vos informations.
Jean-Luc
Photo: Réserve personnelle
Google+