Pratiqué par de plus en plus d’entreprises et prisé par les salariés, le télétravail est en plein essor. Une tendance forte, qui nécessite toutefois quelques précautions de la part des entreprises, pour ne pas avoir de mauvaises surprises en matière de protection des données.
Depuis la réforme du Code du travail de septembre 2017, de nouvelles règles élargissent encore le cadre juridique du télétravail en France, permettant aux collaborateurs d’exercer de façon plus ou moins régulière leur activité professionnelle en dehors des locaux de l’entreprise.
Une étude menée en 2017 par RH Kronos montre d’ailleurs que plus de deux Français sur trois sont favorables au développement du télétravail, bien qu’ils ne soient que 17% à peine à le pratiquer plus d’une journée par semaine. Loin, encore, des 30% en moyenne constatés en Europe.
Télétravail : une pratique qui séduit, mais pas sans risques informatiques
Selon une récente étude réalisée par un acteur de la cybersécurité, 86% des salariés interrogés utilisent leur matériel informatique personnel à des fins professionnelles. Or, 42% déclarent ne pas mettre à jour régulièrement leur système de sécurité, quand 70% de leurs homologues allemands le font régulièrement. Autant dire que le développement du télétravail permettant aux collaborateurs d’accéder régulièrement aux informations sensibles de l’entreprise a de quoi donner des sueurs froides aux DSI.
Trois types de risques doivent particulièrement être anticipés :
- l’impossibilité, pour le salarié, d’accéder aux ressources dont il a besoin pour travailler,
- la contamination du système de l’entreprise par le biais d’une faille de sécurité de l’appareil de l’employé (et réciproquement),
- la fuite ou la perte de données.
Sensibiliser les collaborateurs aux risques informatiques du télétravail
Pour se protéger contre ce genre de désagréments, il est évidemment essentiel de sensibiliser les utilisateurs aux enjeux de sécurité informatique liés au télétravail. Mise à jour régulière des antivirus, dissociation des messageries personnelles et professionnelles, limitation de l’usage de périphériques externes (clés USB, disques durs…) pour transférer des données d’un ordinateur à l’autre… les bonnes pratiques de base doivent régulièrement être rappelées aux télétravailleurs.
« Cette sensibilisation est indispensable, mais elle ne suffit pas », prévient Jocelyn Krystlik, Manager de la Business Unit Data Security chez Stormshield. « Aujourd’hui, il n’est pas réaliste d’imposer de trop fortes contraintes aux utilisateurs. Et la sécurité informatique des entreprises ne peut reposer uniquement sur ce genre de mesures, qui restent de l’ordre de la prévention. »
Systèmes d’identification et solutions cloud au cœur de la protection
Pour les entreprises, limiter les risques informatiques liés au télétravail passe par des mesures concrètes et des solutions techniques.
- Profiler les télétravailleurs. Pour l’entreprise, il est essentiel de définir en amont des profils de télétravailleurs en fonction de leurs attributions et des informations sensibles auxquelles ils doivent ou non avoir accès. Entre les télétravailleurs occasionnels du week-end, ceux à temps partiel ou à plein temps, les mécanismes de sécurité ne sont pas les mêmes.
- Authentifier les accès à distance. Le premier moyen d’éviter une intrusion étrangère dans le système de l’entreprise est d’instaurer un système d’identification du télétravailleur lorsqu’il s’y connecte (identifiant, mot de passe, code à usage unique…).
- Dissocier et protéger les appareils. Au-delà d’un système de protection anti-virus, le moyen le plus simple d’éviter les risques de contamination entre le matériel de l’employé et le système informatique de l’entreprise est encore de réduire les droits d’administration au maximum sur la machine. Et donc d’attribuer au télétravailleur un PC à usage strictement professionnel, régulièrement mis à jour – au niveau sécuritaire – par le service informatique.
- Sécuriser l’accès aux données. Afin de sécuriser les flux d’informations entre le poste du salarié et le réseau de l’entreprise, il est également possible d’utiliser un VPN (Virtual Private Network), même si « ce modèle a de moins en moins de raison d’être, avec le développement du cloud », tempère Jocelyn Krystlik. La mise en place d’une plateforme de bureau virtuel permet en effet d’accéder n’importe où et sur n’importe quel appareil aux données sensibles de l’entreprise, sans y être directement physiquement connecté. « La solution du cloud permet de décorréler l’authentification pour l’utilisation du poste, toujours difficile à protéger, de l’authentification pour l’accès à l’information sensible. Au final ce qui compte, c’est la sécurisation de la donnée stockée qui va transiter », conclut Jocelyn Krystlik.
Un article écrit en collaboration avec l'agence Ultramedia.
