Télétravail : comment bien adapter son infrastructure IT dans la durée

Au-delà des consignes habituelles de sécurité qui s’appliquent dans le cadre de l’entreprise, le travail à la maison nécessite en effet de mettre en place une politique de sécurité plus stricte, car il augmente la surface d’exposition de l’entreprise aux cyber-risques.
Depuis le 11 mai et le déconfinement, les DSI doivent désormais penser à l’après Covid-19, et préparer le retour progressif des salariés au sein de l’entreprise, tout en envisageant un recours plus durable au télétravail.

1. Sensibiliser, former et assister les télétravailleurs

Comme le souligne l’ANSSI, l’Agence nationale de la sécurité des systèmes d'information, sur son site : « Chaque utilisateur est un maillon à part entière de la chaîne des systèmes d’information. » À ce titre, dès son arrivée dans l’entreprise, le salarié doit être informé :

• des enjeux de sécurité ;
• des règles à respecter ;
• des bons usages à adopter en matière de sécurité des systèmes d’information. 

Cette information passe par des actions de sensibilisation et de formation, qui plus est lorsque le travail s’envisage désormais une bonne partie du temps à la maison. Celles-ci doivent être régulières, adaptées, et peuvent prendre différentes formes : mails, affichage, réunions, intranet, etc.

Pour renforcer les mesures de sécurité de l’entreprise, l’élaboration et la signature d’une charte des moyens informatiques peuvent également être envisagées, si celle-ci n’existe pas encore.

2. Bien sécuriser ses appareils nomades

Il est primordial de mettre en place un niveau de sécurité minimal sur l’ensemble des terminaux de l’entreprise, notamment ceux emportés au domicile : ordinateurs, smartphones, tablettes, etc.

Cela passe également par plusieurs actions :

• limiter les applications installées et modules optionnels des navigateurs web aux seuls nécessaires à l’entreprise ;
• doter les postes utilisateurs d’un pare-feu local et d’un anti-virus ;
• chiffrer les partitions où sont stockées les données des utilisateurs ;
• désactiver les exécutions automatiques. 

3. Chiffrer ses données sensibles

Afin d’éviter la perte ou le vol de données sensibles, il convient de stocker sur l’ensemble des matériels nomades de l’entreprise (ordinateurs portables, smartphones, clés USB, etc.) des données préalablement chiffrées. Seul un mot de passe, une carte à puce ou un code PIN doivent permettre d’accéder à ces données.

Pour un niveau de sécurité optimum, mieux vaut également chiffrer toutes les données sensibles envoyées par courriel ou transmises au moyen d’outils d’hébergement en ligne. La transmission du mot de passe ou de la clé permettant de déchiffrer ces données doit s’effectuer via un canal de confiance ou, à défaut, un canal distinct : si par exemple les données chiffrées sont transmises par e-mail, une remise en main propre du mot de passe ou, à défaut, par téléphone doit être privilégiée.

4. Sécuriser les connexions réseau des postes distants

En dehors de l’entreprise, à la maison ou dans les transports, les collaborateurs doivent souvent se connecter au système d’information de l’entreprise. Afin d’éviter toute perte ou vol de données, il convient au préalable de sécuriser la connexion réseau à travers Internet. Même si la possibilité d’établir des tunnels VPN SSL/TLS est aujourd’hui courante, l’ANSSI recommande « d’établir un tunnel VPN IPsec » entre le poste nomade et la passerelle mise à disposition par l’entreprise. Pour garantir un niveau de sécurité optimal, ce tunnel, explique l’Agence, doit « être automatiquement établi et ne pas être débrayable par l’utilisateur. » C’est-à-dire qu’aucun flux ne doit pouvoir être transmis en dehors. Enfin, afin d’éviter toute réutilisation d’authentifiants, notamment depuis un poste volé ou perdu, il est fortement conseillé d’utiliser une authentification forte à l’aide d’un mot de passe ou d’un certificat stocké sur un support externe ou via un mécanisme de mot de passe à usage unique.

5.Durcir les politiques de sécurité dédiées aux appareils mobiles

Aujourd’hui, smartphones et tablettes font partie de notre quotidien personnel et professionnel. La première des recommandations consiste à différencier les usages, personnel et professionnel et les appareils.
Le matériel fournis par l’entreprise doivent ainsi être utilisés en contexte professionnel uniquement et faire l’objet d’une sécurisation à part entière, dès qu’ils se connectent au système d’information de l’entreprise ou qu’ils contiennent des informations potentiellement sensibles : e-mails, fichiers partagés, contacts, etc.

L’utilisation d’une solution de gestion centralisée des équipements mobiles est également fortement suggérée, afin de gérer de façon homogène les politiques de sécurité des différents appareils de l’entreprise : moyen de déverrouillage des appareils, limitation de l’usage du magasin d’applications à des applications validées du point de vue de la sécurité, etc.

COVID-19 : Préparer le retour à la normale

Pour nombre d’entreprises, la fin du confinement, le 11 mai 2020, ne s’est pas traduite, dans l’immédiat, par un retour à la normale. La réintégration des effectifs et des postes sur site s’annonce encore très progressive… Mais les entreprises doivent dès à présent s’y préparer. 

Avec le retour des salariés petit à petit sur site, DSI et RSSI risquent en effet de se retrouver avec toute une flotte de PC, tablettes, ou smartphones, ayant fonctionné à distance, avec une assistance minimale pendant plusieurs semaines. Et pour certains, qui n’auront connu aucune mise à jour système ou de sécurité… Que va-t-il alors se passer quand, rentrés au bureau, tous ces postes seront reconnectés ? Quid alors de la réaction du réseau ? Faudra-t-il prévoir une zone de quarantaine ou de décontamination ? Si oui, comment la gérer ? Avec quels outils système et réseau ? Quels effectifs ? Autant de questions que les entreprises vont devoir anticiper rapidement, car lorsqu’il faudra expliquer aux salariés pourquoi il leur est impossible de se connecter immédiatement lors du « grand retour », leur patience à l’égard du SI risque d’être limitée.

Pour aller plus loin : les conseils de l’ANSSI
 
Parmi les nombreuses publications de l’ANSSI, l’Agence nationale de la sécurité des systèmes d'information, utiles aux RSSI et DSI, voici deux incontournables :

• Le guide d’hygiène informatique
• Les recommandations et le guide sur le nomadisme numérique