Avez-vous imposé une politique d'utilisation acceptable sur votre VPN ?

Version imprimable, PDF et e-mail

Le télétravail ne date pas d'hier, mais nul ne peut nier qu'il s'est considérablement développé au cours des derniers mois. Une enquête menée en avril par CNBC/Change Research a révélé que 42 % des Américains travaillent exclusivement à domicile, et qu'il s'agit d'une première pour 19 % d'entre eux.

La même enquête a également indiqué que 44 % des employés souhaitaient rester à la maison ou hésitaient à retourner au bureau. Twitter a déjà annoncé que son personnel n'était pas tenu de regagner les locaux de l'entreprise. Une enquête Gartner menée le 30 mars auprès de chefs d'entreprise a par ailleurs révélé que la plupart des entreprises s'attendent à ce qu'au moins 5 % de leurs effectifs internes d'avant la pandémie passent définitivement au télétravail.

Ce fut la cohue pour transférer les employés du bureau à leur domicile. La priorité était de garantir la continuité des activités et le bien-être des travailleurs, tandis que les départements informatiques se hâtaient de se procurer le matériel nécessaire et de configurer et sécuriser l'accès à distance. Si c'est la première fois que votre entreprise déploie ou autorise un accès à distance étendu par VPN, il serait bon d'évaluer sa politique d'utilisation acceptable (PUA) en la matière.

Pourquoi une PUA VPN ?

Un VPN, ou réseau privé virtuel, relie les utilisateurs externes au réseau de l'entreprise au moyen d'une connexion chiffrée. En principe, il leur permet d'accéder aux ressources dont ils ont besoin tout en respectant le principe du moindre privilège. Correctement déployé, un VPN offrira aux utilisateurs externes les mêmes conditions de travail que le réseau local de l'entreprise.

La PUA de l'entreprise peut suffire à couvrir l'utilisation du VPN, mais vous pouvez aussi la gérer séparément.

Que doit-elle contenir ?

La PUA VPN ne nécessite pas de documentation spécifique. On trouve différents exemples en ligne, notamment des politiques officielles en vigueur, mais aussi des modèles personnalisables qui constituent un bon point de départ. Tenez compte de vos besoins lors de la rédaction de vos directives, en prenant soin d'inclure toute section ou tout terme susceptible de protéger au mieux votre entreprise.

Objet de la politique d'utilisation acceptable du VPN : Cette section présente les raisons pour lesquelles l'entreprise a besoin de cette politique. Elle peut contenir des références aux lois nationales ou locales sur la confidentialité et la sécurité des données, à des réglementations telles que le RGPD, ou encore à toute loi régissant le comportement en ligne.

Champ d'application, applicabilité, exceptions et déclaration à caractère contraignant : Cette section définit les personnes concernées par la politique, son objet ainsi que ses conditions d'application. Voici quelques questions courantes qui y sont abordées :

  • Qui est concerné par cette politique ? Précisez si cette politique s'applique aux employés, aux contractuels, etc., ou simplement à « tous les utilisateurs approuvés ».
  • Cette politique prévoit-elle des dérogations ? Bien que non recommandées, il convient de les définir dans cette section le cas échéant.
  • Quels sont les systèmes et réseaux couverts par cette politique ? S'agit-il d'un VPN de site à site ou d'accès à distance ?
  • Quelles sont les sanctions encourues en cas de non-respect de la politique ? Vous pouvez ici vous en tenir à une simple déclaration du type « mesures disciplinaires pouvant aller jusqu'au licenciement ».

Les sections « Objet » et « Champ d'application » ne sont soumises à aucune règle spécifique. À titre d'exemple, la PUA VPN de l'université d'État de Caroline du Nord fait plutôt dans la simplicité :

  1. Objectif

Cette politique a pour but de fournir des directives applicables à l'utilisation du réseau privé virtuel (VPN) de l'université d'État de Caroline du Nord dans le cadre de l'accès à distance au réseau de l'université.

III. Champ d'application

Cette politique s'applique à tous les membres du corps enseignant, du personnel et des étudiants de l'université d'État de Caroline du Nord qui utilisent un VPN pour accéder directement au réseau de l'université, et régit la mise en œuvre de ce VPN.

L'université Northeastern regroupe l'objet et le champ d'application au sein de la même section :

  1. Objet et champ d'application

Les systèmes d'information de l'université Northeastern sont réservés à l'usage des membres autorisés de la communauté dans le cadre de leurs travaux universitaires et administratifs. Ils comprennent tous les câblages (réseau, informatiques et de télécommunication), équipements, réseaux, dispositifs de sécurité, mots de passe, serveurs, systèmes informatiques, ordinateurs, équipements de laboratoire informatique, postes de travail, connexions Internet, installations de télévision par câble, dispositifs de communication mobile appartenant à l'université ainsi que tous les autres équipements, services et installations intermédiaires. Ces éléments sont la propriété de l'université. La présente Politique décrit les conditions générales d'utilisation des systèmes d'information de l'université Northeastern.

