Le télétravail gagne du terrain. Mais les problématiques de sécurité et de protection des données liées au nomadisme numérique restent à résoudre. Une tribune de la start-up française Seald.
Le télétravail fait son chemin, mais se fragilise quand on évoque la sécurité et la confidentialité. Il ne s’agit plus de faire l’éloge du travail à distance. Ce mode de collaboration semble s’ancrer dans les pratiques managériales en France et dans le monde. Les organisations françaises seraient même les championnes d’Europe du télétravail, à en croire une enquête menée à l’initiative de Wrike : 18,3% des entreprises françaises permettraient à leurs salariés de travailler à domicile sans restriction, contre 11,7% des entreprises allemandes et 5,5% pour les britanniques…
Du côté des pouvoirs publics, le mot d’ordre semble être d’en finir avec la culture du présentéisme. Pour du management plus souple. La loi Travail de 2016 a été revue par les ordonnances Macron du 23 septembre 2017. L’ensemble redéfinit et renforce le cadre législatif du télétravail. Les entreprises peuvent proposer l’option travail à distance et l’employeur doit justifier un refus en cas de demande d’un salarié.
Mais le tableau idyllique s’assombrit quand nous observons que l’employeur n’est plus tenu de fournir, ni la technologie, ni de s’assurer de la sécurisation des outils de collaboration (VPN sécurisé ou système de protection contre les malwares).
L’engouement est réel pour le Cloud, le développement des communications numériques, les outils personnels plus intuitifs ou encore les nouvelles formes de collaboration (coworking). Mais la donnée peut facilement se perdre ou être compromise. En fragilisant drastiquement le système informatique des entreprises qui l’autorisent. Bref, télétravailler reviendrait presque à marcher sur un câble au-dessus du vide sans balancier…
Cybersécurité
La normalisation de la mobilité et du BYOD ne doivent pas faire perdre de vue le risque : les données critiques des entreprises peuvent être perdues ou détournées. Il s’agit maintenant de savoir à qui incombera la mise en conformité du matériel informatique, utilisé au domicile ou en situation de mobilité. Nous pourrions penser au directeur des systèmes d’information (DSI). Mais, il faudrait alors rajouter une ligne supplémentaire à une fiche de poste déjà chargée, pourrait-on rétorquer. Un prestataire ? L’employeur pourra toujours refuser d’engager ces frais. Pourquoi investir dans un système de sécurité, quand ce dernier existe déjà entre les murs de l’entreprise ?
Autre rempart, celui des mentalités. Si le sujet du télétravail n’est pas nouveau, son application l’est. Comment faire entendre aux salariés satisfaits du travail à distance, qu’en télétravaillant sans protection, ils exposent les données de l’entreprise. La question de la responsabilité doit aussi être évoquée. En cas de télétravail et d’attaque informatique qui devra rendre des comptes ? L’employeur ayant autorisé le télétravail en sachant que les conditions n’étaient pas réunies ? L’employé qui sait qu’il outrepasse la sécurité en utilisant ses propres outils plutôt que ceux qui lui auraient été confiés par l’entreprise ?
Collaboration et RGPD
La sécurisation des données en mobilité n’est pas insurmontable, si nous admettons que l’employeur, lui aussi, a des obligations. Il devra mettre à disposition des équipes prêtes à intervenir auprès du travailleur à distance. Ces équipes auraient un rôle de support technique, mais aussi une fonction de sensibilisation aux bonnes pratiques et aux risques (à l’heure du Règlement général sur la protection des données, RGPD). Il s’agit donc aussi d’accompagner ou de s’assurer l’adhésion des collaborateurs. Pour ce faire, il est nécessaire d’impliquer les métiers et les ressources humaines.
Au regard de l’aspect purement technique, il existe sur le marché plusieurs outils permettant de sécuriser les données. Mais il faut prendre garde à ne pas se tromper, tant l’offre est importante. L’idéal serait de se tourner vers des outils simples, intuitifs, orientés expérience client et conformes aux réglementations en vigueur. En font partie le chiffrement de bout en bout pour les documents et les emails (dans Outlook par exemple), la modification des droits d’accès ou encore l’authentification forte… Autre piste : le principe dit du moindre accès. La décision la plus raisonnable pourrait donc consister à ne fournir l’accès qu’aux seuls outils dont l’employé aurait besoin. Ce qui peut être très compliqué à mettre en place pour les directions informatiques.
Le télétravail, en dépit de tous ses avantages, doit être encadré par la loi et par des solutions de sécurité qui favorisent une expérience utilisateur optimale. À l’heure du RGPD, les entreprises doivent renforcer la sécurité de leurs données ou risquer des conséquences sérieuses pour leur business, leur réputation et leurs collaborateurs.
par Timothée Rebours, co-fondateur et CEO de Seald.
(crédit photo de une : Pixabay / licence CC0)