Le télétravail est une des solutions proposées par les politiciens afin de réduire l’empreinte carbone, le stress et les délais des déplacements qu’ils soient faits en voiture (individuelle pour la plupart) ou en transports en commun.
Certaines entreprises l’ont adopté, au moins un jour par semaine, au même titre que les bureaux paysagers et la disparition des locaux ou tables de travail réservés.
L’image est reprise de l’article http://secretaire-freelance.over-blog.com/2017/09/le-teletravail-experience-avantages-et-vigilances.html qui parle de tous les autres aspects du télétravail. On y voit que la sécurité de l’information ne fait pas partie des considérations habituelles.
L’idée n’est pas mauvaise en soi, mais elle met la protection de l’information en danger.
Pourquoi ? Voyons cela avec quelques solutions.
Revoyez ce qu’en dit ‘la’ référence en matière de sécurité de l’information.
La valeur de l’information est ignorée
C’est un fait. L’information étant virtuelle et immatérielle, on oublie souvent de considérer qu’elle a une grande valeur surtout pour l’entreprise et ses concurrents… ou plus généralement ceux qui lui veulent du mal.
Si c’est pour traiter ces données anodines, il n’y a pas de problème. Mais si ce sont des chiffres comptables, des informations de marketing ou la gestion des ressources humaines il faut faire très attention. Les premières sont très attirantes et les dernières tombent sous le coup du RGPD (la loi européenne de protection de la vie privée).
Il importe de protéger les ordinateurs contre les accès illicites en cas de vol ou de curiosité de l’entourage. Pourquoi ne pas chiffrer le disque dur ?
L’environnement de travail est ‘libre’
L’environnement physique n’est pas autant protégé qu’au bureau.
Pas de comptoir d’accueil pour filtrer les visiteurs, pas toujours d’armoires métalliques fermées à clef ou de coffre-fort.
Nos proches tournent autour de nous et voient les documents sur les tables. Ils peuvent accéder à des informations qu’ils ne devraient pas voir. Ils peuvent aussi manipuler l’ordinateur et endommager des fichiers (involontairement bien évidemment).
Il faudrait donc préférer un bureau, un local où nous pouvons être seul et contrôler les accès aux informations… et tout mettre sous clef quand on a fini.
Le canal d’échange est vulnérable
Pour ne pas dire qu’il est sur écoute…
Les canaux informatiques – internet, email et téléphonie :
Vous n’êtes pas à l’abri d’un hacker, d’un curieux, d’un intrus.
Jamais.
Une des solutions la plus utilisées est le canal sécurisé entre votre ordinateur et le bureau : le VPN (Réseau Privé Virtuel). Ce canal est comme un tunnel qui vous relie aux serveurs du bureau et seuls vous, avec vos codes d’accès, pouvez utiliser ce tunnel.
Les canaux plus classiques – la voiture ou les transports en commun :
Le vol dans la voiture ou, plus simplement, de votre sac, le regard appuyé par dessus votre épaule dans le train sont le lot quotidien. On n’y fait pas toujours attention et ils sont la source la plus fréquente de fuites d’informations.
Attention : Les fournisseurs de comptes émail gratuit – gmail, hotmail, yahoo et autres – sont à proscrire pour les emails professionnels. Ces fournisseurs de service ne se cachent pas de rechercher dans vos courriels des mots-clés et des informations utiles qu’ils peuvent vendre. Le moindre des dommages est l’arrivée d’emails et d’annonces publicitaires quand vous naviguez sur internet.
Ce n’est pas seulement à la maison…
Le télétravail est aussi pratiqué quand vous êtes en déplacement, pour des conférences ou quelques jours de congé. Il est difficile de rester ‘non connecté’ très longtemps. Ainsi, les trains et les avions, les aéroports et les gares, les hôtels… sont des lieux où l’on travaille parfois.
C’est cependant bien moins sécurisé encore que la maison, car vous n’avez aucun contrôle ni sur l’environnement physique, ni sur les canaux de communication. Vous pouvez être sûr que le WiFi (le réseau sans fil) est écouté – ce qui est contraire aux règles du RGPD – mais tellement instructif !
Il vous appartient de rester vigilant et de suivre scrupuleusement les règles qui vous sont imposées par votre employeur… si elles existent, ce dont je doute pour la majorité des cas.
Prudence donc. Prévenir vaut mieux que guérir et de devoir subir les foudres du patron… ou d’être licencié et poursuivi en justice.
C’est à votre employeur de vous dire ce que vous pouvez faire et ne pas faire, et dans quelles conditions. Demandez lui les directives à suivre.
Et rappelez-vous, ce n’est pas une question informatique – même si c’est le service informatique qui produit les règles. C’est une responsabilité des responsables-métiers. C’est eux qui sont responsables de l’atteinte des objectifs. Et il faut remercier le RGPD d’avoir remis l’église au milieu du village… ou le nez au milieu de la figure !
N’hésitez pas à m’interroger et à commenter.
A bientôt, plus en sécurité avec vos informations
Jean-Luc
Google+