La Commission nationale de l’informatique et des libertés (Cnil) a publié une liste de bonnes pratiques à suivre pour sécuriser la pratique du télétravail. Premier point capital, mais souvent négligé : consulter la charte informatique, lorsqu’elle existe ! Pour sécuriser la navigation sur Internet, l’autorité indépendante conseille de créer des comptes distincts, l’un pour l’usage professionnel, l’autre pour l’usage personnel, lorsque la même application est utilisée. Autre détail souvent oublié : le mot de passe d’accès administrateur de sa box Internet. S’il est trop simple, la Cnil invite à le modifier. Elle propose d’ailleurs un outil capable de générer des mots de passe solides.
Pour ceux qui utilisent le Wi-Fi, la Cnil recommande d’activer l’option de chiffrement WPA2 ou WPA3 avec un mot de passe long et complexe, comprenant au moins une vingtaine de caractères. Elle conseille vivement de désactiver la fonction WPS, de supprimer l’option « wi-fi invité » et d’éviter les accès partagés avec des tiers. Sur un mode plus classique, le régulateur préconise de se connecter uniquement à des réseaux de confiance.
Si l’entreprise ne fournit pas d’équipements (ce qui est le cas pour 50 % des télétravailleurs actuellement ), certaines mesures s’imposent telles que l’installation d’un antivirus et d’un pare-feu ou l’utilisation d’un compte personnel (et non le compte administrateur) avec des droits limités, protégé par un mot de passe fiable et « non partagé avec d’autres personnes », y compris avec sa propre famille ! La Cnil conseille de veiller à une mise à jour régulière de son système d’exploitation et des logiciels utilisés, qui améliorent le niveau de sécurité, mais aussi d’effectuer des sauvegardes des données, « de préférence sur les infrastructures de l’entreprise ». Là encore, l’usage de mots de passe solides est déterminant. La Cnil préconise de recourir à l’authentification à deux facteurs (clé d’authentification, jeton, SMS) si cette option est proposée par le service de sauvegarde et d’utiliser des gestionnaires de mots de passe, comme Keepass ou le français ZenyPass.
Des mesures de bon sens doivent aussi s’appliquer. Il faut éviter de transmettre des données confidentielles à travers des services grand public de stockage, de partage de fichiers, d’édition collaborative ou depuis des messageries. Si aucune autre option n’est disponible, la Cnil préconise de chiffrer les données avant de les transmettre et, surtout, de transmettre les clés de chiffrement par un canal… différent, en envoyant le mot de passe par téléphone ou par SMS. Le régulateur recommande l’utilisation d’utilitaires de compression comme 7-zip ou Zed qui permettent de chiffrer les données avec des algorithmes qui ont une réputation de fiabilité. Si l’entreprise n’est pas en mesure de fournir d’outils adéquats, il faut utiliser des plateformes de communication chiffrées de bout en bout et de privilégier les systèmes de visioconférence qui protègent la vie privée. L’Agence nationale de sécurité des systèmes d’information (Anssi) a certifié l’application Tixeo pour les administrations et les opérateurs d’importance vitale (OIV). La Cnil encourage les entreprises soucieuses de la sécurité de leurs données à l’utiliser également.
