NUMÉRIQUE ET DONNÉES AU TEMPS DU CORONAVIRUS - Ressourcial
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
NUMÉRIQUE ET DONNÉES AU TEMPS
DU CORONAVIRUS
1
Le Webinaire démarrera dans quelques instants…
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.
Numérique et données
au temps du coronavirus
9 avril 2020
2
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.
POURQUOI CE WEBINAIRE ?
Garder le lien.
Se mettre (modestement) au service des organisations du
secteur social et médico-social.
Partager nos interrogations, identifier les points durs, tenter
d’apporter un début de réponse.
Envisager la sortie de crise.
3
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.
LA CRISE SANITAIRE NOUS CONFRONTE BRUTALEMENT
À UN MONDE DEVENU NUMÉRIQUE
4
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.
LE TRAJET INTERNATIONAL DU CORONAVIRUS
RECOUPE LA CARTE DE L’INTERNET MONDIAL
5
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.
UNE SITUATION PARTICULIÈRE QUI MÊLE…
du positif :
accélération (forcée) du virage numérique ;
la créativité numérique des professionnels ;
du moins positif :
le manque d’anticipation nous conduit à fonctionner en mode dégradé ;
le renforcement du poids des GAFAM (ex : l’explosion de Zoom) ;
du franchement négatif :
une société à 2 vitesses pour le numérique aussi (cf. Le Monde 6/4/2020 « Le
visio-machin, je n’y connais rien ») ;
des organisations et des entreprises à 2 vitesses aussi ;
les risques sur la vie privée, les droits et libertés des personnes ;
la surveillance numérique contre le coronavirus fait craindre des dérives
liberticides (drones, géolocalisation, etc.)
le numérique comme pharmakon : un remède et un poison (cf. le
débat sur le contact tracing). 6
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.
LES BESOINS (RETOURS D’EXPÉRIENCES)
Organiser et sécuriser le télétravail.
Maintenir les liens :
entre professionnels ;
avec les partenaires ;
avec les usagers et les familles ;
Traiter un grand volume d’informations :
les limites du mail sont atteintes (au quotidien on est passé de 50 mails
en moyenne à plus de 200) ;
les limites de la ressaisie aussi (cf. la remontée des EI COVID-19) ;
Assurer en interne la protection des données en état d’urgence et
de travail à distance.
Lutter contre la cybercriminalité :
phishing, ransomware ;
arnaques à base d’ingénierie sociale. 7
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.
LE TÉLÉTRAVAIL ET LES OUTILS DE TRAVAIL À
DISTANCE
8
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.
En télétravail je protège aussi les données sensibles
J’utilise le matériel et la connexion sécurisée fournis par mon employeur (accès à distance, visioconférence) afin de
protéger mon travail : sauvegarde des données et sécurité des échanges.
Je n’utilise pas mes appareils personnels pour le travail et ne transfère pas de données de travail sur ces appareils. Je
débranche mon assistant vocal (Google assistant, Alexa, etc.) pendant que je télétravaille.
Je verrouille mon poste informatique en cas d’absence et protège la confidentialité des données.
Je m’isole pour travailler sur des données sensibles sans la présence d’autres personnes.
Je sécurise mes documents papiers et les dossiers que mon responsable m’a autorisé à emporter à domicile.
Je ne me connecte pas aux réseaux sociaux avec le matériel professionnel qui m’a été confié.
Attention : je suis très vigilant aux attaques par phishing en nette recrudescence. Le télétravail accentue le risque de
recevoir de « faux » messages de son supérieur hiérarchique ou autre contact demandant l’accès à des données, mots
de passe. De fausses campagnes « Coronavirus » sont déjà détectées elles contiennent des liens porteurs de virus.
9
Je réfléchis et vérifie avant de cliquer.En télétravail j’adopte de bonnes pratiques
J’aménage, si cela est possible, mon espace de travail dans des conditions les plus proches de celles que je connais
habituellement.
Je choisis la visioconférence pour les échanges de travail synchrones. Je préserve mon intimité en portant attention à
l’arrière plan.
Je structure mon temps (et si possible mon espace et ma tenue vestimentaire) entre vie privée et vie professionnelle.
Je prévois des temps réguliers de briefing avec mes collègues (en début de journée par exemple).
