Difference between revisions of "Travail à distance sécurisé"

From wiki
Jump to navigation Jump to search
 
(21 intermediate revisions by the same user not shown)
Line 1: Line 1:
 +
 
__NOTOC__
 
__NOTOC__
 
[[File:telework-nobg.png|top|center|frameless]]
 
[[File:telework-nobg.png|top|center|frameless]]
 
{| class="wikitable" style="align:center; border-top: #000000 2px solid; border-bottom: #000000 2px solid; border-left: #000000 2px solid; border-right: #000000 2px solid" width="1125px"
 
{| class="wikitable" style="align:center; border-top: #000000 2px solid; border-bottom: #000000 2px solid; border-left: #000000 2px solid; border-right: #000000 2px solid" width="1125px"
 
|-
 
|-
! style="background: #2e73b6; color: red" width="250px" height="40px" scope="col" |[[Travail à distance sécurisé|Présentation et considérations]]
+
! style="background: #2e73b6; color: red" width="250px" height="40px" scope="col" |[[Travail à distance sécurisé |Présentation et considérations]]
! style="background: #2e73b6; color: white" width="250px" height="40px" scope="col" |[[Télétravail sécurisé - Considérations Techniques|Considérations Techniques]]
+
! style="background: #2e73b6; color: white" width="250px" height="40px" scope="col" |[[Télétravail sécurisé - considérations techniques|Considérations techniques]]
 
! style="background: #2e73b6; color: white" width="250px" height="40px" scope="col" |[[L’utilisation sécuritaire des outils de collaboration|L’utilisation sécuritaire des outils de collaboration]]
 
! style="background: #2e73b6; color: white" width="250px" height="40px" scope="col" |[[L’utilisation sécuritaire des outils de collaboration|L’utilisation sécuritaire des outils de collaboration]]
 +
! style="background: #2e73b6; color: white" width="250px" height="40px" scope="col" |[[Considérations relatives aux appareils|Considérations relatives aux appareils]]
 
|}
 
|}
 
{| style="width:1125px;"
 
{| style="width:1125px;"
Line 12: Line 14:
  
 
==Qu’est-ce que le travail à distance?==
 
==Qu’est-ce que le travail à distance?==
Le travail à distance est lorsqu’un employé peut effectuer des fonctions opérationnelles à partir d’un emplacement éloigné qui se trouve à l’extérieur de l’espace de travail physique de son employeur, habituellement par l’entremise d’Internet. Avec les événements récents, le travail à distance est devenu plus populaire qu’auparavant et continuera à gagner en popularité à mesure que la technologie évolue.
+
Le travail à distance est lorsqu’un employé peut effectuer des fonctions opérationnelles à partir d’un emplacement éloigné qui se trouve à l’extérieur de l’espace de travail physique de son employeur, habituellement par l’entremise d’Internet. Dans le cadre des événements récents, le travail à distance est devenu plus populaire que jamais, et il continuera à gagner en popularité au fur et à mesure que la technologie évolue.
  
==Travail à distance et télétravail==
+
==Obligation de tenir des registres==
Même s’ils sont semblables et la plupart du temps utilisés de façon interchangeable, le travail à distance et le télétravail ne sont pas les mêmes. Les employés qui télétravaillent et travaillent à distance utilisent souvent les mêmes appareils et technologies pour travailler, comme les outils de collaboration, les plateformes d’informatique en nuage et Internet.  
+
En vertu de la [https://www.tbs-sct.gc.ca/pol/doc-fra.aspx?id=32601 Directive sur les services et le numérique], les employés sont tenus de consigner l’information relative à toute activité ou prise de décisions ayant une valeur opérationnelle. Ainsi, que l’activité ou prise de décisions ait eu lieu dans le contexte de l’utilisation d’outils d’informatique en nuage publics ou approuvés par le ministère, l’information doit être consignée (p. ex., dans un document Word) et sauvegardée dès que possible dans un dépôt ministériel tel que GCdocs. Pour obtenir de plus amples renseignements, veuillez cliquer [https://www.canada.ca/fr/gouvernement/fonctionpublique/covid-19/gestion-donnees-gouvernementales-travail-distance.html ici].
  
