Difference between revisions of "Travail à distance sécurisé"

Revision as of 15:39, 17 April 2020

Présentation et considérations	Considérations Techniques	L’utilisation sécuritaire des outils de collaboration

Qu’est-ce que le travail à distance?

Le travail à distance est lorsqu’un employé peut effectuer des fonctions opérationnelles à partir d’un emplacement éloigné qui se trouve à l’extérieur de l’espace de travail physique de son employeur, habituellement par l’entremise d’Internet. Avec les événements récents, le travail à distance est devenu plus populaire qu’auparavant et continuera à gagner en popularité à mesure que la technologie évolue.

Travail à distance et télétravail

Même s’ils sont semblables et la plupart du temps utilisés de façon interchangeable, le travail à distance et le télétravail ne sont pas les mêmes. Les employés qui télétravaillent et travaillent à distance utilisent souvent les mêmes appareils et technologies pour travailler, comme les outils de collaboration, les plateformes d’informatique en nuage et Internet.

Voici les différences entre ces deux:


Travail à distance	Télétravail
Une situation plus permanente.	Généralement sur une période limitée (jours au lieu de mois ou d’années).
L’employé n’a probablement pas accès à un bureau.	L’employé a un bureau, mais il travaille ailleurs.

Menaces et défis posés par le travail à distance

En se connectant par Internet à des applications ou données possiblement classifiées ou sensibles, il existe des menaces à la sécurité de ces renseignements.

Voici des problèmes de sécurité :

Manque de sécurité physique – Les appareils peuvent être volés, les lecteurs peuvent être copiés ou des personnes peuvent regarder par-dessus votre épaule.
Réseaux non sécurisés – La connexion à des réseaux non sécurisés comme dans un café ou un hôtel, ou d’autres réseaux publics ouverts est une cible facile à exploiter.
Accès interne à l’extérieur – Les serveurs seront confrontés à Internet, ce qui augmentera le risque possible et la vulnérabilité à la compromission.
Détournement de téléconférence/Zoom – Des personnes non autorisées qui accèdent à une conférence en se joignant à une conférence publique, se communiquant le lien ou le code d’accès.

Mesures de sécurité recommandées

Il est important de se rendre compte que, puisque le travail à distance utilise Internet pour la connectivité, il peut être une cible de compromission. Par conséquent, voici certaines mesures utiles que les employés peuvent prendre pour assurer la sécurité des renseignements:

Considérations liées aux appareils

Lorsque l’option d’authentification multifactorielle est disponible, utilisez-la!
Évitez les réseaux ouverts dans les cafés, les installations publiques et les hôtels.
Appliquez les mises à jour du système d’exploitation lorsqu’elles sont disponibles.
Utilisez le réseau privé virtuel de votre ministère pour une connexion sécurisée.
Protégez tous disques durs, clés USB, et cartes SD par un mot de passe.
Verrouillez les appareils lorsqu’ils ne sont pas utilisés.

Considérations liées aux services

Voici quelques éléments généraux à prendre en considération à l’utilisation de ces applications :

Activer l’authentification à deux facteurs.
Afficher ou envoyer des choses qu’il ne vous dérange pas de communiquer à l’employeur et aux employés.
Séparer les applications personnelles et les applications de travail.
Utiliser des appareils personnels pour des applications personnelles et des appareils de travail pour des applications de travail.
Veiller à ce que les téléconférences soient privées et protégées par mot de passe.
Utiliser des outils de collaboration lorsque vous travaillez dans un environnement NON CLASSIFIÉ.

Confidentialité et sécurité des outils de collaboration

Les employés devraient toujours utiliser des outils approuvés par le ministère pour collaborer avec leurs collègues, en commençant par Microsoft Teams (au niveau Protégé B si la location de votre ministère a été accréditée à ce niveau, ou non classifié autrement), puis passer à d’autres outils autorisés comme OutilsGC ou WebEx. Si ces options ne sont pas disponibles, alors la Politique sur l’utilisation acceptable des dispositifs et des réseaux permet l’utilisation d’outils d’informatique en nuage publics comme Slack, Zoom ou Google Hangouts pour un travail non classifié uniquement. Toutefois, il faut prendre note des problèmes de confidentialité avant d’utiliser ces applications. Il est important de se rappeler qu’il ne faut jamais utiliser ces applications pour des travaux classifiés ou de nature délicate. Le Centre canadien pour la cybersécurité (CCC) a fourni des conseils et des considérations sur l’utilisation d’outils d’informatique en nuage publics pour la vidéoconférence.

Lors du choix d’un outil de collaboration, il convient de tenir compte des facteurs suivants :

Priorisez des solutions qui n’exigent pas aux participants d’installer un client, sauf si nécessaire.
Choisissez une solution qui vous permet de contrôler la façon dont vos données sont gérées. Certaines plateformes peuvent acheminer des données à l’extérieur du Canada ou stocker des données partagées sur des serveurs qu’elles contrôlent.
Veillez à ce que tous les intervenants qui utilisent le logiciel de collaboration soient au clair et à l’aise avec les échanges de données par le propriétaire du logiciel dans le but de réaliser un profit; par exemple, la vente d’analyses de données à des fins de marketing et de publicité.

