Politique de télétravail

La Politique de télétravail (P09) fournit un cadre complet pour gérer l’accès à distance sécurisé et atténuer les risques spécifiques associés aux environnements de travail distribués. Elle est conçue pour l'ensemble du personnel, y compris les employés à temps plein, à temps partiel, les employés contractuels, les prestataires tiers de services, les consultants, les fournisseurs et le personnel en mode projet, autorisés à exécuter leurs fonctions en dehors des locaux de l’entreprise. La politique s’applique à toutes les zones géographiques et à tous les fuseaux horaires où l’organisation opère, garantissant un socle de contrôles uniforme, indépendamment du lieu ou du moment où le télétravail a lieu. Son objectif principal est de maintenir la confidentialité, l’intégrité et la disponibilité des actifs informationnels de l’organisation auxquels on accède ou que l’on traite hors site. La politique y parvient en instituant des mesures de protection techniques et procédurales robustes, telles que le chiffrement obligatoire, une authentification forte (y compris l’authentification multifacteur), la protection des terminaux et des canaux d’accès sécurisés comme le VPN d'entreprise ou les bureaux à distance. Elle s’aligne étroitement sur les exigences ISO/IEC 27001:2022, y compris l’Annexe A, mesure 6.7, qui porte sur des conditions de télétravail sécurisées, en veillant à ce que les protections physiques et l’accès logique soient traités. Les contrôles répondent également à des réglementations du secteur telles que NIST SP 800-53 (pour le contrôle d'accès et les protections cryptographiques), GDPR et NIS2 (pour la sécurité et la protection des données), et DORA (pour la résilience ICT financière). Des sections spécifiques de la politique délimitent les rôles et responsabilités au sein de la Direction générale, du leadership de la sécurité de l’information (Responsable de la sécurité des systèmes d’information (RSSI)/Responsable du SMSI), de l’Exploitation informatique, des Ressources humaines (RH), des responsables hiérarchiques, du Juridique et conformité, ainsi que du personnel en télétravail. Par exemple, l’informatique est chargée de déployer et de soutenir une infrastructure sécurisée, de suivre la conformité des équipements et de maintenir les journaux d’événements. Les employés et les prestataires en télétravail doivent respecter l’utilisation sécurisée des équipements, les méthodes d’accès approuvées, les règles de traitement des données et signaler rapidement tout incident de sécurité de l'information ou toute perte d’équipement. La politique interdit strictement l’accès à distance en dehors de configurations autorisées et exige que tous les équipements, appartenant à l’entreprise ou en usage de terminaux personnels, respectent une sécurité de base (configuration sécurisée, application de correctifs, chiffrement, antivirus) ainsi que les exigences d’enregistrement des actifs. Les mécanismes de gouvernance au sein de la politique traitent rigoureusement le traitement des risques, la gestion des exceptions et la mise en application et conformité. Des catégories de risques telles que le vol d’identifiants, l’exfiltration de données, les menaces internes, les violations réglementaires et la compromission par logiciels malveillants sont directement traitées par des contrôles en couches : contrôle d’accès basé sur les rôles, alertes SIEM, sécurité des terminaux, règles de traitement des données et formation des utilisateurs. En outre, toutes les dérogations doivent être approuvées par le Responsable de la sécurité des systèmes d’information (RSSI), documentées et faire l’objet de revues de la performance des contrôles périodiques. Une supervision continue est assurée via la surveillance, la journalisation centralisée et des processus d’audit définis. Les violations de la politique sont susceptibles d’entraîner la révocation des accès, des mesures disciplinaires, la résiliation du contrat ou une action en justice. La politique s’intègre également étroitement à des politiques connexes, notamment la politique de sécurité de l’information, la Politique d'utilisation acceptable, la Politique de contrôle d’accès, le cadre de gestion des risques, la Gestion des installations et des actifs, la Politique de conservation des données et la Politique de journalisation et de surveillance, afin de former un modèle de gouvernance de bout en bout du télétravail. Son cycle de revue annuel ou déclenché par événement garantit une adaptation aux menaces évolutives, aux changements réglementaires ou aux avancées technologiques, avec toutes les mises à jour communiquées formellement et faisant l’objet d’une attestation de prise de connaissance de la politique. Cela assure une application cohérente d’opérations sécurisées, conformes et fiables dans tous les scénarios de télétravail.