Voici les différences entre ces deux:
+
==Le travail à distance et le télétravail==
 +
Même s’ils sont semblables et qu’ils sont utilisés de façon interchangeable la plupart du temps, le travail à distance et le télétravail ne sont pas la même chose. Les employés qui télétravaillent et ceux qui travaillent à distance utilisent souvent les mêmes appareils et technologies pour travailler, comme les outils de collaboration, les plateformes d’informatique en nuage et Internet.
 +
 
 +
Voici les différences entre ces deux options :  
  
 
{| class="wikitable"
 
{| class="wikitable"
Line 24: Line 29:
 
!'''Télétravail'''
 
!'''Télétravail'''
 
|-
 
|-
|Une situation plus permanente.
+
|Une situation plus permanente.  
|Généralement sur une période limitée (jours au lieu de mois ou d’années).
+
|Généralement pour une période limitée (jours au lieu de mois ou d’années).  
 
|-
 
|-
|L’employé n’a probablement pas accès à un bureau.  
+
|L’employé n’a probablement pas accès à un bureau.
|L’employé a un bureau, mais il travaille ailleurs.
+
|L’employé(e) possède un bureau, mais il/elle travaille à partir d’ailleurs.
 
|}
 
|}
 
  
 
==Menaces et défis posés par le travail à distance==
 
==Menaces et défis posés par le travail à distance==
En se connectant par Internet à des applications ou données possiblement classifiées ou sensibles, il existe des menaces à la sécurité de ces renseignements.
+
En se connectant par Internet à des applications ou à des données possiblement classifiées ou sensibles, il est possible que la sécurité de ces renseignements soit menacée.  
  
Voici des problèmes de sécurité :
+
Voici certains problèmes liés à la sécurité :  
 
*Manque de sécurité physique – Les appareils peuvent être volés, les lecteurs peuvent être copiés ou des personnes peuvent regarder par-dessus votre épaule.
 
*Manque de sécurité physique – Les appareils peuvent être volés, les lecteurs peuvent être copiés ou des personnes peuvent regarder par-dessus votre épaule.
*Réseaux non sécurisés – La connexion à des réseaux non sécurisés comme dans un café ou un hôtel, ou d’autres réseaux publics ouverts est une cible facile à exploiter.  
+
*Réseaux non sécurisés – La connexion à des réseaux non sécurisés comme dans un café ou un hôtel, ou d’autres réseaux publics ouverts est une cible facile à exploiter.
 
*Accès interne à l’extérieur – Les serveurs seront confrontés à Internet, ce qui augmentera le risque possible et la vulnérabilité à la compromission.
 
*Accès interne à l’extérieur – Les serveurs seront confrontés à Internet, ce qui augmentera le risque possible et la vulnérabilité à la compromission.
*Détournement de téléconférence/Zoom – Des personnes non autorisées qui accèdent à une conférence en se joignant à une conférence publique, se communiquant le lien ou le code d’accès.
+
*Détournement de téléconférence/Zoom – Des personnes non autorisées qui accèdent à une conférence en se joignant à une conférence publique, et en se communiquant le lien ou le code d’accès.
  
 
==Mesures de sécurité recommandées==
 
==Mesures de sécurité recommandées==
Il est important de se rendre compte que, puisque le travail à distance utilise Internet pour la connectivité, il peut être une cible de compromission. Par conséquent, voici certaines mesures utiles que les employés peuvent prendre pour assurer la sécurité des renseignements:
+
Il est important de se rendre compte que, puisque le travail à distance utilise Internet pour la connectivité, il peut s’agit d’une cible de compromission. Par conséquent, voici certaines mesures utiles que les employés peuvent prendre afin d’assurer la sécurité des renseignements :  
  
 
===Considérations liées aux appareils===
 
===Considérations liées aux appareils===
*Lorsque l’option d’authentification multifactorielle est disponible, utilisez-la!
+
*Lorsque l’option d’authentification multifactorielle est disponible, servez-vous en!
*Évitez les réseaux ouverts dans les cafés, les installations publiques et les hôtels.
+
*Évitez de vous servir de réseaux ouverts comme dans les cafés, les installations publiques et les hôtels.
 