@@ Line 61: / Line 61: @@
 *Utiliser des outils de collaboration lorsque vous travaillez dans un environnement NON CLASSIFIÉ.
-==Protection des renseignements personnels==
+==Confidentialité et sécurité des outils de collaboration==
-Les employés sont invités à utiliser des logiciels approuvés comme Zoom, Google Hangouts et Slack pour collaborer et communiquer des renseignements non classifiés.
-Cependant, il y a des questions de protection de la vie privée dont il faut prendre conscience avant d’utiliser ces applications. Il est important de se rappeler que ces applications ne doivent pas être utilisées pour le travail classifié.
+Les employés devraient toujours utiliser des outils approuvés par le ministère pour collaborer avec leurs collègues, en commençant par Microsoft Teams (au niveau Protégé B si la location de votre ministère a été accréditée à ce niveau, ou non classifié autrement), puis passer à d’autres outils autorisés comme OutilsGC ou WebEx. Si ces options ne sont pas disponibles, alors la Politique sur l’utilisation acceptable des dispositifs et des réseaux permet l’utilisation d’outils d’informatique en nuage publics comme Slack, Zoom ou Google Hangouts pour un travail non classifié uniquement. Toutefois, il faut prendre note des problèmes de confidentialité avant d’utiliser ces applications. Il est important de se rappeler qu’il ne faut jamais utiliser ces applications pour des travaux classifiés ou de nature délicate.
+Le Centre canadien pour la cybersécurité (CCC) a fourni des conseils et des considérations sur l’utilisation d’outils d’informatique en nuage publics pour la vidéoconférence.
-Voici quelques mesures générales à considérer pour renforcer la protection des renseignements personnels dans ces applications:
+Lors du choix d’un outil de collaboration, il convient de tenir compte des facteurs suivants :
-*Activer l’authentification à deux facteurs
+*Priorisez des solutions qui n’exigent pas aux participants d’installer un client, sauf si nécessaire.
-*Afficher ou envoyer des choses qu’on ne voit pas d’inconvénient à partager avec l’employeur et l’employé.
+*Choisissez une solution qui vous permet de contrôler la façon dont vos données sont gérées. Certaines plateformes peuvent acheminer des données à l’extérieur du Canada ou stocker des données partagées sur des serveurs qu’elles contrôlent.
-*Séparer les applications personnelles des applications de travail.
+*Veillez à ce que tous les intervenants qui utilisent le logiciel de collaboration soient au clair et à l’aise avec les échanges de données par le propriétaire du logiciel dans le but de réaliser un profit; par exemple, la vente d’analyses de données à des fins de marketing et de publicité.
-*Utiliser des appareils personnels pour les applications personnelles et des appareils de travail pour les applications de travail.
-===Slack===
-Lorsque vous acquittez les droits de licence de l’application, celle-ci déverrouille une fonction qui permet au personnel des ressources humaines et de la gestion d’exporter TOUS les clavardages.
-Non seulement les clavardages de groupe peuvent être exportés, mais aussi les clavardages privés qui sont échangés entre deux collègues. Cette fonction ne peut pas être activée avec la licence gratuite.
-Il est important de noter que Slack stocke les données indépendamment de la licence, y compris après 10 000 messages dans la version gratuite.
-Slack conserve également des données comme des liens, des mots de passe, des noms d’utilisateur et des clavardages, mais il a des options pour personnaliser les politiques sur la conservation des données.
-===Zoom===
-Zoom dispose d’une fonction qui permet de suivre l’attention portée à la webcam afin de voir qui participe activement au vidéoclavardage. Si un présentateur partage son écran et qu’un utilisateur réduit la fenêtre ou quitte son appareil, un avis sera envoyé aux hôtes de la réunion. Il convient de noter que Zoom n’enregistre pas l’activité sur l’appareil et ne capture pas de vidéo avec ce paramètre.
-À moins qu’un hôte de réunion n’utilise l’option de vidéoclavardage chiffré de Zoom, l’organisation pourrait avoir accès à la conférence.
-Pour obtenir de plus amples renseignements sur l’utilisation de Zoom, veuillez consulter le guide dans la section des références ou [[:en:images/0/09/FR_-_Guide_de_démarrage_pour_participer_un_appel_Zoom.pdf|cliquer ici]].
-===Google Hangouts===
-Google Hangouts utilisation requiert un compte Google. Il est préférable d’utiliser un compte de travail si possible, afin d’éviter que des détails soient liés entre eux, exposant des intérêts personnels et l’activité personnelle en ligne, lorsque vous utilisez ce compte Google.
-Les détails comme les noms, les numéros de téléphone, les noms d’utilisateur et d’autres renseignements peuvent être regroupés et présentés comme une seule entité.
-Google stocke les images qui ont été envoyées par des sites de rencontre à une adresse publique, ce qui signifie que n'importe qui peut techniquement voir l'image à condition d'avoir la bonne adresse.
-Un autre problème avec Hangouts est qu'il ne dispose pas de cryptage "de bout en bout". En termes simples, elle n'est cryptée que lorsqu'elle est envoyée. Cela ouvre la porte à l'écoute des chats ainsi qu'à la visibilité de Google sur les messages.
 ==Références==