Je me fixe des objectifs au jour le jour et préserve des temps de « travail profond » pour les sujets qui le nécessitent.
Je maintiens le contact avec mes collègues et je respecte l’organisation de leur journée de travail.
J’équilibre autant que faire se peut mon temps de travail et l’attention à porter à mes enfants.
10LES OUTILS
Exploiter au maximum les fonctionnalités des outils sous licence que
vous possédez :
Office 365 : Teams, Skype Entreprise ;
G suite : suite bureautique Google (≠ outils « grand public ») ;
Eventuellement acquérir des licences :
pour ce webinaire nous utilisons GoToMeeting, mais on peut citer aussi Tixeo
(certifié par l’ANSSI), WebEx, etc. ;
Si recours à des outils gratuits :
les qualifier, ex : focus sur Zoom ;
chercher des alternatives ;
paramétrer au plus haut niveau de sécurité possible ;
penser à l’information des utilisateurs (ex : créer un groupe WhatsApp) ;
nommer un administrateur ou un modérateur ;
documenter a minima les usages pour plus tard.
Rappel : notre obligation est une obligation de moyens.
On peut être pragmatiques sans être insouciants. 11
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.CHERCHER SUR LE SITE LA POLITIQUE DE CONFIDENTIALITÉ
1
2
3
4
5
12
6
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.SE RENSEIGNER SUR INTERNET
Ici des extraits d’un article sur
Zoom paru le 3 avril 2020 sur
7 avril 2020
13
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.DES ALTERNATIVES
Big Blue Button : https://bigbluebutton.org/
Jitsi : https://jitsi.org/ et une liste des services disponibles :
https://lafibre.info/navigateurs/visioconference/
Tixeo : https://www.tixeo.com/visioconference-securisee/
Visio4you (français) : https://visio4you.fr/
Conférences téléphoniques OVH Conférences :
https://www.ovh.com/conferences/
CHATONS : Collectif des Hébergeurs Alternatifs, Transparents, Ouverts,
Neutres et Solidaires : https://chatons.org/
Framasoft : https://framasoft.org/fr/
Tchap messagerie sécurisée de l’Etat français(mais réservée aux
agents de l’Etat) : http://www.tchap.fr/ de même que :
https://webconf.numerique.gouv.fr/
Ressources recensées par Solidatech :
https://www.solidatech.fr/utiliser/ressources/des-outils-pratiques-pour-
travailler-a-distance-en-temps-de-crise 14
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.LA PROTECTION DES DONNÉES
15
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.POINTS CLÉS
La protection des données ne peut pas être mise en quarantaine.
la protection des données à caractère personnel est d’ordre
constitutionnel en France et en Europe.
Les informations liées au COVID-19 sont des données de santé.
Obligation d’assurer la sécurité des usagers et des salariés.
En situation de travail (https://travail-emploi.gouv.fr/actualites/l-actualite-du-
ministere/article/coronavirus-questions-reponses-pour-les-entreprises-et-les-salaries ):
obligation d’information de la part du salarié (Art. L1222-1 du Code du Travail) ;
renvoyer le salarié à son domicile ;
prévenir le 15 ;
nettoyer et désinfecter les surfaces (fournir des équipements aux équipes de
nettoyage) ;
prévenir les collègues de travail ;
consigner la date et l’identité de la personne suspectée d’avoir été exposée ; 16
mais pas de collecte systématique et respecter l’anonymat.
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.POINTS CLÉS
dans l’accompagnement des usagers :
déclaration plateforme Santé Publique France ;
veiller à la confidentialité dans les échanges (éviter le mail non
sécurisé) ;
respecter les principes de proportionnalité et de minimisation. 17
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.POINTS CLÉS
Sur le « contact tracing », interview de la Présidente de la CNIL, Le
Monde, 7 avril 2020 :
https://www.lemonde.fr/pixels/article/2020/04/05/coronavirus-les-
applications-de-contact-tracing-appellent-a-une-vigilance-
particuliere_6035639_4408996.html
Distinguer communication interne et externe ;
Rationaliser le circuit de l’information ;
Verrouiller son smartphone, le ranger dans un endroit dédié ;
Sauvegarder régulièrement les données ;
Ne pas laisser de sauvegardes là où les cybercriminels peuvent les
trouver (cloud) ;
Ne pas faire de sauvegardes que tout le monde peut lire.
