Norme de sécurité du télétravail

14 décembre 2011

But

Cette norme établit les exigences minimales de sécurité pour le télétravail des employés de l'État, des contractuels, des bénévoles et des stagiaires.

Aperçu

De nombreux organismes publics offrent à leurs employés la possibilité de travailler depuis un autre lieu de travail, y compris leur domicile. Les risques liés à la sécurité associés au télétravail non encadré peuvent s'avérer coûteux et nuire à la continuité des services publics essentiels. Les organismes doivent donc prendre conscience de ces risques et mettre en œuvre des mesures pour les atténuer.

La clé d'un dispositif de télétravail sécurisé réside dans la prise en compte de la sécurité des informations, notamment :

• Au repos : données stockées sur un appareil de télétravail tel qu’un ordinateur portable, un ordinateur de bureau ou un périphérique de stockage amovible.
• En transit : Données circulant entre l'agence et le lieu de télétravail ;
• et En cours d'utilisation : Données utilisées par le télétravailleur.

Le matériel et les informations utilisés pour le télétravail au sein de l'agence doivent bénéficier d'une protection égale ou supérieure à celle mise en place au siège de l'agence.

Portée

Cette norme définit les exigences minimales en matière de télétravail sécurisé. Elle s'applique à tous les organismes définis par le chapitre 8A, section 101 du Code de l'Iowa. Les organismes non participants sont invités à suivre les directives énoncées dans cette norme ainsi que dans les autres politiques, normes, directives, processus et procédures de l'entreprise.

Définitions

• Applications basées sur le cloud : applications fournies via Internet, telles que Google Docs, plutôt qu’installées sur l’ordinateur de l’utilisateur.

• Connexion multi-réseaux : Un ordinateur connecté à deux réseaux ou plus, ou possédant deux adresses réseau ou plus. Par exemple, un ordinateur peut être connecté à une liaison série et à un réseau local (LAN), ou à plusieurs réseaux locaux.
• Partage de fichiers pair à pair (P2P) : Le partage de fichiers pair à pair (P2P), comme BitTorrent, permet aux utilisateurs de partager des fichiers en ligne via un réseau informel d’ordinateurs utilisant le même logiciel. Une configuration incorrecte du partage de fichiers peut entraîner des fuites de données.
• Connexion à distance : Connexion d'une ressource informationnelle située hors des locaux de l'agence à une ressource informationnelle du réseau de l'agence.
• Tunneling fractionné : Ce procédé permet à un utilisateur VPN distant d’accéder simultanément à un réseau public, généralement Internet, et aux ressources du réseau VPN. L’inconvénient de cette méthode est qu’elle rend le VPN vulnérable aux attaques, car accessible via le réseau public non sécurisé.
• Télétravail : Dispositif approuvé par la direction, encadré par un accord de télétravail, dans lequel un membre du personnel effectue régulièrement des tâches qui lui sont officiellement assignées sur un lieu de travail autre que celui de l'agence, y compris le travail à domicile.

Mises à jour

Cette norme sera révisée au moins tous les deux ans et mise à jour au besoin.

Norme de sécurité du télétravail en entreprise

Les éléments suivants s'appliquent au télétravail :

1. Politique : Les organismes doivent élaborer une politique de sécurité en matière de télétravail et la communiquer à leur personnel.
2. Connexions à distance : Les dispositions suivantes s'appliquent aux connexions de télétravail à distance :
   1. Les connexions doivent être chiffrées.
   2. Les connexions doivent utiliser l'authentification à deux facteurs. Les formes d'authentification à deux facteurs comprennent :
      1. Identifiant et mot de passe + Certificat
      2. Identifiant et mot de passe + générateur de jetons
      3. Identifiant et mot de passe + Générateur de jetons + Certificat
   3. L’utilisateur en télétravail ne doit pas établir deux connexions simultanées à des réseaux différents (c’est-à-dire pas de tunnelage fractionné ni de connexions multi-homed).
3. Comptes utilisateurs :

• Les comptes d'utilisateurs en télétravail disposeront de privilèges limités. Seuls les employés ayant un besoin professionnel justifiant cet accès bénéficieront de privilèges d'administrateur.
• Les mots de passe des comptes de télétravail ne doivent pas être stockés sur l'appareil/l'équipement.

