Avec la généralisation du télétravail, les entreprises doivent adapter leurs systèmes pour protéger les informations sensibles accessibles depuis l’extérieur. La CNIL fournit des directives précises pour garantir que les accès distants restent sécurisés, tout en permettant aux salariés de travailler efficacement depuis n’importe quel endroit.
Pourquoi sécuriser l’accès à distance est vital ?
Le télétravail multiplie les points d’entrée pour les données de l’entreprise. Selon une étude du CESIN, près de 30 % des incidents de cybersécurité dans les entreprises françaises concernent des accès distants non sécurisés. Les risques incluent le vol de données, l’intrusion dans le réseau interne, ou encore la compromission des comptes utilisateurs.
La CNIL insiste sur le fait que toute solution d’accès distant doit être conçue pour protéger les informations personnelles et professionnelles, en limitant l’exposition aux menaces externes.
Contrôler les identités et l’authentification
L’un des principaux points abordés par la CNIL concerne la gestion des identités et des mots de passe :
- Utiliser l’authentification forte ou multifactorielle (MFA), qui combine mot de passe et code temporaire ou clé physique
- S’assurer que chaque collaborateur dispose d’identifiants uniques pour tracer précisément les connexions
- Mettre en place des règles de renouvellement régulier des mots de passe, sans utiliser les mêmes informations pour plusieurs systèmes
Cette démarche réduit le risque qu’un accès distant soit compromis par un mot de passe volé ou deviné.
Chiffrement des connexions et données
La CNIL recommande que toutes les communications à distance soient chiffrées :
- Les connexions VPN doivent utiliser des protocoles sécurisés comme IPSec ou SSL/TLS
- Les échanges de fichiers et les accès aux serveurs doivent être protégés par un chiffrement robuste, par exemple AES-256
- Les terminaux utilisés à distance doivent être configurés pour cryptage automatique du disque afin d’éviter toute fuite en cas de perte ou vol
Le chiffrement assure que les données restent illisibles pour quiconque tenterait de les intercepter.
Limiter l’accès selon les besoins
La CNIL recommande une approche basée sur le principe de moindre privilège :
- Chaque utilisateur doit avoir accès uniquement aux informations nécessaires à son activité
- Les comptes administrateurs et les accès sensibles doivent être strictement contrôlés et monitorés
- Les autorisations doivent être régulièrement réévaluées pour éviter l’accumulation d’accès inutiles
Cette gestion fine des droits réduit l’exposition aux erreurs humaines ou aux intrusions externes.
A LIRE AUSSI Visites médicales : ce que la loi impose pour chaque type de contrat
Suivi et journalisation des connexions
Pour détecter rapidement des comportements suspects, il est conseillé de :
- Enregistrer les connexions et les tentatives d’accès aux systèmes sensibles
- Surveiller les anomalies, comme des connexions en dehors des horaires habituels ou depuis des adresses IP inhabituelles
- Mettre en place des alertes automatiques pour les incidents critiques
La journalisation permet de réagir rapidement en cas de compromission et constitue une exigence pour la conformité aux recommandations CNIL.