Selon une étude de l’INSEE, près d’un salarié du privé sur cinq exerce régulièrement ses fonctions hors de l’entreprise. Ainsi, qu’il soit partiel ou total, ce mode de travail s’est installé durablement dans les pratiques des entreprises françaises.
Si le télétravail apporte de nombreux avantages, son adoption rapide n’est pourtant pas sans risques. Entre amélioration du confort des salariés et gestion des risques, en matière de cybersécurité ou de conformité réglementaire, les entreprises doivent donc trouver le juste équilibre.
Quelles sont les obligations à respecter ? Comment assurer à la fois l’accessibilité aux outils, la sécurité informatique et la conformité aux lois lorsque vos salariés sont en télétravail ?
Réponses et éclairages de nos experts.
Quels sont les risques en matière de cybersécurité pour les télétravailleurs ?
En déplaçant vos postes de travail hors de l’entreprise, vous étendez logiquement la surface d’attaque à défendre. Or, ces nouveaux espaces de travail peuvent plus facilement échapper à la supervision de vos équipes ou de votre prestataire informatique. On peut les comparer à des angles morts.
Le premier risque concerne ainsi les réseaux utilisés par les télétravailleurs. À domicile, le salarié se connecte à travers une box internet personnelle, souvent peu sécurisée, à l’aide d’un mot de passe Wi-Fi faible ou inchangé depuis l’ouverture de sa ligne. En déplacement, les réseaux publics gratuits sont régulièrement utilisés par des salariés qui ne réalisent pas qu’un individu malveillant pourrait intercepter leurs échanges.
Le mélange des usages professionnels et personnels est aussi problématique. Dans un contexte de télétravail, un ordinateur portable risque d’être utilisé pour des activités sans lien avec les missions du salarié : visite de sites web variés, partage de fichiers à des proches, installation d’applications non autorisées… Les smartphones sont également exposés : photos, contenus privés, jeux et autres applications grand public peuvent s’y multiplier.
Gardez à l’esprit, qu’un poste distant échappe à tout contrôle, si aucune supervision n’est déployée. Sur site, il est simple de vérifier les mises à jour, l’application de correctifs ou l’activation des solutions de sécurité comme les antivirus et les EDR. À distance, ces mesures d’hygiène informatique sont plus difficiles à garantir sans l’installation préalable d’un agent RMM.
Le poste de travail obsolète constitue également une cible idéale : après avoir compromis l’appareil, l’attaquant pourra s’en servir comme d’une porte dérobée pour “rebondir” vers le réseau interne de l’entreprise, qu’il n’aurait pas pu pénétrer autrement.
Enfin, le risque d’erreur humaine est plus grand en situation de télétravail. Un clic distrait sur un lien, une pièce jointe infectée ou un échange malveillant peuvent suffire à compromettre le poste de travail et ses données.
S’il est important de rappeler les risques, cela ne signifie pas pour autant que le télétravail est à proscrire. Comprendre les vulnérabilités auxquelles vous êtes exposé permet de mieux protéger vos accès distants.
Télétravail et cybersécurité : ce que dit la loi.
En matière de cybersécurité et de protection des données, les réglementations ne sont généralement pas spécifiques au télétravail. Toutefois, vous devez veiller à ce que les mesures appliquées aux employés en présentiel soient étendues aux salariés en télétravail.
Les obligations du Code du travail
L’article L4121-1 du Code du travail impose à l’employeur de prendre « les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs » . Cette obligation s’applique à la sécurité physique comme à la sécurité des outils utilisés aussi bien au bureau qu’à domicile.
L’article L1222-9 rappelle que le salarié en télétravail bénéficie des mêmes droits que sur site. Ses outils doivent donc être adaptés, sécurisés et utilisables dans de bonnes conditions.
Les risques liés à l’activité exercée en télétravail doivent également être intégrés, conformément à l’article L4121-2. Ainsi, les accès distants aux outils numériques et aux données de l’entreprise doivent être identifiés et des mesures adaptées doivent être définies pour leur protection.
Les obligations du RGPD
Le RGPD (Règlement Général pour la Protection des Données) s’applique à toutes les entreprises, dès lors qu’elles traitent des données personnelles de clients, salariés, ou partenaires. Ce texte s’applique donc aussi bien aux données relatives à vos employés qu’à celles traitées dans le cadre de leurs missions.
Plusieurs articles structurent les obligations de l’employeur pour la protection des données, au bureau comme en situation de télétravail.
