Dans le contexte actuel le télétravail peut-être LA solution mais attention - surtout dans une certaine précipitation - à ne pas oublier que le télétravail apporte un risque de sécurité informatique non négligeable. Ce risque est encore plus avéré si votre entreprise manipule des données à caractère personnel.
Il va donc falloir s'assurer que les conditions de cette mise en œuvre respectent les dispositions du RGPD sur les données informatiques.
Même si cette organisation de travail était déjà assouplie par l’ordonnance "Macron" de Septembre 2017, facilitant les conditions de recours au télétravail.
Il parait évident aujourd'hui qu'un grand nombre d'entreprises et notamment de PME ne sont pas encore prêtes à passer ce cap si brutalement.
Nous allons essayer de voir ensemble les questions à se poser afin de mettre en place cette organisation tout en gardant un maximum de sécurité sur vos données !
Qu’est-ce que le BYOD ?
L’acronyme « BYOD » est l’abréviation de l’expression anglaise « Bring Your Own Device » (en français : « Apportez Votre Equipement personnel de Communication » ou AVEC), qui désigne l'usage d'équipements informatiques personnels dans un contexte professionnel.
Il faut être honnête, dans un cadre d'urgence comme aujourd'hui, la solution d'utiliser du matériel informatique personnel pour exécuter des tâches professionnelles risque d'être LA solution pour une grande majorité d'entre vous.
Que vous soyez administrateur système, responsable informatique, ou responsable au sein d'une entreprise qui prépare cette éventualité. Sachez que des dispositions existent déjà à ce sujet. Je vous invite à consulter le site de la CNIL qui évoquent ces dispositions : https://www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques .
Si vous ne devez retenir qu'une seule phrase :
L’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise.
Il va donc vous incomber de sécuriser l'accès aux données de l'entreprise et d'en garder le contrôle.
Sécuriser les accès
Il est dans un premier temps nécessaire d'établir une liste des accès nécessaires à l'activité :
- Qui ?
- À quoi ? Quelle(s) ressource(s) ?
Essayez d'être pragramatique et de restreindre - au moins dans un premier temps - le champ des interactions à son strict minimum. Cela vous fournira une liste à minima des actions à réaliser pour créer/autoriser des accès à distance par exemple.
Une fois les personnes et ressources définies, il va être nécessaire de répondre à la question :
- Comment ?
Comment offrir cet accès, à un utilisateur et à une ressource particulière et de façon sécurisée?
Dans la plupart des cas, un accès à votre réseau d'entreprise devrait permettre de répondre à cette question. Notamment au travers de l'utilisation de solution VPN.
Il existe de nombreuses solutions VPN sur le marché. Si je devais donner un conseil d'urgence : OpenVPN.
Cette solution est éprouvée, open-source, facilement installable et son agent fonctionne sous Windows, Linux et MacOS.
Vous pourrez également créer des routes spécifiques pour certaines configurations ce qui peut répondre au besoin de limiter certaines ressources.
Et si vous avez envisagé une solution comme Teamviewer pour le télétravail, je ne vous jetterai pas la pierre aujourd'hui ! Mais attention de ne pas aller dans la précipitation extrême !
Mais peu importe les efforts de sécurité que vous pourrez déployer, si votre ennemi vient de l'intérieur !
Garder le contrôle
Finalement il s'agit de la partie la moins technique mais de la plus complexe du télétravail, surtout dans l'urgence ... Dans le cadre d'une utilisation BYOD, comment s'assurer que l'ordinateur de votre collègue/collaborateur est sécurisé ? Possède t-il un anti-virus ?
Dans l'urgence il vous sera quasi impossible de tout contrôler. Il va être nécessaire de faire un maximum de prévention sur la sécurité informatique. Et de ce fait d'éventuellement rappeler votre charte informatique aux salariés si vous en possédez une ( n'hésitez pas à la relire et effectuer une mise à jour en conséquence, évoquez vous l'utilisation de support USB chiffré ? ). Dans le cas contraire, il va être nécessaire de fournir des supports pour rappeler quelques bonnes pratiques :
- Utiliser un mot de passe sur le poste et le verrouiller en cas d’absence. Le déconnecter également du VPN pendant ce temps.
- Attention aux e-mails qui semblent indésirables ( est-ce que je connais l'expéditeur ? )
- Porter attention sur les données d'entreprises copiés sur le PC personnel. Est-ce nécessaire ?
Il faut être honnête, peu de postes personnels seront chiffrés... Il est donc nécessaire de porter une attention toute particulière à ce transfert de données entre l'entreprise et le collaborateur.
Envisager le pire, même en période déjà difficile. Un cas de vol de matériel, et que se passera-t-il ?
Encore une fois, vous aurez l'occasion à posteriori de fournir des anti-virus à vos collègues, de prendre la main sur les postes à distance afin de valider le fonctionnement, de réaliser une documentation d'installation, de faire des documents expliquant comment se connecter, etc... ( Oui oui il va y avoir pas mal de travail ... )
Dans le cadre de cette démarche, et surtout, si vous comptez y faire face de façon urgente, il va être nécessaire d'être pragmatique:
Votre infrastructure sera t-elle en mesure d'absorber un flux massif de l'extérieur ? Vos traitements de données peuvent-ils être déportés de façon simple ?
Si vous travailler sur des fichiers volumineux par exemple, la connexion de votre collègue/collaborateur ne suffira peut-être pas ... ou pire, celle de votre entreprise.
Il est impossible d'écrire un article pour vous dire comment mettre en place un système de télétravail. Chaque cas est unique et mérite une réflexion à part entière. J'ai surtout voulu, vous apporter quelques conseils, sûrement basiques pour la majorité d'entre vous, mais qui feront peut-être naître quelques réflexions chez d'autres, avant d'envisager un plan d'action demain matin ! 😄
Vous avez déjà envisagé le télétravail massif de votre société ? Quels sont vos retours d'expériences sur le sujet ? 😊
Enfin une liste d'entreprise américaine qui ont déjà pris des mesures de télétravail et pour certaines dès le début du mois de Mars :