Guide rapide du télétravail en toute sécurité - Bon

GUIDE RAPIDE POUR LE TÉLÉTRAVAIL EN TOUTE SÉCURITÉ

En raison de l'état d'alerte provoqué par le coronavirus de nombreuses administrations et organismes publics promeuvent le télétravail pour assurer la continuité de leurs fonctions et services. Le télétravail, cependant, peut poser des risques de cybersécurité s'il n'est pas planifié à temps, si le personnel est correctement formé et si l'équipement et les connexions sont configurés de manière sécurisée. Compte tenu du contexte actuel, tout cela n'a peut-être pas été possible dans de nombreux cas; pour cette raison, nous vous proposons un sélection des principales mesures de protection de base à prendre en compte qui peut vous aider à télétravailler en minimisant les risques de sécurité dans le traitement des informations de votre organisation.

Gardez à l'esprit que la situation actuelle est très attrayante pour que les cybercriminels volent des mots de passe et détournent des informations confidentielles en échange d'une rançon. Des cas de ce type se sont produits ces derniers mois dans les administrations publiques avec de graves dommages économiques et de réputation.

Cette sélection a été faite dans le but de faciliter un guide pratique et exécutif, destiné aux utilisateurs non experts des petites et moyennes administrations publiques, qui n'ont pas de ressources mettre en place un plan de sécurité complet et avancé. Nous voulons éviter la surinformation et faire des recommandations non viables dans les circonstances dans lesquelles nous nous trouvons. Pour les utilisateurs qui souhaitent approfondir ce sujet, nous proposons des liens supplémentaires à la fin du guide.

Ces recommandations sont de nature générale. Si votre organisation a son propre guide de cybersécurité, faites-y attention.
 

1. Aspects organisationnels

Votre organisation a probablement déjà un responsable du protocole et de la cybersécurité. Vérifiez avec lui les points que nous vous proposons ci-dessous.

Suivez les consignes de sécurité du responsable technologique de votre organisation.

Faites usage de la outils et applications autorisés par votre organisation. Si vous devez utiliser d'autres solutions, soyez prudent et utilisez uniquement des applications de confiance.

Et aussi…

Validez que les sauvegardes sont faites de documents d'entreprise que vous travaillerez à domicile.

Découvrez quel est le canal pour signaler les incidents et résoudre les doutes.

Signalez immédiatement tout incident de cybersécurité au responsable technologique de votre organisation.

2. Équipe de travail

Depuis votre équipe de travail à domicile, vous aurez accès aux informations confidentielles de votre organisation. Que vous utilisiez un ordinateur d'entreprise ou un ordinateur personnel, un ensemble de mesures de protection et de prévention doit être envisagé. Si vous utilisez une équipe de travail d'entreprise, il est courant que vous vous conformiez déjà à la plupart ou à toutes les recommandations via les stratégies de sécurité que l'administrateur a appliquées.

Assurez-vous que le le système et les applications sont mis à jour avec les dernières versions et que la mise à jour automatique de la version est activée.

Vérifiez que votre ordinateur dispose d'un systèmeanti-virus et anti-malware actifs.

  • Pour Windows : actif Anti-malware Microsoft Defender
  • Pour MAC : installez une solution du marché avec une version gratuite : Kaspersky, Avast, AVG, Bitdefender, etc.

Appliquer le verrouillage automatique de l'écran après dix minutes.

Et aussi…

Créez un compte séparé pour la famille et le télétravail sur votre système d'exploitation. Tout accès non autorisé à des informations confidentielles doit être évité.

Activer un pare-feu sur votre ordinateur.

3. Connexion Internet et accès à distance

Les réseaux Wi-Fi domestiques n'ont généralement pas les mêmes contrôles de sécurité, tels que les pare-feu, que ceux mis en œuvre dans les bureaux de l'entreprise. Par conséquent, lorsque vous travaillez à distance, vous devez porter une attention particulière aux caractéristiques du réseau via lequel vous vous connectez, que ce soit pour surfer sur Internet ou pour accéder aux systèmes et aux données de votre organisation.