*Appliquez les mises à jour du système d’exploitation lorsqu’elles sont disponibles.
 
*Appliquez les mises à jour du système d’exploitation lorsqu’elles sont disponibles.
*Utilisez le réseau privé virtuel de votre ministère pour une connexion sécurisée.
+
*Utilisez le réseau privé virtuel de votre ministère pour avoir une connexion sécurisée.
*Protégez tous disques durs, clés USB, et cartes SD par un mot de passe.  
+
*Protégez tous les disques durs, les clés USB, et les cartes SD à l’aide d’un mot de passe.
*Verrouillez les appareils lorsqu’ils ne sont pas utilisés.
+
*Verrouillez les appareils lorsque vous ne les utilisez pas.
  
 
===Considérations liées aux services===
 
===Considérations liées aux services===
Voici quelques éléments généraux à prendre en considération à l’utilisation de ces applications :
+
Voici quelques éléments généraux dont vous devriez tenir compte quant à l’utilisation de ces applications :  
 
*Activer l’authentification à deux facteurs.
 
*Activer l’authentification à deux facteurs.
*Afficher ou envoyer des choses qu’il ne vous dérange pas de communiquer à l’employeur et aux employés.
+
*Afficher ou envoyer des choses qu’il ne vous dérange pas de communiquer à votre employeur ou aux autres employés.
*Séparer les applications personnelles et les applications de travail.
+
*Séparer les applications personnelles et les applications liées au travail.
*Utiliser des appareils personnels pour des applications personnelles et des appareils de travail pour des applications de travail.  
+
*Utiliser des appareils personnels pour des applications personnelles et des appareils de travail pour des applications liées au travail.
*Veiller à ce que les téléconférences soient privées et protégées par mot de passe.
+
*Veiller à ce que les téléconférences soient privées et protégées à l’aide d’un mot de passe.
 
*Utiliser des outils de collaboration lorsque vous travaillez dans un environnement NON CLASSIFIÉ.
 
*Utiliser des outils de collaboration lorsque vous travaillez dans un environnement NON CLASSIFIÉ.
  
 
==Confidentialité et sécurité des outils de collaboration==
 
==Confidentialité et sécurité des outils de collaboration==
 +
Les employés devraient toujours utiliser des outils approuvés par le ministère pour collaborer avec leurs collègues, en commençant par Microsoft Teams (au niveau Protégé B si l’emplacement de votre ministère a été accrédité à ce niveau, ou non classifié autrement), puis passer à d’autres outils autorisés comme OutilsGC ou WebEx. Si ces options ne sont pas disponibles, alors la Politique sur l’utilisation acceptable des dispositifs et des réseaux permet l’utilisation d’outils d’informatique en nuage publics comme Slack, Zoom ou Google Hangouts pour effectuer un travail non classifié uniquement. Toutefois, il faut tenir compte des problèmes de confidentialité avant d’utiliser ces applications.
  
Les employés devraient toujours utiliser des outils approuvés par le ministère pour collaborer avec leurs collègues, en commençant par Microsoft Teams (au niveau Protégé B si la location de votre ministère a été accréditée à ce niveau, ou non classifié autrement), puis passer à d’autres outils autorisés comme OutilsGC ou WebEx. Si ces options ne sont pas disponibles, alors la Politique sur l’utilisation acceptable des dispositifs et des réseaux permet l’utilisation d’outils d’informatique en nuage publics comme Slack, Zoom ou Google Hangouts pour un travail non classifié uniquement. Toutefois, il faut prendre note des problèmes de confidentialité avant d’utiliser ces applications. Il est important de se rappeler qu’il ne faut jamais utiliser ces applications pour des travaux classifiés ou de nature délicate.  
+
Il est important de retenir qu’il ne faut jamais utiliser ces applications pour des travaux classifiés ou de nature délicate. Le Centre canadien pour la cybersécurité (CCC) a fourni des conseils et des considérations sur l’utilisation d’outils d’informatique en nuage publics pour la vidéoconférence.  
Le Centre canadien pour la cybersécurité (CCC) a fourni des conseils et des considérations sur l’utilisation d’outils d’informatique en nuage publics pour la vidéoconférence.  
 
