Le télétravail cause des maux de tête aux responsables de la sécurité de l’information. Pour mieux encadrer les télétravailleurs, la politique de sécurité des organisations devrait prévoir des règles à leur intention.
Selon Statistique Canada, le nombre de télétravailleurs a régressé au pays depuis l’an 2000, passant de 1,4 million à 1,3 million en 2005. Bien que les raisons de ce recul ne soient pas connues, on pense que les employeurs ont réévalué le pour et le contre du concept. Il est permis de croire qu’entre autres facteurs, le souci de resserrer la sécurité ait pesé dans la balance.
Trop de télétravailleurs, en effet, prennent la sécurité à la légère. Pour les organisations, cela peut représenter un problème épineux. Malgré la régression mentionnée, le télétravail demeure une réalité tangible. D’ailleurs, la firme d’analyse IDC prévoit une augmentation du nombre de ses adeptes aux États-Unis au cours des prochaines années.
L’un des principaux défis posés par le télétravail consiste à traiter des données privées ou confidentielles hors de l’environnement sécurisé de l’entreprise. À cet égard, il existe une règle fondamentale : ne pas laisser aux télétravailleurs le soin de définir les paramètres de sécurité de leur poste de travail.
Sécurisation du réseau
Les organisations doivent elles-mêmes établir des règles strictes à ce sujet et, par l’entremise d’une gestion centralisée, s’assurer que les outils de protection (antivirus, antipollupostage, etc.) sont maintenus à jour. Des solutions sont offertes dans le marché permettant de vérifier un poste de travail à distance avant d’en autoriser la connexion au réseau d’entreprise. Par contre, le stade d’évolution de ces solutions est encore précoce, et elles demeurent onéreuses.
Toutes les données transitant entre le poste du télétravailleur et l’entreprise doivent être chiffrées. La façon la plus simple de le faire est d’utiliser un réseau privé virtuel (RPV) en tant que connexion réseau unique. En plus de chiffrer toute transmission, le réseau RPV peut empêcher les liaisons directes entre l’utilisateur et Internet. Pour se relier à la Toile, le télétravailleur doit alors passer par le réseau sécurisé de l’entreprise, ce qui confère une protection accrue. Bien sûr, les réseaux VPN ralentissent le traitement, mais le jeu en vaut la chandelle.
Attention aux réseaux RPV SSL, toutefois. Certes, ils sont attrayants, puisqu’ils évitent d’avoir à installer et à entretenir un logiciel client sur le poste de travail. Par contre, ils ne permettent pas de respecter la règle de la connexion réseau unique, car ils créent un pont qui unit Internet et le réseau interne de l’entreprise. La connexion sans fil au réseau RPV est à éviter également, surtout s’il s’agit d’un RPV SSL. Offert de plus en plus fréquemment dans des lieux publics tels hôtels, cafés et aéroports, le sans-fil expose les communications à des interceptions par un tiers (attaque de type man-in-the-middle).
Politique de sécurité du télétravail
Une tendance observée au sein des organisations est de privilégier fortement la sécurisation du réseau. On doit se rappeler, cependant, que ce dernier ne constitue qu’un maillon dans la chaîne de sécurité. Il est primordial également d’inculquer aux télétravailleurs certaines habitudes fondamentales. À cette fin, il est fortement conseillé d’inclure un chapitre sur le télétravail dans la politique de sécurité de l’entreprise. Afin de conscientiser les utilisateurs à propos de l’importance de la sécurité, on y expliquera comment des fléaux comme l’infection des environnements informatiques et le vol de dispositifs mobiles forcent la direction à entourer le télétravail de mesures rigoureuses.
La règle la plus importante à instituer demeure sans doute d’utiliser l’ordinateur de l’entreprise aux fins du travail uniquement. Bien entendu, le télétravailleur demeure le seul utilisateur autorisé. On ne saurait trop se méfier des ados et des beaux-frères susceptibles d’infecter un PC en un tournemain.
Certaines organisations choisiront de faire signer une entente à chaque télétravailleur afin qu’il soit clairement établi comment devrait être utilisé l’équipement de l’entreprise. La tentation est grande de se servir de l’ordinateur de son employeur à des fins personnelles lorsqu’il est plus évolué que celui de la maison. Ou qu’il est couvert par un soutien technique gratuit… Le télétravailleur ne peut oublier que, même en pantoufles devant son foyer, il demeure à l’emploi de son entreprise et doit en respecter les règles.
Par ailleurs, une organisation doit interdire formellement la désactivation ou l’atténuation des mesures de protection établies (pare-feu, antivirus, etc.). Beaucoup de télétravailleurs posent un tel geste afin d’accroître la vitesse de traitement de leur système ou de s’assurer qu’un fichier leur sera transmis sans encombre.
Pour mieux décourager cette attitude risquée, la direction doit faire preuve de fermeté. À titre d’exemple, elle peut manifester son intention de retirer aux contrevenants le privilège de faire du télétravail. Parce que le statut de travailleur est bel et bien un privilège accordé par l’entreprise à ses employés… Règles et sanctions devraient donc être clairement énoncées dans la politique de sécurité.
Il est conseillé également d’y inclure les mesures établies afin de prévenir le vol d’ordinateurs ou d’en réduire les effets, le cas échéant. De ce point de vue, il est essentiel que les disques durs utilisés par les télétravailleurs soient chiffrés. Si l’un d’eux tombe entre de mauvaises mains, il sera impossible d’utiliser les informations qui y sont stockées.
La politique de sécurité précisera aussi les restrictions imposées à l’utilisation du téléphone et du télécopieur. Idéalement, on devrait éviter d’avoir recours à ces moyens de communication pour transmettre de l’information particulièrement sensible.
Une fois que les principes généraux ont été stipulés, la politique de sécurité doit s’attarder au détail. Elle fournira alors des directives comme les règles à suivre dans la formation des mots de passe, l’ouverture sécuritaire d’une session et d’autres normes d’utilisation. Elle mentionnera aussi des précautions à ne pas oublier. Par exemple, ne jamais laisser son ordinateur sans surveillance dans un endroit public, comme la table d’un restaurant ou le siège de la voiture. Par ailleurs, le vol de données peut survenir « par-dessus l’épaule » du télétravailleur, au moment où il est penché sur son écran. Il convient de rappeler aux employés de demeurer attentifs à cette éventualité lorsqu’ils travaillent dans des lieux publics (cafés, salons, aéroports, etc.).
L’ampleur prise par le télétravail et le maintien probable d’un grand nombre de ses adeptes font planer sur les entreprises des menaces qu’elles ne soupçonnaient pas il y a quelques années encore. Les organisations n’ont d’autre choix que d’adopter des mesures concrètes et, surtout, de sensibiliser les employés en regard de l’importance de la sécurité.
Guillaume Séguin est conseiller principal en sécurité des TI chez OKIOK.
À lire aussi cette semaine: La saison 2008 des concours est commencée L’apprentissage en ligne au service des collectivités grâce à Inukshuk L’actualité des TI en bref Début d’année mouvementé pour l’économie des TI Prendre de bonnes résolutions
