Avec la mise en place du télétravail, les données se retrouvent hors de la protection physique et du réseau sécurisé de l’entreprise. Cette exposition freine certaines entreprises sensibles à la question de la protection des données. Or, contrairement à ce que l’on pourrait penser, les applications métiers utilisées dans le cadre du télétravail ne font pas courir davantage de risques à l’entreprise, à condition toutefois de les associer à quelques règles de bonne conduite.

Tour d’horizon, avec Bruno Catteau, Chief Plateform Officer chez Lucca, des pratiques à appliquer pour garantir un niveau de sécurité élevé dans l’entreprise.

Sécuriser les équipements personnels de vos collaborateurs

Il n’est pas rare de voir des salariés préférer utiliser leur téléphone portable ou leur ordinateur personnel à celui fourni par l’entreprise, et encore plus lorsqu’ils télétravaillent. Il est donc important d’encadrer cette pratique pour protéger les données de l’entreprise en mettant en place une démarche BYOD (Bring Your Own Device). Cela vous permettra d’identifier, évaluer et hiérarchiser les risques d’une part, et de déterminer les mesures à prendre en cas de perte ou vol de données.

Conseil : Vous pouvez souscrire à un service externe comme Google enterprise Android device policy pour gérer les règles et les paramètres de sécurité des appareils personnels de vos collaborateurs

Former les salariés à la cybersécurité et faire des tests aléatoires

La formation à la cyber sécurité devrait être un sujet récurrent, dès l’embauche et tout au long du parcours dans l’entreprise. Le salarié doit être capable d’identifier les menaces informatiques et d’adopter les bonnes pratiques pour protéger les données de l’entreprise.

Voici les sujets sur lesquels vous ne devez pas faire l’impasse :

  • Interdire l’utilisation de clés USB personnelles pour supprimer les risques de fuite d’information et les attaques de virus ;
  • Choisir un mot de passe fort et le changer tous les 6 mois ;
  • Fermer sa session chaque fois que l’on quitte son poste (encore plus important dans les espaces de co-working) ;
  • Savoir identifier des tentatives de récupération d’informations par des hackers (phishing, réseaux sociaux).

« En plus d’une formation que je dispense à tous les nouveaux salariés, nous réalisons des tests en situation réelle de manière aléatoire pour vérifier leur maturité. Nous avons envoyé par exemple un faux email de mise à disposition d’une fiche de paye, conçu comme l’aurait fait un hacker. Puis nous avons fait un compte-rendu pour faire de la prévention sur le hameçonnage. »

Conseil : auditez régulièrement les ordinateurs de vos collaborateurs pour vérifier qu’ils ne conservent pas de données clients sur leur poste (exports depuis le CRM) ou que des fichiers ne se soient pas installés sans qu’ils ne s’aperçoivent. Passez également en revue les applications utilisées pour vous assurer que les règles sont en place, qu’il n’y a pas d’accès public ou de traces d’accès suspects.

Utiliser des logiciels SaaS (Software as a Service)

Accessibles en ligne, les logiciels SaaS sont par définition particulièrement adaptés à la pratique du télétravail, des applications bureautiques aux emails en passant par le CRM ou le SIRH. Au-delà de la facilité de mise en oeuvre ou d’accès, l’un des principaux avantages du SaaS est l’externalisation de toutes les problématiques de sécurité et de sauvegarde des données. Tout est géré par le prestataire de services, à condition toutefois que ce dernier ait une solide stratégie de sécurité. Cela doit être le premier critère de choix.

Conseil : consultez la politique de sécurité du prestataire. Celle-ci doit décrire précisément les procédures lui permettant de garantir la disponibilité, l’intégrité et la confidentialité des données qu’il héberge ou gère.

Pratiquer le « zéro trust »

La philosophie « zéro trust » ne s’intéresse pas à la sécurité physique des équipements mais aux usages. C’est le réseau internet qu’il faut considérer comme étant le réseau de l’entreprise. Partant de ce constat, tous les logiciels SaaS doivent faire partie de la politique de sécurité de l’entreprise.

L’objectif est de gérer la sécurité, non plus au niveau du réseau, mais au niveau de chaque utilisateur, de manière individuelle. Cela inclut la gestion des identités et des accès : politique de droit d’accès, gestion des mots de passe, double authentification, interconnexions sécurisées, etc.

« Nous avons fait ce choix pour Lucca bien avant le confinement en utilisant quasi exclusivement des solutions en Saas : que l’on soit dans les locaux ou à l’extérieur, il n’y aucune différence en termes de sécurité. S’il y a le feu dans les locaux : on ne perd rien avec les sauvegardes des données dans le Cloud. Si on nous vole un ordinateur portable : il n’y a aucun passe-droit avec la double authentification. »

Définir l’ensemble des règles d’accès et d’utilisation des données dans une charte informatique et la diffuser

La charte informatique encadre l’accès aux données et l’utilisation des moyens informatiques mis à disposition des salariés dans l’entreprise. Elle comprend un ensemble de règles d’utilisation des outils et applications informatiques (logiciels, Internet, stockage de données…).

Dans la plupart des entreprises, elle est mise à disposition des salariés par simple note de service. En revanche, si vous souhaitez y conférer une valeur réglementaire ou prévoir des sanctions en cas de non-respect de la charte, vous devez :

  • Annexer la charte au règlement ou modifier le contenu du règlement intérieur ;
  • Consulter le CSE ;
  • Informer en amont les collaborateurs ;
  • Déposer la charte au secrétariat-greffe du Conseil de Prud’hommes ;
  • Transmettre la charte en double exemplaire à l’inspection du travail, avec l’avis des membres du CSE.
Pour aller plus loin : Comment Lucca sécurise les connexions à ses logiciels de ressources humaines ?

Quitter après avoir répondu

Please enter your comment!
Please enter your name here