Évitez d'utiliser des réseaux WiFi publics inconnus et fiables pour accéder à distance aux services de votre organisation.

Et aussi…

Utilisez les services d'accès à distance VPN (Virtual Private Network) recommandés par votre organisation pour accéder aux systèmes d'information de l'entreprise, le cas échéant.

Vérifiez que le routeur Internet n'utilise pas le mot de passe d'usine par défaut. Vous trouverez de nombreux tutoriels sur Internet et YouTube. Vous pouvez utiliser la procédure recommandée par l'organisation de consommateurs et d'utilisateurs.

Configurez le mot de passe du routeur avec des systèmes de cryptage sécurisés : WPA3 (de préférence) ou WPA2.

4. Sauvegardes

Toute la documentation bureautique que vous générez sur l'ordinateur privé que vous utilisez pour le télétravail et qui n'est pas stockée sur le serveur de l'organisation n'aura probablement pas de système de sauvegarde automatisé. Par conséquent, il est recommandé de prendre la précaution de sauvegarder.

Sauvegardez les documents générés localement via l'un des mécanismes suivants :

  • Clés USB : vous devez les avoir préalablement nettoyées ou formatées pour vous assurer d'être en sécurité
  • Disque dur externe
  • Service de stockage cloud autorisé par l'organisation

5. Mots de passe et authentification

Lorsque vous faites du télétravail, la façon dont vous vous authentifiez dans les systèmes et les applications est particulièrement critique, car avec un mot de passe volé, vous pourriez accéder à des informations confidentielles et/ou prendre le contrôle d'un service dans votre organisation. Voici quelques recommandations pour vous authentifier de manière plus sécurisée, ainsi que pour définir et utiliser des mots de passe plus robustes.

Utilisez, dans la mesure du possible, l'accès à des systèmes d'information certifiés numériquement (de préférence T-CAT P) ou à des systèmes d'authentification à double facteur pour empêcher le vol de votre mot de passe. (Les systèmes à double facteur sont basés sur des codes à usage unique envoyés par SMS ou une application)

Utilisez des mots de passe complexes : une combinaison de caractères spéciaux, de chiffres et de lettres majuscules et minuscules.

Ne notez pas vos mots de passe d'entreprise n'importe où.

Si installer des certificats numériques dans un logiciel sur votre ordinateur personnel (TCAT-P, idCAT Certificate) utilise l'option « Enter Password for Private Key » : ainsi, le certificat numérique ne peut être utilisé que si le mot de passe est connu.

Et aussi…

Si vous devez utiliser plusieurs comptes avec différents utilisateurs et mots de passe, utilisez une application pour gérer en toute sécurité différents mots de passe. Il existe plusieurs solutions qui proposent une version gratuite (Lastpass, Dashlane, etc.). Apple - Les appareils iOS ont un gestionnaire de mots de passe intégré au système d'exploitation.

Et aussi…

Les navigateurs Web des ordinateurs doivent être mis à jour et configurés avec la dernière version et les derniers correctifs logiciels.

Supprimez périodiquement l'historique de navigation, les cookies, les mots de passe mémorisés et autres fichiers temporaires. De cette façon, vous évitez les logiciels espions potentiels.

7. Visioconférence sécurisée

Pour assurer la sécurité et la confidentialité des conversations pendant que jees vidéo conférencees avec votre équipe de travail ou de projet, cal considérer les aspects suivants :

Convoquez la réunion en toute sécurité. Autoriser uniquement les utilisateurs connaissant les données de la réunion à rejoindre la session de visioconférence. Pour faire cela:

  1. Crea une réunion auquel seules les personnes peuvent adhérer invités.
  2. Envet sur invitation par e-mail privé dels participants ou bien à travers d'un plateforme ou canal seguéri.
    • Faites-moisont des gens à qui il acraie invité par email hagin d 'connexion à travers d'ce ma mangé l'adresse ou,
    • utilise un ssystème d'authentification à double facteur, par exemple générateur le lien de la réunion (ou l'identifiant de la réunion, dans le cas de Zoom) et exigernt un Clau pour unir.
    • La salle d'attente c'est aussi une fonctionnalité très utile pour les hôtes pour contrôler qui entre et qui quitte la réunion.
  3. Ne partagez pas le lien pour rejoindre la réunion via les réseaux sociaux ou d'autres forums publics. N'IMPORTE QUI avec le lien pourrait rejoindre le session.

