Ignorer les commandes du ruban
Passer au contenu principal
loading ...

Les conseils de la CNIL pour mettre en place du télétravail



La CNIL vient de publier une fiche thématique autour du télétravail et des bonnes pratiques à suivre pour tous les salariés amenés à travailler de chez eux en cette période de confinement.


Elle précise que dans le contexte du COVID-19, le télétravail est une solution qui doit s’accompagner de mesures de sécurité renforcées pour garantir la sécurité des systèmes d’information et des données traitées.


La Cnil préconise ainsi un certain nombre de mesures techniques pour mettre en place du télétravail


équiper tous les postes de travail de vos salariés au minimum d’un pare-feu, d’un antivirus et d’un outil de blocage de l’accès aux sites malveillants


mettre en place un VPN pour éviter l’exposition directe de vos services sur internet, dès que cela est possible. Activez l’authentification du VPN à deux facteurs si c’est possible


utiliser des protocoles garantissant la confidentialité et l’authentification du serveur destinataire, par exemple HTTPS pour les sites web et SFTP pour le transfert de fichiers, en utilisant les versions les plus récentes de ces protocoles


appliquer les derniers correctifs de sécurité aux équipements et logiciels utilisés (VPN, solution de bureau distant, messagerie, vidéoconférence etc.). Consultez régulièrement le bulletin d’actualité CERT-FR pour être prévenu des dernières vulnérabilités sur les logiciels et des moyens pour s’en prémunir


mettre en œuvre des mécanismes d’authentification à double facteur sur les services accessibles à distance pour limiter les risques d’intrusions


consulter régulièrement les journaux d’accès aux services accessibles à distance pour détecter des comportements suspects


ne pas rendre directement accessibles les interfaces de serveurs non sécurisées. De manière générale, limitez le nombre de services mis à disposition au strict minimum pour réduire les risques d’attaques.



Elle développe aussi les bonnes pratiques à suivre pour les salariés en télétravail avec six préconisations


1/ Suivre les instructions de son employeur et notamment respecter la charte de l’entreprise. Avec une idée forte : ne pas faire en télétravail ce que l’on ne ferait pas au travail


2/ Sécuriser sa connexion Internet en s’assurant de bien activer les protections des box notamment en matière de Wi-Fi (chiffrement WPA2 ou WPA3) et de pare-feu intégré


3/ Favoriser l’usage d’équipements fournis et contrôlés par son entreprise autrement dit utiliser le PC fourni par l’entreprise pour le télétravail et plus encore utiliser le VPN seulement pour télétravailler et pas pour surfer sur les sites de streaming vidéo. La CNIL recommande également de se connecter quotidiennement au VPN et au SI de l’entreprise afin de recevoir les mises à jour de sécurité (et la mise à jour des paramètres de sécurité) qui peuvent être critiques en cette période.


4/ En cas d’usage d’un ordinateur personnel pour télétravailler, veiller à ce qu’il soit suffisamment sécurisé. La CNIL encourage à bien vérifier les paramètres du centre de sécurité de Windows 10 et de veiller à ce que tout soit bien activé. Elle préconise de ne pas utiliser un profil « administrateur » pour télétravailler mais un profil dédié au télétravail sans droit d’administration pour réduire très considérablement les risques d’infection. Enfin, elle insiste sur l’importance de mots de passe forts et uniques, sur la nécessité d’activer l’authentification à deux facteurs et sur l’intérêt des gestionnaires de mots de passe comme KeePass et ZenyPass.


5/ Communiquer en toute sécurité en évitant de transmettre par des services grand public de partage des données et des fichiers de l’entreprise, en n’installant et en n’utilisant que les logiciels et services autorisés par l’entreprise, et en utilisant autant que possible des systèmes de visioconférence certifiés par l’ANSSI tels que Tixeo.


6/ Être très vigilant face aux tentatives d’hameçonnage, autrement dit de phishing, en se montrant méfiant face à tout email contenant une demande douteuse (notamment ceux cherchant à créer un sentiment d’urgence ou de danger), en ne cliquant pas sur les liens des emails mais en se connectant manuellement aux services, en ne cliquant pas sur les pièces attachées envoyées par email. En cas de doute, contactez les DSI et RSSI de l’entreprise.


Article rédigé le 09 avril

Retour aux actualités