Cette politique s'applique à tous les utilisateurs de ces ressources, qu'ils soient autorisés ou non.

Objet du VPN et/ou de l'accès à distance : « Dans le but exclusif de remplir les obligations professionnelles » peut suffire. Notez que ce point est indépendant de l'objet de la politique elle-même défini précédemment.

Définitions, acronymes, termes techniques : Cette section sert à faciliter la compréhension des termes susceptibles de poser problème. Si votre document comporte du jargon technique, pensez à ajouter cette section par souci de clarté. Le modèle SANS place cette section à la fin du document, accompagnée d'un lien vers son glossaire. D'autres exemples la placent plus haut dans le document, avant même le champ d'application.

Politique d'utilisation : Cette section détaille l'utilisation acceptable du VPN et comporte plusieurs sous-sections. Il est recommandé de traiter certains points en particulier :

  • L'utilisateur doit empêcher toute utilisation non autorisée du VPN. Certaines entreprises abordent ce point en détail, notamment par des directives portant sur les mots de passe et la sécurité des équipements.
  • L'autorisation d'accès peut soit porter exclusivement sur les ordinateurs appartenant à l'entreprise, soit inclure également les ordinateurs personnels.
  • En cas d'autorisation des ordinateurs personnels, la configuration doit répondre aux exigences définies par l'équipe informatique.
  • Tous les ordinateurs doivent respecter les politiques de l'entreprise en matière de VPN et de réseau.
  • Seuls les clients VPN approuvés peuvent être utilisés pour accéder au VPN.
  • Seuls les utilisateurs approuvés peuvent accéder au VPN et doivent respecter les politiques de l'entreprise en matière de VPN et de réseau.

Pensez à inclure toute mesure de sécurité particulière qui pourrait s'avérer nécessaire. Par exemple, il est conseillé d'interdire le « split tunneling » ou d'exiger que les appareils d'accès à distance utilisent le chiffrement de bout en bout. L'université Truman fournit des informations détaillées sur la connectivité au réseau :

Les utilisateurs ne doivent pas utiliser le VPN pour accéder à Internet si cela ne s'avère pas nécessaire. Autrement dit, dès que les utilisateurs ont terminé leur travail sur l'intranet TRUMAN, ils sont tenus de mettre fin à leur session VPN avant d'accéder à Internet pour leur usage personnel.

Les utilisateurs du VPN seront automatiquement déconnectés du réseau TRUMAN après trente minutes d'inactivité et devront se reconnecter pour accéder à nouveau au réseau. Le recours au ping ou autre artifice réseau en vue de maintenir la connexion active est formellement interdit.

Procédures de mise en œuvre et/ou de connexion : Certaines entreprises utilisent cette section pour désigner les responsables du service Internet, préciser les modalités de l'authentification VPN et indiquer aux utilisateurs les coordonnées de l'assistance technique. La politique de l'université d'État de Caroline du Nord couvre l'ensemble de ces points, auxquels s'ajoutent des liens vers d'autres politiques connexes. Le modèle de la National Cybersecurity Society comporte ici 11 points, préconisant une politique d'utilisation plus courte.

Application, conformité : Il est conseillé de préciser les modalités d'application de la PUA VPN par l'entreprise. Voici comment l'université Calvin entend veiller au respect de sa politique :

« diverses méthodes, y compris, mais sans s'y limiter, des guides périodiques, des rapports sur les pare-feux, des audits internes et externes, ainsi que des contrôles au moyen d'une palette d'outils de sécurité. »

On retrouve cette mention dans de nombreux modèles et politiques en vigueur.

Si vous ne l'avez pas déjà mentionné, pensez à préciser les sanctions en cas de non-respect de la présente politique.

Politiques connexes : Si vous disposez d'autres politiques relatives à l'utilisation du VPN, indiquez-les ici. Il peut s'agir de la politique relative aux mots de passe, de la politique d'utilisation acceptable, de la politique de sécurité de l'information, etc. Pour plus de simplicité, vous pouvez également insérer un lien vers une liste de toutes vos politiques informatiques.

L'avantage des politiques d'utilisation acceptable est que vous pouvez les adapter précisément à votre entreprise. Il existe de nombreux exemples dont vous pouvez vous inspirer, notamment les modèles gratuits de l'institut SANS et de la National Cybersecurity Society. Vous pouvez même ajouter votre politique VPN à votre PUA actuelle, ce qui vous évitera de devoir créer un document séparé. Ce qui importe, c'est que votre politique couvre l'accès au VPN. En tant qu'extension de votre réseau, les connexions VPN revêtent un caractère autrement plus complexe que votre réseau local. Une PUA VPN transparente rendra votre entreprise plus sûre et évitera tout malentendu susceptible de nuire à vos employés.

Pour d'autres articles comme celui-ci, consultez notre section sur le télétravail.

Remonter en haut de page
Tweeter
Partager
Partager