Le livre blanc de la cybersécurité
Chapitre 6

Est-il recommandé de travailler avec son appareil personnel?

Travailler à partir de son appareil peut être pratique, pour l’employé.e comme pour l’employeur.euse, qui peut ainsi éviter de faire l’acquisition coûteuse et fréquente d’appareils électroniques. Son utilisation présente également certains risques dont il faut être conscient.e.


Quels sont les risques?

Ces risques sont principalement liés aux accès autorisés sur votre appareil (service infonuagique, comptes connectés…), à la solidité de vos phrases de passe (ou leur faiblesse, si vous n’avez pas encore appliqué nos précieux conseils), ainsi qu’aux risques associés à votre connexion Internet.

La base du protocole AVEC

Si l’utilisation d’un appareil personnel pour le travail est votre seule solution, il n’y a aucun problème : c’est très compréhensible. Il faudra alors simplement s’assurer de mettre en place un protocole AVEC (apportez votre équipement de communication) comme nous vous aidons à le faire à la section suivante.

Ce type de protocole permet de réduire la surface d’attaque de manière significative. La logique est simple : chaque appareil connecté augmente les risques, et chaque connexion sécurisée les diminue.

Question de vous donner un aperçu, on vous fait ici quelques recommandations que vous pourrez appliquer rapidement et en toute facilité!

  • Assurez-vous d’avoir une authentification sécurisée pour ouvrir votre appareil (phrase de passe, empreinte digitale…);
  • Séparez, lorsque possible, vos documents personnels et professionnels, et ce, tant dans les dossiers sur votre bureau que sur vos comptes en ligne;
  • Organisez systématiquement vos dossiers professionnels de manière à ce que leur effacement et leur destruction soient faciles et rapides. Détruire un dossier bien organisé à la fin d’un contrat est bien plus facile que d’identifier et détruire au compte-gouttes des fichiers éparpillés partout dans votre appareil);
  • Utilisez des phrases de passes sécurisées pour tous vos comptes, même personnels, car une faille dans le privé peut impacter votre organisme;
  • Assurez-vous d’avoir des phrases de passe complètement différentes pour vos comptes privés et professionnels. Comme ça, s’il y a compromission de l’un de vos comptes privés, cela assurera l’intégrité de votre travail;
  • Mettez à jour votre appareil et les logiciels régulièrement. Les mises à jour réparent fréquemment des failles de sécurité. Elles protègent donc votre appareil des attaques informatiques récemment découvertes.

Revenons rapidement sur ce dernier conseil. On le sait trop bien : les mises à jour sont  incroyablement ennuyantes et elles prennent du temps. Que vous utilisiez votre ordinateur ou celui de votre organisme, faire les mises à jour des applications et des systèmes d’opération (sur votre ordinateur comme sur vos appareils mobiles) est l’une des principales recommandations formulées par les expert.e.s en sécurité informatique. La raison est bien simple : de nombreux virus et maliciels (dont les rançongiciels) peuvent gagner accès à votre ordinateur en exploitant des vulnérabilités qui ont été découvertes et documentées. Les mises à jour de sécurité réparent ces vulnérabilités et immunisent de ce fait vos logiciels obsolètes.

Quels sont les avantages de séparer le privé du professionnel?

Pour un.e employé.e qui utilise son ordinateur personnel ou à qui on prête un appareil, il importe de séparer les informations et comptes privés de ceux de l’organisme. 

Comme dans le monde hors ligne, nos vies numériques privée et professionnelle gagnent à rester, dans la mesure du possible, séparées. Si c’est parfois difficile, dites-vous que chaque action de segmentation limite les risques de compromission de données. Cela permet également de faciliter la transition lors d’un départ de l’organisme.

Certains points de départ sont faciles et évidents. À commencer par la base : avoir des adresses courriel différentes pour vos activités privées et professionnelles. Si votre compte personnel est lié à des comptes de votre organisme, une compromission pourrait facilement mettre en danger les documents et données sensibles de votre équipe et de l’ensemble des comptes liés. Aussi si possible ne pas avoir un gestionnaire de courriel pour toutes ses adresses courriel (Gmail lié, Mac Mail…).

Voilà un moyen simple de faire acte de cybercitoyenneté.

Quelques précautions supplémentaires

On ne le répètera jamais assez : une phrase de passe robuste et unique pour l’ouverture d’une session ou pour l’accès à un compte est également un point de départ nécessaire. L’autre est sans conteste la mise à jour systématique de vos applications et systèmes d’exploitation.

Que faire lorsque la séparation privé/pro est impossible?

Il n’est pas possible de tout séparer. Si vous utilisez votre appareil, vous utiliserez certainement le même navigateur pour des activités personnelles et professionnelles. Vous pouvez néanmoins prendre des précautions pour limiter les risques associés à ces pratiques. 

Il est recommandé de toujours entrer ses identifiants manuellement ou via un gestionnaire de phrases de passe. Si possible, organisez vos mots de passe professionnels dans un dossier distinct de votre gestionnaire. Cela vous permettra de supprimer son contenu en toute facilité.

Pourquoi donc est-il recommandé d’utiliser un gestionnaire alors que les navigateurs nous offrent gracieusement la possibilité de se souvenir de nos identifiants? Parce que cet automatisme vient toujours avec un risque supplémentaire : il sauvegarde – souvent de manière non chiffrée – vos identifiants et mots de passe localement dans votre navigateur. Ainsi, si quelqu’un.e gagne un accès physique à votre appareil (en cas de perte ou de vol de votre ordinateur, par exemple), cette personne gagnera le gros lot : l’accès à l’ensemble de vos comptes. 

La distinction entre les comptes privés et pros se fait également à travers vos choix de mots de passe. Évidemment, à ce stade, vous devriez avoir des mots de passe uniques (n’est-ce pas?!). Un premier pas absolument nécessaire, c’est d’utiliser des mots de passe complètement différents pour vos comptes privés et professionnels. On vous connaît bien : on sait que vous avez tendance à créer des dérivés des mêmes mots de passe pour faciliter leur mémorisation. Minimalement, il importe d’éviter de faire cela dans un contexte professionnel.


Récapitulatif

  • Dans la mesure du possible, ayez des appareils séparés pour votre vie personnelle et professionnelle;
  • Utilisez des comptes professionnels différents de vos comptes personnels (réseaux sociaux, courriels…);
  • Si ce n’est pas possible, suivez un protocole AVEC;
  • Assurez-vous de toujours mettre vos appareils à jour.
Chapitre 7 Gérer ses réseaux sociaux Tous les chapitres