  
Lors du choix d’un outil de collaboration, il convient de tenir compte des facteurs suivants:
+
Lorsque vous choisissez un outil de collaboration, veuillez tenir compte des facteurs suivants :  
  
*Priorisez des solutions qui n’exigent pas aux participants d’installer un client, sauf si nécessaire.
+
*Priorisez des solutions qui n’exigent pas que les participants aient à procéder à l’installation d’un client, sauf lorsqu’il est nécessaire de le faire.
*Choisissez une solution qui vous permet de contrôler la façon dont vos données sont gérées. Certaines plateformes peuvent acheminer des données à l’extérieur du Canada ou stocker des données partagées sur des serveurs qu’elles contrôlent.
+
*Choisissez une solution qui vous permet de contrôler la façon dont vos données sont gérées. Certaines plateformes peuvent acheminer des données à l’extérieur du Canada ou stocker des données partagées sur des serveurs qui sont sous leur contrôle.
*Veillez à ce que tous les intervenants qui utilisent le logiciel de collaboration soient au clair et à l’aise avec les échanges de données par le propriétaire du logiciel dans le but de réaliser un profit; par exemple, la vente d’analyses de données à des fins de marketing et de publicité.
+
*Veillez à ce que tous les intervenants qui utilisent le logiciel de collaboration soient au fait, et à l’aise, en ce qui a trait à l’échange de données par le propriétaire du logiciel dans le but de réaliser un profit; par exemple, la vente d’analyses de données à des fins de marketing et de publicité.
  
Pour obtenir une liste complète des facteurs à considérer, veuillez consulter l’avis du CCC.
+
Pour obtenir une liste complète des facteurs dont vous devriez tenir compte, veuillez consulter l’avis du CCC.
  
Voici les paramètres et les fonctionnalités qui peuvent contribuer à la sécurité des téléconférences:
+
Voici les paramètres et les fonctionnalités qui peuvent contribuer à la sécurité des téléconférences:  
  
 
*Désactivez le partage d’écran des invités.
 
*Désactivez le partage d’écran des invités.
Line 82: Line 86:
  
 
===Slack===
 
===Slack===
Lorsque vous utilisez une licence payante de l’application, une fonction est déverrouillée qui permet au personnel de RH et de gestion d’exporter TOUS les clavardages. Non seulement les discussions de groupe peuvent être exportées, mais aussi celles entre vous et un collègue qui se déroulent dans un clavardage privé. Il est impossible d’activer cette fonctionnalité dans la licence libre. Il est important de prendre note que Slack stocke les données indépendamment de la licence, y compris après 10 000 messages dans la version gratuite.
+
Lorsque vous utilisez une licence payante de l’application, une fonction est déverrouillée afin de permettre au personnel des RH et de la gestion d’exporter TOUTES les séances de clavardage. En plus d’être en mesure d’exporter les discussions de groupe, il est également possible d’exporter les conversations privées qui se tiennent entre vous et un collègue. Il est impossible d’activer cette fonctionnalité dans la licence libre. Il est important de prendre note que Slack stocke les données indépendamment de la licence, y compris après 10 000 messages, dans la version gratuite. Slack conserve également des données comme les liens, les mots de passe, les noms d’utilisateur et les séances de clavardage, mais dispose d’options pour personnaliser les stratégies de conservation des données.  
Slack conserve également des données comme les liens, les mots de passe, les noms d’utilisateur et des clavardages, mais dispose d’options pour personnaliser les stratégies de conservation des données.
+
 
Voici des paramètres et des fonctionnalités qui peuvent contribuer à la sécurité de Slack :
+
Voici des paramètres et des fonctionnalités qui peuvent contribuer à la sécurité de Slack :  
  
 
*Demandez aux membres du groupe d’utiliser l’authentification à deux facteurs (2FA).
 
*Demandez aux membres du groupe d’utiliser l’authentification à deux facteurs (2FA).
Line 90: Line 94:
 
*Limitez l’accès à l’espace de travail.
 
*Limitez l’accès à l’espace de travail.
 