18
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.CYBER-RISQUE ET ARNAQUES
19
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.CYBER-RISQUE : RECENSION DE QUELQUES ATTAQUES
Corona-virus-Map.com.exe Malware : https://blog.reasonsecurity.com/wp-
content/uploads/2020/03/Threat-Analysis-Report-Corona-Virus-as-a-Malware.pdf
Malware sur Microsoft office : https://media.cert.europa.eu/static/MEMO/2020/TLP-WHITE-
CERT-EU-THREAT-ALERT-Coronavirus-cyber-exploitation.pdf
CovidLock : https://www.domaintools.com/resources/blog/covidlock-mobile-coronavirus-
tracking-app-coughs-up-ransomware
Un communiqué prétendument officiel de l’OMS cache une campagne de
phishing : https://www.who.int/about/communications/cyber-security
Fausses préventions Covid-19 : https://www.cyberscoop.com/coronavirus-
phishing-emails-proofpoint-research/
Mails exploitant les mesures préventives contre le virus : https://blog.f-
secure.com/coronavirus-email-attacks-evolving-as-outbreak-spreads/
Extorsions financières sur le darknet liées au coronavirus :
https://www.darkowl.com/blog-content/coronavirus-on-the-darknet
Vente de fausses attestations de déplacement dérogatoire :
https://www.zataz.com/non-lattestation-de-deplacement-derogatoire-ne-coute-
pas-5-10-ou-100e/ 20
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.RÉFLÉCHIR AVANT DE CLIQUER : SE POSER QUELQUES QUESTIONS SIMPLES A PROPOS D’UN MESSAGE
Est-ce inattendu ?
Est-ce urgent ?
Connaissez-vous l’expéditeur ?
La question qui vous est posée vous semble-t-elle étrange ?
Où mène le lien sur lequel on vous incite à cliquer ?
Est-ce que l’e-mail s’adresse à vous personnellement ?
Le message contient-il beaucoup de fautes d'orthographe ou
de grammaire ?
Est-ce que quelqu’un essaie d'éveiller votre curiosité ?
21
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.22 Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.
INGÉNIERIE SOCIALE
Ingénierie sociale : pratique de manipulation psychologique à
des fins d'escroquerie.
Arnaque au Président : des groupes organisés de criminels se
font passer pour des fournisseurs habituels de masques et de
gels hydroalcooliques. Ils contactent les pharmacies, les
hôpitaux, les Ehpad, etc.
Le risque est d’autant plus important que les professionnels ne
sont pas en présentiel et que les escrocs arguent de l’urgence.
Vigilance au regard de tous les sites « solidaires COVID-19 » qui
se multiplient.
23
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.PRÉPARER L’APRÈS CRISE
24
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent. Documenter ce qui s’est passé en matière de traitement de
données pendant la crise.
Réfléchir un protocole de retour :
quarantaine pour les PC
scan
solution antivirus d’entreprise
gestion des supports de stockage de données externes
Cela reste largement à construire ensemble…
25
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.RESSOURCIAL MET SES RESSOURCES À
DISPOSITION DANS LA SITUATION PRÉSENTE
26
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.LE JOURNAL DE LA CONFORMITÉ RGPD EST À VOTRE DISPOSITION
27
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent. Partager nos expériences.
Eventuellement proposer d’autres thèmes de webinaires.
Aider à évaluer les solutions.
Analyse de cas pratiques.
Rédiger des clauses d’information.
Elaborer un protocole de sortie de crise.
Etc.
Comment faire ?
Adresser un courriel à contact@ressourcial.fr en insérant en
début de l’objet [entraide_ressourcial].
Les réponses sont adressées personnellement et publiées
(anonymisées) dans une FAQ dédiée.
28
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.http://www.ressourcial.fr/ressources-et-experiences/covid-19-ressources-partagees/
29
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.VOS QUESTIONS
30
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.# Je souhaiterais bénéficier de l'enregistrement de ce webinaire pour ensuite le diffuser à mes collègues
pour renforcer leur sensibilisation à la protection des données et à la sécurité informatique
Ce sera fait dès demain
# RGPD et WhatsApp/Skype
Compatibilité RGPD plus que contestable. Cf. sanction de la CNIL roumaine en octobre 2019
envers une banque. Si pas d’alternative sécuriser au maximum et gérer la sortie de crise
(caractère provisoire de la solution).
