Dans le contexte du COVID-19, le télétravail est une solution qui doit s'accompagner de mesures de sécurités renforcées pour garantir la sécurité des systèmes d'information et des données qu'ils traitent. La CNIL publie des recommandations pour aider à la bonne sécurisation des données personnelles durant cette transition.

Sécurisez votre système d’information

• Éditez une charte de sécurité dans le cadre du télétravail ou, dans le contexte actuel, au moins un socle de règles minimales à respecter, et communiquez ce document à vos collaborateurs suivant votre règlement intérieur.

• Si vous devez modifier les règles de gestion de votre SI pour permettre le télétravail (changement des règles d'habilitation, accès des administrateurs à distance, etc.), mesurez les risques encourus et, au besoin, prenez les mesures nécessaires pour maintenir le niveau de sécurité.

• Équipez tous les postes de travail de vos salariés au minimum d'un pare-feu, d'un anti-virus et d'un outil de blocage de l'accès aux sites malveillants.

• Mettez en place un VPN pour éviter l'exposition directe de vos services sur Internet, dès que cela est possible. Activez l'authentification du VPN à deux facteurs si c'est possible.

• Mettez à disposition de vos salariés une liste d’outils de communications et de travail collaboratif appropriés au travail distant, qui garantissent la confidentialité des échanges et des données partagées. Favorisez des outils dont vous conservez la maîtrise et assurez-vous qu'ils fournissent au minimum une authentification et un chiffrement des communications conformes à l'état de l'art et que les données transitant ne sont pas réutilisées pour d'autres finalités (amélioration du produit, publicitaire, etc.). Certains logiciels grand public peuvent transmettre à des tiers les données sur leurs utilisateurs, et s’avèrent donc particulièrement inadaptés pour un usage en entreprise. En outre, la direction interministérielle du numérique (DINUM) déconseille l’usage de certains logiciels, tels que Zoom, pour échanger des informations non publiques et recommande d’autres solutions telles que Jitsi. Vous pouvez également vous appuyer sur la liste des produits certifiés Certification de Sécurité de Premier Niveau (CSPN) délivrée par l'ANSSI.

Si vos services sont accessibles depuis Internet

• utilisez des protocoles garantissant la confidentialité et l’authentification du serveur destinataire, par exemple HTTPS pour les sites web et SFTP pour le transfert de fichiers, en utilisant les versions les plus récentes de ces protocoles ;

• appliquez les derniers correctifs de sécurité aux équipements et logiciels utilisés (VPN, solution de bureau distant, messagerie, vidéoconférence etc.). Consultez régulièrement le bulletin d'actualité CERT-FR pour être prévenu des dernières vulnérabilités sur les logiciels et des moyens pour s'en prémunir ;

• mettez en œuvre des mécanismes d’authentification à double facteur sur les services accessibles à distance pour limiter les risques d'intrusions ;

• consultez régulièrement les journaux d’accès aux services accessibles à distance pour détecter des comportements suspects ;

• ne rendez pas directement accessibles les interfaces de serveurs non sécurisées. De manière générale, limitez le nombre de services mis à disposition au strict minimum pour limiter les risques d'attaques.

Références pour vous accompagner dans cette sécurisation

• Le guide du NIST sur le télétravail (en anglais uniquement).

• Le bulletin d’actualité du CERTFR-2020-ACT-002.

• Les différents guides de l'ANSSI, notamment le guide d’hygiène informatique, les recommandations de sécurité relatives aux réseaux Wi-Fi, les bonnes pratiques pour se prémunir des rançongiciels et la liste des produits et services qualifiés.

• La plateforme cybermalveillance.gouv.fr d'aide nationale d’assistance aux victimes d’actes de cybermalveillance, de sensibilisation aux risques numériques et d’observation de la menace en France, notamment les recommandations de sécurité informatique pour le télétravail en situation de crise.

• Le guide de la sécurité des données personnelles et les bonnes pratiques du BYOD de la CNIL ainsi que la cartographie des outils et pratiques de protection de la vie privée du LINC.

Vous souhaitez contribuer à ce guide ?

• Ce guide est publié sous licence GPLv3 et sous licence ouverte 2.0 (explicitement compatible avec CC-BY 4.0 FR). Il est donc librement partageable. Vous en trouverez une version PDF dans l'onglet "Releases".

• Vous pouvez contribuer à son enrichissement. Cela se fait en quelques étapes :

  • inscrivez-vous sur la plateforme Github ;
  • rendez-vous sur la page du projet ;
  • vous pouvez :
    • utiliser l’onglet "Issue" pour ouvrir des commentaires ou participer à la discussion
    • utiliser l'option "Fork" en bannière de cette page pour faire vos propres modifications et proposer leur inclusion via le bouton "Pull Requests"

• Toutes vos propositions de contribution seront examinées par la CNIL avant publication.