Permettre à ses salariés d’expérimenter le télétravail, c’est leur offrir plus de souplesse et donc favoriser les gains de productivité. Mais si une telle évolution implique des aménagements en termes d’organisation du travail, elle nécessite aussi de respecter quelques principes clés pour éviter toute faille dans le système de sécurité informatique. « Il existe trois types de risques : d’abord que le salarié ne puisse pas accéder aux ressources dont il a besoin pour travailler, ensuite qu’il soit un vecteur de menace pour le système d’information de l’entreprise, et à l’inverse que ce système contamine le poste du salarié », détaille Lazaro Pejsachowicz, président du Club de la sécurité de l’information français (Clusif). Pour les entreprises, la problématique la plus sensible réside dans la fuite de données. Le respect de certaines règles permet cependant de limiter les risques.
Catégoriser les données et analyser les risques pour une plus grande sécurité informatique
Avant même de mettre en place un projet de télétravail, la première tâche de l’entreprise consiste à identifier clairement les risques qu’elle encourt et pour cela, à classer ses données et ressources selon leur degré de criticité. « On ne peut pas avoir un traitement monolithique de toutes les données », prévient Christophe Auberger, directeur technique France de Fortinet, qui propose des solutions technologiques de sécurité informatique aux entreprises. Il convient donc en premier lieu d’identifier les informations les plus sensibles afin d’envisager pour certaines d’en interdire l’accès à distance, ou pour d’autres de mettre en place des mécanismes de sécurité renforcés. Si la mission d’un collaborateur implique un accès permanent à des informations très critiques, celle-ci ne se prête peut-être pas au télétravail.
Télétravail: mettre en place un système d’authentification
Il revient normalement à l’employeur de fournir à son collaborateur tous les équipements nécessaires à son travail. « L’idéal est que le salarié utilise un équipement dédié, et dispose d’un poste mais aussi d’une ligne spécifique », souligne Lazaro Pejsachowicz. Mais il est aussi possible qu’il utilise son propre matériel. Son poste reste dans tous les cas exposé au risque de vol ou peut simplement être utilisé sans précaution par un autre membre de la famille. Pour éviter toute intrusion étrangère dans le système de l’entreprise, il faut donc pouvoir identifier avec certitude le salarié lorsqu’il s’y connecte. Outre l’utilisation d’un identifiant et d’un mot de passe, l’authentification peut au besoin se faire plus complexe. « On peut par exemple demander en plus de fournir un code à usage unique généré par une application téléphonique ou un porte-clef », explique Christophe Auberger.
Sécuriser les flux
Pour prévenir toute interception d’informations lors des échanges entre le poste du salarié et le réseau de l’entreprise, il convient de sécuriser ces flux. Pour cela, il est possible d’utiliser un VPN (Virtual private network, ou réseau privé virtuel), dont certains sont gratuits. Il crée une sorte de tunnel entre le poste et les ordinateurs de l’entreprise, à travers lequel transitent les données plutôt que de circuler publiquement sur internet. On peut en outre chiffrer ces informations. « On préconise malgré tout d’analyser de manière automatique le flux qui provient des postes distants, ce que permettent les pare-feux nouvelle génération », conseille Christophe Auberger. Le salarié n’est en effet pas à l’abri d’avoir récupéré des virus sur son ordinateur, par exemple s’il l’utilise pour des sessions internet à usage non professionnel.
Sensibiliser les salariés
Quelle que soient les solutions technologiques adoptées, la meilleure façon de protéger l’entreprise et ses salariés est de les sensibiliser aux enjeux de sécurité liés au télétravail. « Le facteur le plus important de risque, c’est l’humain », rappelle Christophe Auberger. Il importe donc de former les collaborateurs aux meilleurs usages et de leur faire prendre conscience des risques que représentent par exemple l’absence de mise à jour d’un antivirus, le mélange des messageries personnelles et professionnelles, ou le stockage de données de l’entreprise sur des plates-formes publiques.
Encadrer les usages
« La sécurité, c’est d’abord de la paperasse, rien ne sert de mettre en place des mécanismes de sécurité si ce que le salarié doit faire et ne pas faire n’est pas inscrit dans son contrat de travail ou dans le règlement intérieur de l’entreprise », assure le président du Clusif. La mise à jour du contrat de travail ou la mise en place de chartes au sein de l’entreprise doit ainsi permettre de détailler les bonnes pratiques, d’expliciter les restrictions et de donner les procédures à respecter.