*Soyez prudent à l’ouverture de liens, surtout si vous ne les avez pas demandés.
 
*Soyez prudent à l’ouverture de liens, surtout si vous ne les avez pas demandés.
*Limitez les fonctions administratives.  
+
*Limitez les fonctions administratives.
  
 
Pour obtenir de plus amples renseignements sur l’utilisation de Slack en toute sécurité, veuillez consulter le Centre d’aide Slack.
 
Pour obtenir de plus amples renseignements sur l’utilisation de Slack en toute sécurité, veuillez consulter le Centre d’aide Slack.
  
 
===Zoom===
 
===Zoom===
Zoom comprend une fonction qui suit l’attention à la caméra Web pour voir qui est actif dans la discussion vidéo. Si un présentateur partage son écran et qu’un utilisateur réduit la fenêtre ou quitte son appareil, un avis sera envoyé aux hôtes de la réunion. Il faut prendre note que Zoom n’enregistre pas d’activité sur l’appareil et ne consigne pas de vidéo avec ce paramètre.  
+
Zoom comprend une fonction qui porte une attention à la caméra Web afin de voir qui est actif dans le cadre de la discussion vidéo. Si un présentateur partage son écran et qu’un utilisateur réduit la fenêtre ou quitte son appareil, les hôtes de la réunion recevront un avis. Il faut prendre note que Zoom n’enregistre pas d’activité sur l’appareil et ne consigne pas de vidéo avec ce paramètre. À la création d’une réunion, Zoom génère un ID apparemment aléatoire de neuf à onze chiffres. Pour une personne disposant de ressources informatiques, il peut être facile de décrypter le code, ce qui permet à des acteurs malveillants de se joindre à l’appel. Pour obtenir de plus amples renseignements sur la création d’une conférence Zoom, veuillez consulter le guide dans la section des références ou cliquez ici.  
À la création d’une réunion, Zoom génère un ID apparemment aléatoire de neuf à onze chiffres. Pour une personne disposant de ressources informatiques, cela peut être facilement craqué, ce qui permet à des acteurs malveillants de se joindre à l’appel.  
 
Pour obtenir de plus amples renseignements sur la création d’une conférence Zoom, veuillez consulter le guide dans la section des références ou cliquez ici.
 
  
Pour en apprendre davantage sur les pratiques exemplaires et les fonctions d’accessibilité, veuillez consulter les Pratiques exemplaires d’accessibilité d’ESDC pour l’utilisation de Zoom pour les réunions et les cours (en anglais).
+
Pour en apprendre davantage sur les pratiques exemplaires et les fonctions d’accessibilité, veuillez consulter les Pratiques exemplaires d’accessibilité d’ESDC sur l’utilisation de Zoom pour les réunions et les cours (en anglais).  
  
 
===Google Hangouts===
 
===Google Hangouts===
Google Hangouts nécessite en effet un compte Google. Il est préférable d’utiliser un compte de travail si possible, afin d’éviter que les renseignements ne soient reliés, exposant des intérêts privés, et l’activité personnelle en ligne lorsque vous utilisez ce compte Google. Des renseignements comme les noms, numéros de téléphone, noms d’utilisateur et autres renseignements peuvent être regroupés et peuvent être exposés en tant qu’entité unique afin d’exploiter d’autres renseignements et intérêts personnels.
+
Google Hangouts nécessite en effet que l’utilisateur possède un compte Google. Il est préférable d’utiliser un compte de travail si possible pour éviter que les renseignements ne soient reliés les uns aux autres, exposant ainsi les intérêts personnels, de même que votre activité personnelle en ligne lorsque vous utilisez ce compte Google. Des renseignements tels les noms, les numéros de téléphone, les noms d’utilisateur et d’autres renseignements peuvent être regroupés et exposés en tant qu’entité unique afin d’exploiter d’autres renseignements et intérêts personnels.  
 
 
Google stocke les images qui ont été envoyées par Hangouts à une adresse URL publique, ce qui signifie que quiconque peut techniquement voir l’image à condition d’avoir la bonne adresse URL.
 
