Bonjour, je suis chef d'entreprise et je sollicite votre aide au sujet du télétravail et de l'implication de celui-ci dans le respect de la norme ISO 27001.
Je souhaite savoir si certains d'entre vous ont mis en place une méthode efficace et respectueuse de la norme et du travail à distance.
En effet, nous ne pouvons pas être sur à 100% que des membres de la famille ou des amis/invités n'aient pas accès aux données de l'entreprise. C'est un risque de fuite d'informations ou de piratage via les box de mes salariés que je trouve énormes et je n'ai pas de solution.
Doit on interdire le télétravail pour certaines tâches ou certains postes ?
Merci
Bonjour,
Voici notre retour d’expérience, accompagnant des clients dans leurs certification ISO 27001 et externalisant, pour plusieurs d’entre eux, la fonction en charge du système de management.
En fait d’efficacité et de respect des exigences de la norme ISO 27001, deux éléments sont à veiller plus particulièrement :
l’identification des risques et, entre autres, ceux liés à l’usage des postes nomades (exigences 6.1 et 8.2)
l’organisation de la sécurité du télétravail et de l’utilisation d’appareils mobiles, comprenant la politique et les mesures de sécurité complémentaires de l’utilisation des appareils mobiles, et la protection des informations consultées, traités ou stockées (exigences A.6.2.1 et A.6.2.2)
Il vous faut donc identifier, peser et maîtriser les risques et définir une politique appropriée (entendant ici la terminologie « politique » comme la définition de la stratégie et la définition des procédures ou règles).
L’accès aux données par les membres de la famille ou par toute personne étrangère à un.e salarié.e en télétravail, point que vous citez, est le haut de l’iceberg et il faudra prendre en considération les autres risques (vol d’un périphérique d’accès ou d’un poste opérateur au domicile du salarié, non sécurisation de sa liaison internet vers un système central, non sécurisation de sa connexion…).
Mais pour ce risque en particulier, les mesures efficaces sont donc de définir et communiquer, à chaque salarié en télétravail, les principes de détention et d’utilisation d’un périphérique (ordinateur, smartphone…), et d'intégrer, à ces principes et comme cela est le cas au sein de l’entreprise, les directives et les moyens lorsque nécessaire pour :
rappeler la confidentialité des informations (A.7.2.1) : le salarié n’a pas à «faire voir» ce sur quoi il travaille, encore moins en expliquant avec un sourire malicieux à quel point cela est confidentiel et qu’il ne devrait pas «faire voir» ce sur quoi il travaille… ou éviter d’utiliser son ordinateur sur l’écran 4K de 3m dans son salon pendant le brunch avec les voisins
maîtriser l’usage des supports amovibles (A.8.3.1 / A.8.3.3) : comme au bureau, on ne branche pas de clefs USB pour lire les photos du dernier voyage du cousin Albert ou pour recharger le smartphone du neveu…
conserver la confidentialité des informations de connexion (A.9.3.1) : il s’agit d’un actif de l’entreprise disposant d’une criticité vis-à-vis du système d’information et son usage ne peut être que professionnel et personne d’autre que l’utilisateur déclaré ne doit y a voir accès (les enfants iront regarder Netflix ailleurs, et, même s’il est insistant : le cousin Albert projettera les photos de son voyage ailleurs)
sécuriser les lieux si nécessaire (A.11.1.3), ainsi que les matériels : non utilisé, le périphérique est rangé, voir sécurité (rangé dans un lieu fermé ou une armoire fermée, avec un câble anti-vol…)
maintenir la politique de bureau propre (A.11.2.9), à la maison comme au bureau : rien ne traine sous aucune forme et l’écran est, à minima, verrouillé lorsque l’on n’est pas devant
Cela devrait déjà faire l’affaire et se révèle efficace.