GUIDE RAPIDE POUR LE TÉLÉTRAVAIL EN TOUTE SÉCURITÉ
En raison de l'état d'alerte provoqué par le coronavirus de nombreuses administrations et organismes publics promeuvent le télétravail pour assurer la continuité de leurs fonctions et services. Le télétravail, cependant, peut poser des risques de cybersécurité s'il n'est pas planifié à temps, si le personnel est correctement formé et si l'équipement et les connexions sont configurés de manière sécurisée. Compte tenu du contexte actuel, tout cela n'a peut-être pas été possible dans de nombreux cas; pour cette raison, nous vous proposons un sélection des principales mesures de protection de base à prendre en compte qui peut vous aider à télétravailler en minimisant les risques de sécurité dans le traitement des informations de votre organisation.
Gardez à l'esprit que la situation actuelle est très attrayante pour que les cybercriminels volent des mots de passe et détournent des informations confidentielles en échange d'une rançon. Des cas de ce type se sont produits ces derniers mois dans les administrations publiques avec de graves dommages économiques et de réputation.
Cette sélection a été faite dans le but de faciliter un guide pratique et exécutif, destiné aux utilisateurs non experts des petites et moyennes administrations publiques, qui n'ont pas de ressources mettre en place un plan de sécurité complet et avancé. Nous voulons éviter la surinformation et faire des recommandations non viables dans les circonstances dans lesquelles nous nous trouvons. Pour les utilisateurs qui souhaitent approfondir ce sujet, nous proposons des liens supplémentaires à la fin du guide.
Ces recommandations sont de nature générale. Si votre organisation a son propre guide de cybersécurité, faites-y attention.
1. Aspects organisationnels
Suivez les consignes de sécurité du responsable technologique de votre organisation.
Faites usage de la outils et applications autorisés par votre organisation. Si vous devez utiliser d'autres solutions, soyez prudent et utilisez uniquement des applications de confiance.
Et aussi…
Validez que les sauvegardes sont faites de documents d'entreprise que vous travaillerez à domicile.
Découvrez quel est le canal pour signaler les incidents et résoudre les doutes.
Signalez immédiatement tout incident de cybersécurité au responsable technologique de votre organisation.
2. Équipe de travail
Assurez-vous que le le système et les applications sont mis à jour avec les dernières versions et que la mise à jour automatique de la version est activée.
Vérifiez que votre ordinateur dispose d'un systèmeanti-virus et anti-malware actifs.
- Pour Windows : actif Anti-malware Microsoft Defender
- Pour MAC : installez une solution du marché avec une version gratuite : Kaspersky, Avast, AVG, Bitdefender, etc.
Appliquer le verrouillage automatique de l'écran après dix minutes.
Et aussi…
Créez un compte séparé pour la famille et le télétravail sur votre système d'exploitation. Tout accès non autorisé à des informations confidentielles doit être évité.
Activer un pare-feu sur votre ordinateur.
3. Connexion Internet et accès à distance
Évitez d'utiliser des réseaux WiFi publics inconnus et fiables pour accéder à distance aux services de votre organisation.
Et aussi…
Utilisez les services d'accès à distance VPN (Virtual Private Network) recommandés par votre organisation pour accéder aux systèmes d'information de l'entreprise, le cas échéant.
Vérifiez que le routeur Internet n'utilise pas le mot de passe d'usine par défaut. Vous trouverez de nombreux tutoriels sur Internet et YouTube. Vous pouvez utiliser la procédure recommandée par l'organisation de consommateurs et d'utilisateurs.
Configurez le mot de passe du routeur avec des systèmes de cryptage sécurisés : WPA3 (de préférence) ou WPA2.
4. Sauvegardes
Sauvegardez les documents générés localement via l'un des mécanismes suivants :
- Clés USB : vous devez les avoir préalablement nettoyées ou formatées pour vous assurer d'être en sécurité
- Disque dur externe
- Service de stockage cloud autorisé par l'organisation
5. Mots de passe et authentification
Utilisez, dans la mesure du possible, l'accès à des systèmes d'information certifiés numériquement (de préférence T-CAT P) ou à des systèmes d'authentification à double facteur pour empêcher le vol de votre mot de passe. (Les systèmes à double facteur sont basés sur des codes à usage unique envoyés par SMS ou une application)
Utilisez des mots de passe complexes : une combinaison de caractères spéciaux, de chiffres et de lettres majuscules et minuscules.
Ne notez pas vos mots de passe d'entreprise n'importe où.
Si installer des certificats numériques dans un logiciel sur votre ordinateur personnel (TCAT-P, idCAT Certificate) utilise l'option « Enter Password for Private Key » : ainsi, le certificat numérique ne peut être utilisé que si le mot de passe est connu.
Et aussi…
Si vous devez utiliser plusieurs comptes avec différents utilisateurs et mots de passe, utilisez une application pour gérer en toute sécurité différents mots de passe. Il existe plusieurs solutions qui proposent une version gratuite (Lastpass, Dashlane, etc.). Apple - Les appareils iOS ont un gestionnaire de mots de passe intégré au système d'exploitation.
Et aussi…
Les navigateurs Web des ordinateurs doivent être mis à jour et configurés avec la dernière version et les derniers correctifs logiciels.
Supprimez périodiquement l'historique de navigation, les cookies, les mots de passe mémorisés et autres fichiers temporaires. De cette façon, vous évitez les logiciels espions potentiels.