  
Un autre problème avec Hangouts est qu’il ne comporte pas de chiffrement de bout en bout. En termes simples, le chiffrement ne se produit qu’à l’envoi. Cela ouvre la porte à l’écoute sur les discussions ainsi qu’à la visibilité sur les messages de Google.
+
Google stocke les images qui ont été envoyées par l’entremise de Hangouts à une adresse URL publique, ce qui signifie que n’importe qui peut techniquement consulter l’image à condition qu’il possède la bonne adresse URL.
 +
Un autre problème avec Hangouts est que cette application n’est pas dotée d’un chiffrement de bout en bout. En termes simples, le chiffrement ne se produit qu’à l’envoi. Cela ouvre la porte à l’écoute des discussions ainsi qu’à la visibilité des messages ayant été échangés par l’entremise de Google.
  
 
==Références==
 
==Références==
*[https://cyber.gc.ca/sites/default/files/publications/itsap.10.016-fra_0.pdf PROBLÈMES DE SÉCURITÉ LIÉS AU TÉLÉTRAVAIL]
+
*[https://cyber.gc.ca/sites/default/files/publications/itsap.10.016-fra_0.pdf Problèmes de sécurité liés au télétravail]
*[https://cyber.gc.ca/sites/default/files/publications/ITSAP.80.101-fr.pdf LES RÉSEAUX PRIVÉS VIRTUELS]
+
*[https://cyber.gc.ca/sites/default/files/publications/ITSAP.80.101-fr.pdf Les réseaux privés virtuels]
 
*[https://wiki.gccollab.ca/images/4/4e/Orientation_sur_la_facilitation_de_l%E2%80%99acc%C3%A8s_aux_services_Web.pdf Orientation sur la facilitation de l’accès aux services Web - SCT]
 
*[https://wiki.gccollab.ca/images/4/4e/Orientation_sur_la_facilitation_de_l%E2%80%99acc%C3%A8s_aux_services_Web.pdf Orientation sur la facilitation de l’accès aux services Web - SCT]
 
*[https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/itl-bulletin/itlbul2020-03.pdf Bulletin sur le télétravail sécurisé - NIST]
 
*[https://csrc.nist.gov/CSRC/media/Publications/Shared/documents/itl-bulletin/itlbul2020-03.pdf Bulletin sur le télétravail sécurisé - NIST]

Latest revision as of 14:24, 7 May 2020


Telework-nobg.png
Présentation et considérations Considérations techniques L’utilisation sécuritaire des outils de collaboration Considérations relatives aux appareils

Qu’est-ce que le travail à distance?

Le travail à distance est lorsqu’un employé peut effectuer des fonctions opérationnelles à partir d’un emplacement éloigné qui se trouve à l’extérieur de l’espace de travail physique de son employeur, habituellement par l’entremise d’Internet. Dans le cadre des événements récents, le travail à distance est devenu plus populaire que jamais, et il continuera à gagner en popularité au fur et à mesure que la technologie évolue.

Obligation de tenir des registres

En vertu de la Directive sur les services et le numérique, les employés sont tenus de consigner l’information relative à toute activité ou prise de décisions ayant une valeur opérationnelle. Ainsi, que l’activité ou prise de décisions ait eu lieu dans le contexte de l’utilisation d’outils d’informatique en nuage publics ou approuvés par le ministère, l’information doit être consignée (p. ex., dans un document Word) et sauvegardée dès que possible dans un dépôt ministériel tel que GCdocs. Pour obtenir de plus amples renseignements, veuillez cliquer ici.

Le travail à distance et le télétravail

Même s’ils sont semblables et qu’ils sont utilisés de façon interchangeable la plupart du temps, le travail à distance et le télétravail ne sont pas la même chose. Les employés qui télétravaillent et ceux qui travaillent à distance utilisent souvent les mêmes appareils et technologies pour travailler, comme les outils de collaboration, les plateformes d’informatique en nuage et Internet.

Voici les différences entre ces deux options :

Travail à distance Télétravail
Une situation plus permanente. Généralement pour une période limitée (jours au lieu de mois ou d’années).
L’employé n’a probablement pas accès à un bureau. L’employé(e) possède un bureau, mais il/elle travaille à partir d’ailleurs.