Gérer les participants.

  • Configurez à l'avance qui pourra partager l'écran ou envoyer des fichiers via le chat pendant la réunion.
  • Dans le cas de grandes réunions, n'oubliez pas que l'hôte peut faire taire les participants individuelsment ou tout à la fois, pour éviter les échos, les bruits de fond et les distractions ou conversations parallèles.
  • Évaluer si nécessaire bdevenir four la réunion quand déjà tous les participants sont présents, afin que les nouveaux participants ne puissent pas rejoindre indésirable.

Et aussi…

Faire connaissance précédemment avec les paramètres et les fonctions de l'outil de visioconférence qui les usagessatin / savoir comment protéger l'espace virtuel où se déroulera la réunion.

À la fin de la session, assurez-vous que l'espace virtuel où la réunion a eu lieu c'est fermé o accessible seulement pour le participants à la réunion, comme il peut y avoir des notes, fichiers et informations privés.

8. Phishing

Le phishing est un type de cybercriminalité qui consiste à envoyer des e-mails frauduleux dans le but de voler votre mot de passe ou d'autres informations personnelles. C'est l'une des escroqueries les plus utilisées par les cybercriminels. Le fonctionnement du phishing est simple : vous recevez un email, d'apparence légitime, vous demandant de mettre à jour, valider ou confirmer une information via un lien. Après avoir cliqué dessus, vous êtes redirigé vers une fausse page Web, dans laquelle le mot de passe ou d'autres données sont volés.

Ne cliquez pas sur les liens et ne téléchargez aucune pièce jointe à partir d'e-mails suspects. Suspicion d'e-mails demandant des actions inhabituelles pour renouveler les mots de passe. Vérifiez l'adresse de l'expéditeur (pas l'alias) pour les e-mails apparemment légitimes.

Et aussi…

Lorsque vous vous connectez via le Web, vérifiez dans la barre du navigateur que l'adresse Web de destination est correcte. Les cybercriminels peuvent répliquer complètement un site Web et voler votre mot de passe.

9. A la fin des travaux

Depuis votre équipe de travail à domicile, vous aurez accès aux informations confidentielles de votre organisation.

Ferme toutes les connexions aux systèmes d'information et aux sites Web de l'entreprise.

Sauvegardez les documents locaux sur lesquels vous avez travaillé et qui ne sont pas couverts par la sauvegarde d'entreprise.

Et aussi…

Supprimez l'historique de navigation, les cookies, les mots de passe mémorisés et d'autres fichiers temporaires.

10. Plus d'informations

Les utilisateurs qui souhaitent développer les informations de ce guide vous recommandent de visiter les pages Web suivantes avec un contenu spécialisé :

Remerciements

Cet ensemble de recommandations a été élaboré à partir des ressources propres de l'AOC, des directives de l'Agence de cybersécurité de Catalogne, de l'Association catalane des ingénieurs des télécommunications de (Telecos.cat), des consultants Genís Margarit Contel et Cristina Ribas Casademont , et les documents de la rubrique « Plus d'informations ».

De l'AOC, nous tenons à remercier toutes les contributions altruistes et proactives que nous avons reçues et qui sont très utiles et précieuses en ce moment pour assurer la sécurité des systèmes d'information du secteur public.

Florales

  1. Ce guide est ouvert aux suggestions, suggestions d'amélioration et corrections. Vos commentaires sont les bienvenus : vous pouvez les envoyer à innovacio@aoc.cat.
  2. Nous avons demandé à deux entités de la communauté du logiciel libre et à quatre utilisateurs de nous faire part de leurs commentaires critiques pour nous aider à compléter ce guide avec des recommandations spécifiques pour les systèmes d'exploitation basés sur Linux. Jusqu'à présent, nous n'avons reçu aucune réponse.