Dans le contexte du COVID-19, la CNIL rappelle que le télétravail est une solution qui doit s'accompagner de mesures de sécurité renforcées pour garantir la sécurité des systèmes d'information et des données traitées. La CNIL publie des recommandations pour aider à la bonne sécurisation des données personnelles durant cette transition.

Sécurisation des système d’information

  • la CNIL recommande d'éditer une charte de sécurité dans le cadre du télétravail ou, dans le contexte actuel, au moins un socle de règles minimales à respecter, et de communiquer ce document aux collaborateurs suivant le règlement intérieur.
  • En cas de modification des règles de gestion du système d’information pour permettre le télétravail de mesurer les risques encourus et, au besoin, prendre les mesures nécessaires.
  • Équiper tous les postes de travail des salariés au minimum d'un pare-feu, d'un antivirus et d'un outil de blocage de l'accès aux sites malveillants.
  • Mettre en place un VPN pour éviter l'exposition directe des services sur internet, dès que cela est possible. Activer l'authentification du VPN à deux facteurs si c'est possible.

Si les services de l'entreprise sont sur internet

  • Utiliser des protocoles garantissant la confidentialité et l’authentification du serveur destinataire, par exemple HTTPS pour les sites web et SFTP pour le transfert de fichiers, en utilisant les versions les plus récentes de ces protocoles.
  • Appliquer les derniers correctifs de sécurité aux équipements et logiciels utilisés (VPN, solution de bureau distant, messagerie, vidéoconférence etc.). Consulter régulièrement le bulletin d'actualité CERT-FR pour être prévenu des dernières vulnérabilités sur les logiciels et des moyens pour s'en prémunir.
  • Mettre en œuvre des mécanismes d’authentification à double facteur sur les services accessibles à distance pour limiter les risques d'intrusions.
  • Consulter régulièrement les journaux d’accès aux services accessibles à distance pour détecter des comportements suspects.
  • Ne pas rendre directement accessibles les interfaces de serveurs non sécurisées. De manière générale, limiter le nombre de services mis à disposition au strict minimum pour réduire les risques d'attaques.

Pour plus d'infos :

Consulter mon profil Avocat.fr