Menaces et défis posés par le travail à distance

En se connectant par Internet à des applications ou à des données possiblement classifiées ou sensibles, il est possible que la sécurité de ces renseignements soit menacée.

Voici certains problèmes liés à la sécurité :

  • Manque de sécurité physique – Les appareils peuvent être volés, les lecteurs peuvent être copiés ou des personnes peuvent regarder par-dessus votre épaule.
  • Réseaux non sécurisés – La connexion à des réseaux non sécurisés comme dans un café ou un hôtel, ou d’autres réseaux publics ouverts est une cible facile à exploiter.
  • Accès interne à l’extérieur – Les serveurs seront confrontés à Internet, ce qui augmentera le risque possible et la vulnérabilité à la compromission.
  • Détournement de téléconférence/Zoom – Des personnes non autorisées qui accèdent à une conférence en se joignant à une conférence publique, et en se communiquant le lien ou le code d’accès.

Mesures de sécurité recommandées

Il est important de se rendre compte que, puisque le travail à distance utilise Internet pour la connectivité, il peut s’agit d’une cible de compromission. Par conséquent, voici certaines mesures utiles que les employés peuvent prendre afin d’assurer la sécurité des renseignements :

Considérations liées aux appareils

  • Lorsque l’option d’authentification multifactorielle est disponible, servez-vous en!
  • Évitez de vous servir de réseaux ouverts comme dans les cafés, les installations publiques et les hôtels.
  • Appliquez les mises à jour du système d’exploitation lorsqu’elles sont disponibles.
  • Utilisez le réseau privé virtuel de votre ministère pour avoir une connexion sécurisée.
  • Protégez tous les disques durs, les clés USB, et les cartes SD à l’aide d’un mot de passe.
  • Verrouillez les appareils lorsque vous ne les utilisez pas.

Considérations liées aux services

Voici quelques éléments généraux dont vous devriez tenir compte quant à l’utilisation de ces applications :

  • Activer l’authentification à deux facteurs.
  • Afficher ou envoyer des choses qu’il ne vous dérange pas de communiquer à votre employeur ou aux autres employés.
  • Séparer les applications personnelles et les applications liées au travail.
  • Utiliser des appareils personnels pour des applications personnelles et des appareils de travail pour des applications liées au travail.
  • Veiller à ce que les téléconférences soient privées et protégées à l’aide d’un mot de passe.
  • Utiliser des outils de collaboration lorsque vous travaillez dans un environnement NON CLASSIFIÉ.

Confidentialité et sécurité des outils de collaboration

Les employés devraient toujours utiliser des outils approuvés par le ministère pour collaborer avec leurs collègues, en commençant par Microsoft Teams (au niveau Protégé B si l’emplacement de votre ministère a été accrédité à ce niveau, ou non classifié autrement), puis passer à d’autres outils autorisés comme OutilsGC ou WebEx. Si ces options ne sont pas disponibles, alors la Politique sur l’utilisation acceptable des dispositifs et des réseaux permet l’utilisation d’outils d’informatique en nuage publics comme Slack, Zoom ou Google Hangouts pour effectuer un travail non classifié uniquement. Toutefois, il faut tenir compte des problèmes de confidentialité avant d’utiliser ces applications.

Il est important de retenir qu’il ne faut jamais utiliser ces applications pour des travaux classifiés ou de nature délicate. Le Centre canadien pour la cybersécurité (CCC) a fourni des conseils et des considérations sur l’utilisation d’outils d’informatique en nuage publics pour la vidéoconférence.

Lorsque vous choisissez un outil de collaboration, veuillez tenir compte des facteurs suivants :

  • Priorisez des solutions qui n’exigent pas que les participants aient à procéder à l’installation d’un client, sauf lorsqu’il est nécessaire de le faire.
  • Choisissez une solution qui vous permet de contrôler la façon dont vos données sont gérées. Certaines plateformes peuvent acheminer des données à l’extérieur du Canada ou stocker des données partagées sur des serveurs qui sont sous leur contrôle.
  • Veillez à ce que tous les intervenants qui utilisent le logiciel de collaboration soient au fait, et à l’aise, en ce qui a trait à l’échange de données par le propriétaire du logiciel dans le but de réaliser un profit; par exemple, la vente d’analyses de données à des fins de marketing et de publicité.