4. Pare-feu : Un pare-feu doit être mis en place sur le lieu de télétravail afin d'assurer le filtrage des connexions entrantes et sortantes.
5. Partage de documents :

• L’utilisation d’applications basées sur le cloud doit être approuvée par la direction de l’agence.
• Les données confidentielles de l'État doivent être chiffrées lors de leur transmission et de leur stockage lorsqu'elles sont utilisées dans des applications basées sur le cloud.
• Les applications de partage de fichiers poste à poste ne doivent pas être installées sur les ordinateurs de l'agence.

6. Comptes de messagerie personnels : Les informations confidentielles de l'agence ne doivent pas être transmises via des comptes de messagerie personnels.
7. Matériel : Les éléments suivants s'appliquent au matériel utilisé pour le télétravail :
   1. Les ordinateurs personnels, les supports amovibles et autres appareils ne doivent pas être utilisés pour le télétravail.
   2. Le matériel de télétravail de l'agence ne doit pas être utilisé à des fins personnelles.
   3. Les équipements électroniques contenant des informations confidentielles doivent être mis en sécurité lorsqu'ils ne sont pas utilisés.
   4. Les postes de travail en télétravail contenant des informations confidentielles doivent être cryptés.
   5. Les applications inutilisées doivent être désinstallées des appareils de télétravail.
   6. Le matériel électronique défectueux doit être retourné à l'agence pour être éliminé.
   7. Le matériel de télétravail fera l'objet d'un audit trimestriel afin de s'assurer que les paramètres de sécurité n'ont pas été désactivés ou modifiés.
   8. Un délai d'inactivité de 15 minutes sera mis en place sur tous les ordinateurs portables et de bureau utilisés en télétravail.
   9. Seuls les logiciels approuvés par l'agence peuvent être installés sur les équipements de l'agence.
8. Sauvegardes : Les informations électroniques utilisées sur un lieu de télétravail doivent être sauvegardées sur le système de stockage principal du réseau de l'agence.
9. Mises à jour de sécurité : Les ordinateurs portables, les ordinateurs de bureau et autres appareils mobiles utilisés pour le télétravail doivent être équipés de mises à jour de sécurité critiques pour les failles de sécurité actives, installées dans les 5 jours suivant leur publication.
10. Informations sur copie papier :

• Les documents papier contenant des informations confidentielles de l'agence doivent être mis en sécurité lorsqu'ils ne sont pas utilisés (c'est-à-dire placés dans un bureau ou une armoire verrouillée).
• Les documents papier contenant des informations confidentielles doivent être détruits à l'aide d'un destructeur de documents à micro-coupe s'ils sont éliminés sur le lieu de télétravail.
• Les organismes doivent assurer le suivi du retrait et du retour des documents confidentiels, tels que les dossiers du personnel, vers les lieux de télétravail.

11. Formation : Les employés, les contractuels, les stagiaires et les bénévoles de l'agence recevront une formation sur les pratiques de télétravail sécurisées avant de commencer à télétravailler.
12. Surveillance : Tous les accès à distance pour le télétravail doivent être consignés et surveillés. Les fichiers journaux doivent contenir suffisamment de détails pour permettre une reconstitution virtuelle de la session réseau.
13. Signalement : Le personnel doit signaler tout incident de sécurité impliquant le vol/la perte de matériel ou la divulgation non autorisée d'informations à son supérieur hiérarchique dans les 24 heures.
14. Sans fil : Les appareils sans fil utilisés pour le télétravail doivent être configurés de manière à ne pas tenter automatiquement de se connecter aux réseaux sans fil qu'ils détectent.

Date d'entrée en vigueur  

Cette norme entrera en vigueur le 14 décembre 2011.
Application de la loi

Cette norme sera appliquée conformément au Code administratif de l'Iowa 11—25.11(8A).

Variance

Le Code administratif de l'Iowa, article 11-25.11(2), prévoit des dérogations aux normes de sécurité. Toute demande de dérogation aux exigences de la présente politique doit être soumise par écrit au responsable de la sécurité des systèmes d'information avant sa mise en œuvre.