Le télétravail face au COVID-19 : comment organiser la sécurité de son système informatique ?

L’accroissement du télétravail au sein des entreprises expose leurs systèmes d’information à de nouveaux risques d’attaques informatiques.

La propagation du Covid-19 sur le territoire a contraint les entreprises à prendre les mesures adéquates pour assurer la continuité de l’activité, tout en protégeant leurs effectifs. Très tôt encouragé par le Gouvernement, le recours au télétravail s’est rapidement imposé permettant ainsi aux salariés de travailler à distance grâce au matériel informatique fourni par l’entreprise ou leur propre matériel en cas d’insuffisance d’un tel équipement (pratique du « Bring Your Own Device » ou « BYOD »).

Comme l’a récemment relevé l’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), les entreprises se retrouvent ainsi exposées à des risques importants d’attaques informatiques, dans la mesure où la crise sanitaire a entraîné une recrudescence des fraudes tentant d’exploiter le Covid-19 et que les lieux de connexion des salariés en télétravail présentent rarement les mesures de protection suffisantes, en particulier lorsqu’ils utilisent sans autorisation leur propre matériel (« shadow IT »). Or, l’actualité démontre que les pirates informatiques sont aujourd’hui enclins à exploiter toute faille de sécurité des entreprises, qu’ils savent particulièrement vulnérables et fragilisées en période de crise.

Afin d’encadrer et sécuriser efficacement les accès à distance au système d’information, les procédures encadrant la sécurité informatique doivent être revues pour vérifier leur adaptation à ce contexte inédit. Dans ce cadre, l’ENISA (European Union Agency for Cybersecurity) a récemment publié des recommandations sur les mesures de sécurité à respecter en télétravail, en rappelant aux entreprises qu’elles doivent renforcer la sensibilisation de leurs salariés, notamment au regard des campagnes actuelles d’attaques de phishing par emails liés au Covid-19.

En complément de ces procédures, la charte informatique se révèle être un outil précieux pour les entreprises. En effet, elle a pour finalité de contribuer à la préservation de la sécurité du système d’information et fait du salarié un acteur essentiel dans la réalisation de cet objectif. Elle permet ainsi de contrôler et surtout de pouvoir sanctionner, sous certaines conditions, la manière dont les salariés peuvent accéder et utiliser les outils et ressources informatiques professionnels mis à leur disposition pour les besoins du télétravail. Encore faut-il que les salariés en télétravail soient expressément inclus dans son champ d’application, en couvrant en particulier les modalités selon lesquelles ils peuvent utiliser leur propre matériel informatique.

Désormais contraintes de fonctionner en télétravail permanent, les entreprises ont donc tout intérêt à s’assurer qu’une charte informatique soit bien mise en place. Si tel est le cas, elles doivent particulièrement veiller à ce que la charte encadre bien des pratiques désormais généralisées comme le BYOD, en imposant à leurs salariés la mise en place de mesures de sécurité strictes telles que l’installation d’un filtre de confidentialité sur l’écran, le recours à un mot de passe complexe et fréquemment renouvelé, l’utilisation d’un anti-virus à jour ou encore une authentification au réseau de l’entreprise à distance via un dispositif sécurisé. La CNIL a récemment publié sur son site internet des recommandations ciblées en la matière, portant en particulier sur les services à distance installés et utilisés, souvent de manière inédite et dans l’urgence, par les entreprises (VPN, solution de bureau distant, messagerie électronique, visioconférence, ect.). Afin de garantir la bonne sécurisation des données personnelles dans ce cadre, la CNIL conseille notamment d’utiliser des protocoles garantissant la confidentialité et l’authentification du serveur destinataire (protocoles HTTPS et SFTP), d’appliquer les derniers correctifs de sécurité aux outils et ressources informatiques professionnels utilisés, d’instaurer des mécanismes d’authentification à double facteur et de consulter quotidiennement les journaux d’accès afin d’identifier rapidement d’éventuels comportements suspects.

La protection des systèmes d’information de l’entreprise passe également par un renforcement des règles de confidentialité applicables en cas de télétravail. Les salariés doivent ainsi être invités à ne partager des informations hautement confidentielles ou sensibles qu’au moyen des outils sécurisés d’échange de données de l’entreprise et non par email. Ceux d’entre eux qui utilisent leur propre matériel informatique devront être particulièrement sensibilisés à la nécessité de cloisonner la partie professionnelle de la partie personnelle de leur équipement, ainsi que sur la possibilité pour l’entreprise d’accéder aux contenus professionnels qui y sont stockés, voire d’effacer à distance la partie de l’équipement affectée aux ressources de l’entreprise, comme l’a récemment rappelé la CNIL.

Ce contexte invite donc les entreprises à prévoir des mesures préventives, tel que l’établissement d’un protocole à suivre en cas de faille ou violation de sécurité (phishing, ransomware, cheval de Troie, virus, etc.) et à mener des campagnes régulières de sensibilisation auprès de ses salariés (emails d’information, tutoriaux, alertes sur les campagnes d’attaques en cours, etc.). Afin de limiter les risques d’exposition à ces attaques informatiques, le site gouvernemental Cybermalveillance.gouv.fr a publié à l’attention des salariés et des employeurs ses conseils de sécurité informatique pour le télétravail en situation de crise. A cette occasion, il rappelle notamment que les salariés doivent sécuriser leur connexion WiFi afin d’éviter toute intrusion sur leur réseau qui pourrait être utilisée pour attaquer l’entreprise, installer des applications et logiciel uniquement depuis les sites ou magasins officiels des éditeurs ou encore ne pas consulter de sites suspects ou frauduleux (sites de téléchargement et de streaming notamment) susceptibles de piéger leur équipement. Par ailleurs, un point de contact dédié, joignable par email ou par téléphone, pourra être désigné par l’entreprise, afin que les salariés puissent rapidement faire remonter le problème et que des mesures appropriées soient mises en œuvre. Par souci de prévention, ces derniers devront être incités à signaler non seulement les incidents avérés mais également les tentatives.

Certes, en pratique, l’adoption de la charte informatique ou sa mise à jour rencontre la difficulté de faire l’objet de formalités auprès du comité social et économique (CSE), du conseil de prud'hommes et de l'inspection du travail. Avec l’ordonnance n° 2020-389 du 1er avril 2020, le Gouvernement a cependant autorisé le CSE à se réunir par visioconférence, conférence téléphonique voire même, le cas échéant, par messagerie instantanée. Le décret n° 2020-419 du 10 avril 2020 est venu préciser les modalités de ces nouveaux moyens de consultation. Par ailleurs, le dépôt au greffe du conseil de prud’hommes et la communication à l’inspecteur du travail peuvent s’effectuer par courrier, même si les délais de traitement seront nécessairement rallongés compte tenu des mesures de confinement

Register now for your free, tailored, daily legal newsfeed service.

Le télétravail face au COVID-19 : comment organiser la sécurité de son système informatique ?

Filed under

Topics

Popular articles from this firm

Concentration en France : l’Autorité de la concurrence rappelle avec force qu’anticiper n’est pas jouer *

New French Decree, Ministerial Order Clarify Foreign Investment Authorisation Rules *

Six recommendations for clients with connections to France *

International relocation of companies: focus on French practice *

The fiducie in restructuring and acquisition transactions in France *

Related practical resources PRO

Related research hubs