En vertu du principe d’intégrité et de confidentialité des données, l’article 32 du texte prévoit la mise en œuvre de « mesures techniques et organisationnelles adaptées », comme la sécurisation des postes de travail, la gestion des droits d’accès ou la mise en place de sauvegardes. Le RGPD impose également de fournir aux salariés des instructions documentées sur l’usage des données récoltées et traitées.
Concrètement, les entreprises doivent prouver que les données personnelles, y compris celles de vos salariés, sont encadrées, que l’accès à ces données est maîtrisé et que les mesures de sécurité mises en place sont proportionnelles au risque, à savoir la protection contre les fuites de données, les vols et actes de cybermalveillance.
L’entreprise a-t-elle le droit de surveiller les employés en télétravail ?
L’adage bien connu dit que « La confiance n’exclut pas le contrôle ». La question de la surveillance des employés en télétravail est épineuse et parfois conflictuelle.
Un employeur est bien en droit de contrôler l’activité de ses salariés en situation de mobilité ou de télétravail. Cependant, des conditions s’appliquent, pour le respect de la vie privée et du bien-être des salariés.
En tant qu’employeur, vous avez l’obligation d’informer vos salariés des conditions de travail et des modalités de contrôle que vous comptez appliquer : logiciels de pointage, vérification des messageries, outils de reporting, ou encore critères de performance à atteindre. Pour le respect du droit à la déconnexion, définissez également les horaires durant lesquels vous pouvez – ou ne pouvez plus – contacter votre salarié.
Enfin, les obligations, droits et restrictions d’usage concernant l’outil informatique devraient idéalement être intégrées à votre charte informatique et associées au règlement intérieur de l’entreprise, afin de renforcer la responsabilisation des salariés.
Comment maîtriser les accès distants, dans le respect des réglementations ?
Mettre en place un cadre sécurisé pour vos salariés en télétravail n’est pas forcément complexe, mais nécessite le respect de quelques mesures de protection et bonnes pratiques de sécurité informatique, adaptées aux besoins et usages des PME.
- Définir une charte informatique et lui donner une force contraignante.
La charte décrit les usages, les outils et les équipements autorisés, les règles d’utilisation de l’outil informatique mis à disposition des salariés et les comportements attendus. Signée par les employés, elle engage leur responsabilité en cas d’infraction, au même titre que le règlement intérieur de l’entreprise.
- Encadrer les usages selon le principe du moindre privilège.
L’idéal est de fournir des postes de travail professionnels, configurés et supervisés par votre prestataire informatique. Si vous autorisez l’usage d’un équipement personnel (pratique du « Bring your own device » – ou « BYOD ») , appliquez le principe du moindre privilège : les droits d’accès depuis cet équipement doivent être limités au strict nécessaire. Le salarié n’aura accès qu’aux informations et outils nécessaires à la réalisation de ses missions. En cas de compromission de son poste de travail distant, l’impact sur les données de l’entreprise sera limité.
- Assurer la maintenance et la mise à jour régulière des postes de travail.
Même en télétravail, les mises à jour et correctifs de sécurité doivent être appliqués sans délai. Un prestataire informatique comme Net4business pourra déployer des outils de supervision centralisée, afin de gérer et intervenir à distance sur votre parc informatique.
- Sécuriser les accès distants.
Le télétravail multiplie les points d’entrée vers le réseau interne de votre entreprise, aussi il est essentiel de durcir la sécurité des accès distants. L’usage d’un VPN, la configuration d’un pare-feu et la mise en place de l’authentification multifacteur (MFA/2FA) font partie des mesures qui réduisent fortement les risques d’accès illicite à vos données.
- Mettre en place des sauvegardes redondantes et testées.
Pour plus de sécurité, Net4business recommande d’appliquer la stratégie du 3-2-1 : trois copies des données, deux supports différents, une copie isolée du réseau interne de l’entreprise. Pour garantir leur efficacité et éviter les mauvaises surprises, vos sauvegardes doivent être testées régulièrement.
Net4business supervise votre parc informatique, au bureau comme en télétravail.
En appliquant des mesures simples et en déployant les bonnes solutions, il est possible de sécuriser efficacement les environnements distants et d’assurer la conformité avec le Code du travail et le RGPD.
Net4Business accompagne les PME de Loire-Atlantique dans la mise en place de protections adaptées : supervision des postes, mises à jour, sécurisation des accès, documentation des pratiques et sauvegardes testées.
Contactez-nous dès aujourd’hui pour discuter de vos besoins.