Pour obtenir une liste complète des facteurs dont vous devriez tenir compte, veuillez consulter l’avis du CCC.

Voici les paramètres et les fonctionnalités qui peuvent contribuer à la sécurité des téléconférences:

  • Désactivez le partage d’écran des invités.
  • Exigez la présence de l’hôte.
  • Sécurisez la conférence avec un mot de passe.
  • Gardez votre ID de réunion personnelle ou vos invitations privées.

Slack

Lorsque vous utilisez une licence payante de l’application, une fonction est déverrouillée afin de permettre au personnel des RH et de la gestion d’exporter TOUTES les séances de clavardage. En plus d’être en mesure d’exporter les discussions de groupe, il est également possible d’exporter les conversations privées qui se tiennent entre vous et un collègue. Il est impossible d’activer cette fonctionnalité dans la licence libre. Il est important de prendre note que Slack stocke les données indépendamment de la licence, y compris après 10 000 messages, dans la version gratuite. Slack conserve également des données comme les liens, les mots de passe, les noms d’utilisateur et les séances de clavardage, mais dispose d’options pour personnaliser les stratégies de conservation des données.

Voici des paramètres et des fonctionnalités qui peuvent contribuer à la sécurité de Slack :

  • Demandez aux membres du groupe d’utiliser l’authentification à deux facteurs (2FA).
  • Gérez la capacité d’installer des applications et de connecter des outils à un espace de travail de groupe.
  • Limitez l’accès à l’espace de travail.
  • Soyez prudent à l’ouverture de liens, surtout si vous ne les avez pas demandés.
  • Limitez les fonctions administratives.

Pour obtenir de plus amples renseignements sur l’utilisation de Slack en toute sécurité, veuillez consulter le Centre d’aide Slack.

Zoom

Zoom comprend une fonction qui porte une attention à la caméra Web afin de voir qui est actif dans le cadre de la discussion vidéo. Si un présentateur partage son écran et qu’un utilisateur réduit la fenêtre ou quitte son appareil, les hôtes de la réunion recevront un avis. Il faut prendre note que Zoom n’enregistre pas d’activité sur l’appareil et ne consigne pas de vidéo avec ce paramètre. À la création d’une réunion, Zoom génère un ID apparemment aléatoire de neuf à onze chiffres. Pour une personne disposant de ressources informatiques, il peut être facile de décrypter le code, ce qui permet à des acteurs malveillants de se joindre à l’appel. Pour obtenir de plus amples renseignements sur la création d’une conférence Zoom, veuillez consulter le guide dans la section des références ou cliquez ici.

Pour en apprendre davantage sur les pratiques exemplaires et les fonctions d’accessibilité, veuillez consulter les Pratiques exemplaires d’accessibilité d’ESDC sur l’utilisation de Zoom pour les réunions et les cours (en anglais).

Google Hangouts

Google Hangouts nécessite en effet que l’utilisateur possède un compte Google. Il est préférable d’utiliser un compte de travail si possible pour éviter que les renseignements ne soient reliés les uns aux autres, exposant ainsi les intérêts personnels, de même que votre activité personnelle en ligne lorsque vous utilisez ce compte Google. Des renseignements tels les noms, les numéros de téléphone, les noms d’utilisateur et d’autres renseignements peuvent être regroupés et exposés en tant qu’entité unique afin d’exploiter d’autres renseignements et intérêts personnels.

Google stocke les images qui ont été envoyées par l’entremise de Hangouts à une adresse URL publique, ce qui signifie que n’importe qui peut techniquement consulter l’image à condition qu’il possède la bonne adresse URL. Un autre problème avec Hangouts est que cette application n’est pas dotée d’un chiffrement de bout en bout. En termes simples, le chiffrement ne se produit qu’à l’envoi. Cela ouvre la porte à l’écoute des discussions ainsi qu’à la visibilité des messages ayant été échangés par l’entremise de Google.

Références

Retrieved from "https://wiki.gccollab.ca/index.php?title=Travail_à_distance_sécurisé&oldid=24910"