Six recommandations aux élus exerçant leur mandat à domicile et aux agents placés en télétravail
La pandémie du coronavirus (covid19) a, pour des raisons exceptionnelles de continuité d’activité, obligé les collectivités à recourir à l’usage numérique lié aux mesures de confinement et au dispositif du télétravail. En tant qu’élus ou agents directement concernés, certaines règles doivent être suivies pour garantir votre propre sécurité et celle de votre collectivité.
- Les instructions de votre collectivité à mettre en œuvre
- La connexion internet doit être sécurisée
- L'usage d'équipements fournis et contrôlés par la collectivité doit être privilégié (en fonction des capacités de chaque collectivité)
- L’utilisation d’un ordinateur personnel doit être sécurisée
- Une communication en toute sécurité à privilégier
- Une vigilance particulière sur les tentatives d'hameçonnage
Les instructions de votre collectivité à mettre en œuvre
Si la collectivité en a adopté une avant le confinement, il convient de relire la charte informatique ou la charte du télétravail et de l’appliquer le plus strictement possible.
Un principe à respecter est de « ne pas faire en télétravail ce que l’on ne ferait pas à la mairie ou au siège ou au bureau ». Il s’agit en l’espèce d’avoir une utilisation responsable et vigilante de vos équipements et de vos accès professionnels, notamment sur la navigation sur internet. Ainsi, il faut s’astreindre, sur internet, à séparer les usages professionnels et les usages personnels. A ce titre, il est possible de créer des comptes distincts si vous utilisez une même application pour ces deux sphères (lié à la collectivité et privé).
La connexion internet doit être sécurisée
Il est important de s’assurer du bon paramétrage de la box internet du domicile ou du lieu de télétravail. Cette étape passe par la vérification de votre mot de passe d'accès administrateur, il est impératif de le changer s’il est faible et de mettre à jour son logiciel interne. Le site web de votre opérateur (par exemple celui de Bouygues, SFR, Orange et Free) peut vous accompagner dans la bonne mise en œuvre de ces étapes.
Dans l’hypothèse de l’utilisation du Wi-Fi, il est recommandé d’activer l'option de chiffrement « WPA2 » ou « WPA3 » avec un mot de passe long et complexe. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) recommande, par exemple une vingtaine de caractères dans les mots de passe. Il faut aussi désactiver la fonction « WPS » et supprimer, s’il existe, le Wi-Fi invité. Globalement, il est préférable de ne se connecter qu'à des réseaux de confiance et d’éviter les accès partagés avec des tiers.
L'usage d'équipements fournis et contrôlés par la collectivité doit être privilégié (en fonction des capacités de chaque collectivité)
Si la commune en a eu la capacité et les moyens, l’utilisation du VPN (Virtual Private Network ou réseau privé virtuel) mis à disposition par cette dernière est conseillée pour l'échange de données à travers les stockages disponibles depuis le VPN, plutôt que par la messagerie électronique.
Dans la mesure du possible, une connexion au moins une fois par jour au VPN permet d’appliquer les mises à jour. Il est souhaitable de désactiver le VPN uniquement lorsque vous utilisez des services consommateurs de bande passante (streaming vidéo ne nécessitant pas de passer par le réseau de la collectivité par exemple).
L’utilisation d’un ordinateur personnel doit être sécurisée
Cette mise en sécurité doit se traduire par :
- l’installation d’un antivirus et d'un pare-feu (par exemple, sous le système d'exploitation Windows 10, l’état des systèmes de protection se vérifie au moyen du centre de sécurité) ;
- l’utilisation d’un compte personnel avec des droits limités, protégé par un mot de passe fort et non partagé avec d'autres personnes (par exemple avec d'autres membres de la famille) et sur lequel les applications installées se limitent au strict nécessaire ;
- la mise à jour régulière du système d'exploitation et des logiciels utilisés, notamment le navigateur web et ses extensions ;
- la réalisation de sauvegardes régulières du travail fait de préférence sur les infrastructures de la collectivité, si possible en activant une solution de sauvegarde automatique ;
- l’utilisation de mots de passe forts sur l'ensemble de vos services et l’activation d’une authentification à deux facteurs (clef d'authentification, jeton, SMS) dès que cela est proposé par le service. Les gestionnaires de mots de passe (par exemple les logiciels KeePass ou ZenyPass) peuvent sécuriser leur stockage et leur gestion.
La CNIL propose un outil pour créer rapidement des mots de passe robustes.
Une communication en toute sécurité à privilégier
Il s’agit tout d’abord d’éviter de transmettre des données confidentielles par le biais des services grand public de stockage, de partage de fichiers en ligne, d'édition collaborative ou au travers des messageries. À défaut, on peut chiffrer les données avant de les transmettre et en communiquant les clés de chiffrement via un canal de communication distinct (par exemple, communication du mot de passe par téléphone ou SMS). Des logiciels grand public comme 7-zip et Zed! permettent de chiffrer les données avec des algorithmes réputés fiables.
Il convient, d’autre part, d’installer uniquement des applications autorisées par votre collectivité. Si elle n’est pas en capacité de mettre en œuvre un système de déploiement d'application, il reste possible d’en télécharger depuis les sites des éditeurs de logiciels avec lesquels la collectivité a un contrat ou un marché.
Par ailleurs, il conviendrait de privilégier des outils de communication chiffrés de bout en bout, si la collectivité n’est pas en mesure de fournir un outil de communication sécurisé.
Enfin, en cas d’utilisation de systèmes de visioconférence, il serait souhaitable d’en trouver un qui protège la vie privée (il faut consulter les conditions d’utilisation du logiciel pour s’assurer que ces outils garantissent la confidentialité des données et ne les réutilisent pas pour d’autres finalités).
Une vigilance particulière sur les tentatives d'hameçonnage
Les pirates profitent de cette période de crise sanitaire pour inventer de nouvelles escroqueries et tirer profit de ces événements. La vigilance à tout contact est de mise pour :
- toutes personnes que vous ne connaissez pas, surtout si elles invitent à cliquer sur des liens ou à ouvrir un fichier ;
- toute personne connue envoyant une communication inhabituelle : il peut être conseillé de vérifier cette information par un autre canal (téléphone, SMS, courriel) ;
- toute personne cherchant à créer un sentiment d'urgence ou de danger. Au besoin, il faut utiliser un autre biais pour vérifier les informations communiquées, par exemple en effectuant une recherche sur internet.
Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.