Quoi : Le protocole AVEC (Apportez Votre Équipement personnel de Communication) établit des règles quant au travail à distance avec ses propres appareils (ordinateur, cellulaire…), et à l’utilisation du Wi-Fi public ou non sécurisé.
Durée approximative : Ce protocole doit être organisé autour d’une réunion de deux heures. Quelques heures supplémentaires sont à prévoir pour la rédaction formelle du protocole.
Qui : Toute l’équipe afin de prendre ensemble des décisions qui conviennent à tou.te.s et comprendre leur importance.
Prérequis : Cette réunion doit être conduite lorsque le protocole de sécurité et d’accès a été mis en place. Les décisions prises lors de ces réunions précédentes influenceront le protocole AVEC.
Ce protocole vise à mettre en place une structure simple afin de faciliter le travail à sécuritaire distance avec les appareils personnels de vos employé.e.s et partenaires.
Il comporte deux axes :
AXE 1 : L’utilisation du Wi-Fi ouvert
Tel que mentionné dans le chapitre à cet effet, un Wi-Fi ouvert (ou public) est un réseau qui n’est pas protégé par un mot de passe. Si cela permet une connexion plus facile pour les utilisateurs, il importe de garder en tête que vos activités de navigation voyagent en texte clair sur le réseau. Il est donc nécessaire d’éviter d’y faire transiter des données confidentielles ou sensibles.
Voici quelques pistes de réflexion pour convenir des règles d’usage de ce type de réseau en équipe :
- Dans quelles situations avez-vous besoin d’accéder à des informations en dehors de votre domicile ou de l’organisme?
- Voici quelques exemples de situations : en transit à l’aéroport, pendant une conférence, lors d’une journée de travail dans un café, lors de réunions dans les locaux d’autres organismes, membres ou partenaires, etc.
- En fonction de ces situations, serait-il utile d’utiliser un RPV? Si oui, lequel?
- Les réseaux Wi-Fi personnels de l’organisme et des membres du personnel sont-ils bien sécurisés?
- Les navigateurs des membres du personnel ont-ils les extensions nécessaires pour favoriser les connexions sécurisées?
- Quels documents ne doivent surtout pas être consultés sur un réseau non sécurisé?
AXE 2 : Protocole AVEC (Apportez votre propre appareil de communication)
Si votre organisme travaille avec des personnes qui utilisent leurs propres appareils, vous devez mettre en place certaines règles. Le but d’un tel protocole est de permettre un travail sécurisé et en confiance.
Trois points à clarifier
Avant toute chose, dans la mise en place d’un protocole AVEC, il importe de clarifier trois principes de base :
- Qui sont le.s propriétaire.s des informations sur l’appareil personnel de l’employé?
- Qui est tenu responsable en cas de perte ou de vol de matériel?
- Qu’est-ce qu’il adviendra des données de l’organisme en cas de départ d’un.e membre du personnel?
Vous trouverez ici un guide plus complet sur la mise en place d’un protocole AVEC.
Nous vous proposons quelques pistes de réflexion pour mettre en place ce protocole :
- Est-ce que les appareils utilisés sont protégés par des phrases de passe?
- Tenter d’inclure votre politique de gestion de phrases de passe dans votre protocole AVEC.
- Est-ce que la liste des rôles et leurs accès sont établis et mis à jour?
- S’assurer que les accès définis sont en vigueur et rigoureusement appliqués sur l’appareil personnel utilisé pour le travail à distance, ainsi que sur les comptes d’infonuagique.
- Comment s’assurer de la sécurité des réseaux Wi-Fi utilisés?
- Planifier, au besoin, un accès à un RPV;
- Assurez-vous que les navigateurs possèdent les extensions nécessaires (HTTPS Everywhere) pour naviguer en ligne de manière sécuritaire;
- S’assurer que les réseaux Wi-Fi (au bureau et à la maison) sont sécurisés adéquatement.
- Dans quelles situations délicates un.e membre du personnel peut-il/elle se retrouver lors de travail à distance? À quoi devons-nous faire attention?
- Évaluer les risques. Ceci peut être fait avec le protocole de sécurité.
- Est-ce que l’appareil personnel est partagé par plusieurs personnes? Est-il sécurisé en ce sens?
- Prévoir la mise en place de différentes sessions utilisateur.trice.s
- Comment les données sensibles sont-elles protégées?
- Maintenir un inventaire à jour;
- S’assurer de régler les failles de sécurité ou les situations risquées identifiées dans le protocole de sécurité.
- Est-ce que les documents liés au travail sont bien organisés et faciles à identifier dans le cas d’un départ de la personne?
Liste de contrôle
- Expliquer à tou.te.s les employé.e.s et partenaires les risques associés à l’utilisation d’un réseau Wi-Fi ouvert;
- Établir un protocole de connexion sécurisée sur les réseaux Wi-Fi ouverts;
- Établir un protocole pour sécuriser les réseaux de l’organisme;
- Définir de meilleures pratiques pour sécuriser la navigation des employé.e.s ainsi que leur connexion Wi-Fi à leur domicile;
- Clarifier les responsabilités des différent.e.s parti.e.s relativement à l’utilisation d’appareils personnels;
- Formaliser un protocole AVEC;
- Prévoir la marche à suivre en cas de départ d’un.e employé.e (en lien avec le protocole d’accès);
- Rédiger un protocole AVEC et le faire signer par tout le personnel concerné.
Liens utiles
- Aide pour établir votre protocole;
- Guide sur AVEC par le Barreau du Québec;
- Acceptable use policy par Film And Video Arts Society of Alberta (exemple de protocole seulement en anglais).