7. Visioconférence sécurisée
Convoquez la réunion en toute sécurité. Autoriser uniquement les utilisateurs connaissant les données de la réunion à rejoindre la session de visioconférence. Pour faire cela:
- Crea une réunion auquel seules les personnes peuvent adhérer invités.
- Envet sur invitation par e-mail privé dels participants ou bien à travers d'un plateforme ou canal seguéri.
- Faites-moisont des gens à qui il acraie invité par email hagin d 'connexion à travers d'ce ma mangé l'adresse ou,
- utilise un ssystème d'authentification à double facteur, par exemple générateur le lien de la réunion (ou l'identifiant de la réunion, dans le cas de Zoom) et exigernt un Clau pour unir.
- La salle d'attente c'est aussi une fonctionnalité très utile pour les hôtes pour contrôler qui entre et qui quitte la réunion.
- Ne partagez pas le lien pour rejoindre la réunion via les réseaux sociaux ou d'autres forums publics. N'IMPORTE QUI avec le lien pourrait rejoindre le session.
Gérer les participants.
- Configurez à l'avance qui pourra partager l'écran ou envoyer des fichiers via le chat pendant la réunion.
- Dans le cas de grandes réunions, n'oubliez pas que l'hôte peut faire taire les participants individuelsment ou tout à la fois, pour éviter les échos, les bruits de fond et les distractions ou conversations parallèles.
- Évaluer si nécessaire bdevenir four la réunion quand déjà tous les participants sont présents, afin que les nouveaux participants ne puissent pas rejoindre indésirable.
Et aussi…
Faire connaissance précédemment avec les paramètres et les fonctions de l'outil de visioconférence qui les usagessatin / savoir comment protéger l'espace virtuel où se déroulera la réunion.
À la fin de la session, assurez-vous que l'espace virtuel où la réunion a eu lieu c'est fermé o accessible seulement pour le participants à la réunion, comme il peut y avoir des notes, fichiers et informations privés.
8. Phishing
Ne cliquez pas sur les liens et ne téléchargez aucune pièce jointe à partir d'e-mails suspects. Suspicion d'e-mails demandant des actions inhabituelles pour renouveler les mots de passe. Vérifiez l'adresse de l'expéditeur (pas l'alias) pour les e-mails apparemment légitimes.
Et aussi…
Lorsque vous vous connectez via le Web, vérifiez dans la barre du navigateur que l'adresse Web de destination est correcte. Les cybercriminels peuvent répliquer complètement un site Web et voler votre mot de passe.
9. A la fin des travaux
Ferme toutes les connexions aux systèmes d'information et aux sites Web de l'entreprise.
Sauvegardez les documents locaux sur lesquels vous avez travaillé et qui ne sont pas couverts par la sauvegarde d'entreprise.
Et aussi…
Supprimez l'historique de navigation, les cookies, les mots de passe mémorisés et d'autres fichiers temporaires.
10. Plus d'informations
- Guide de cybersécurité pour les collectivités et entités locales
Association catalane des municipalités - Règles de cybersécurité pour la fourniture de services en mode télétravail
Agence de Cybersécurité de Catalogne - Pilule « Cybersécurité et protection des données »
École d'administration publique de Catalogne - Guide de sécurité du télétravail
Centre de sécurité informatique de la Communauté de Valence - Recommandations pour protéger les données personnelles en situation de mobilité et de télétravail
Agence espagnole pour la protection des données - Comment télétravailler en toute sécurité sans mettre en danger les utilisateurs et les organisations
Centre National de Cryptologie - Conseils sur le télétravail : meilleures pratiques, exemples de politiques et cybersécurité
Université de Caroline du Nord, École de gouvernement - Guide de référence rapide sur le télétravail
Centre d'intégration de la cybersécurité en Californie - CCN-CERT BP / 18 Recommandations de sécurité pour les situations de télétravail et de surveillance de renforcement
Centre national de cryptologie (contenu avancé) - Comment mettre en œuvre une politique d'accès distant sécurisé
Centre national de cryptologie (contenu avancé) - Guide du télétravail d'entreprise et de la sécurité de l'accès à distance
Institut national des normes et de la technologie (contenu avancé)
Remerciements
Cet ensemble de recommandations a été élaboré à partir des ressources propres de l'AOC, des directives de l'Agence de cybersécurité de Catalogne, de l'Association catalane des ingénieurs des télécommunications de (Telecos.cat), des consultants Genís Margarit Contel et Cristina Ribas Casademont , et les documents de la rubrique « Plus d'informations ».
De l'AOC, nous tenons à remercier toutes les contributions altruistes et proactives que nous avons reçues et qui sont très utiles et précieuses en ce moment pour assurer la sécurité des systèmes d'information du secteur public.
Florales
-
Ce guide est ouvert aux suggestions, suggestions d'amélioration et corrections. Vos commentaires sont les bienvenus : vous pouvez les envoyer à innovacio@aoc.cat.
-
Nous avons demandé à deux entités de la communauté du logiciel libre et à quatre utilisateurs de nous faire part de leurs commentaires critiques pour nous aider à compléter ce guide avec des recommandations spécifiques pour les systèmes d'exploitation basés sur Linux. Jusqu'à présent, nous n'avons reçu aucune réponse.