# je cherche une solution de type mobile device management, idéalement opensource, et plus
généralement toute information sur BYOD
Certains opérateurs proposent des MDM, pour les solutions Open source : appel au
collectif. Pour le BYOD : https://www.cnil.fr/fr/byod-quelles-sont-les-bonnes-pratiques
# Comment faire du contrôle tout en acceptant la souplesse ?
C’est tout le challenge qui est le nôtre !
# Télétravail : est-ce nécessaire de demander une attestation d'assurance auprès du salarié ? Comment
protéger le matériel "domestique" à une intrusion, notamment pour les salariés pas à l'aise avec les outils
informatiques ?
Des éléments sur cette page https://consultation.avocat.fr/blog/murielle-isabelle-
cahen/article-33462-coronavirus-et-et-quot-teletravail-et-quot.html
# Sécurité des échanges avec les outils Google (Google suite- Google Drive)?
Distinction entre G suite (sous licence) et solutions grand public 31
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.# La collecte de données personnelles de salariés nécessaires à la mise en place de télétravail devra-t-elle
figurer sur le registre des traitements comme un traitement spécifique "gestion de crise" ?
Si des données ont été spécifiquement collectées pour organiser le télétravail il s’agit d’un
traitement à intégrer au registre.
# Comment aider les équipes à gérer l'impact émotionnel sous l'avalanche de mail ?
Autant que possible structurer l’information (Pages dédiées, Teams, Gsuite, etc.)
# comment minimiser les mauvaises interprétions des écrits du fait de l'absence de communication orale
(intonation, message implicite que l'on peut croire percevoir) ?
Cela est implicite en présentiel, à distance : choix des outils, réflexivité, attention, etc.
# Existe-t-il des fiches "bonnes pratiques" pour aider les professionnels peu accoutumés au télétravail à
assurer le respect des données personnelles des usagers ?
Les fiches Ressourcial notamment communicables sur demande.
# comment sécuriser le système quand les professionnels travaillent à domicile ?
Nous avons essayé de rassembler des « bonnes pratiques » cela peut être enrichi par le collectif
# Quels seraient les éléments à faire figurer dans le registre des traitements ?
Les éléments spécifiques au télétravail : données, sécurité, etc. Documenter tout ce qui est
possible.
32
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.# Comment sensibiliser les professionnels à la protection des données quand ils sont prioritairement
occupés à protéger les personnes ? Une fuite de données leur parait bien mineure au regard des risques
encourus au quotidien pour eux mêmes et les usagers qu'ils accompagnent.
C’est tout le sens de notre obligation de moyens. On ne peut pas céder sur le respect du droit des personnes à leur vie
privée.
# le partage des expériences et ce qui est d'ores et déjà imaginé pour la sortie "progressive" du
confinement
C’est l’invitation que nous lançons à tous il nous faut construire cela collectivement.
# Le télétravail n'ayant pas pu se préparer, certains collègues utilisent leur ordinateur personnel pour
travailler. Quelles sont les meilleures pratiques d'hygiène informatique à leur conseiller pour éviter tout
piratage, vol de données ?
Voir les liens sur les « bonnes pratiques »
# Nous avons mis en place des VPN sur les ordinateurs personnel de certains salariés. Ces VPN reliés au
serveur permettent d'enregistrer des documents confidentiels. Comment gérer le post-confinement ? Une
attestation des salariés stipulant qu'ils n'ont rien gardé sera-t-elle suffisante ?
Procédure, règle de gestion, charte ou tout autre document, formaliser et documenter cela fera sans doute
partie du protocole de reprise d’activité.
#Peux-on conserver même pour une durée limitée, les facteurs de risques des professionnels et de
leurs entourages dans le but de ne pas les faire intervenir sur le terrain?
Nous devons à la fois assurer la sécurité des personnes et la protection des données personnelles. Ces 2 impératifs sont
à prendre en compte de manière équilibrée. La réglementation sur la protection des données (RGPD et LIL) nous laisse
une large marge de manœuvre. 2 principes sont à respecter : la proportionnalité et la minimisation collecter les seules
données strictement nécessaires à la réalisation de l'objectif que l’on s’est fixé
33
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.#Quels sont les outils visioconférences qui sont conformes RGPD (Zoom ?)
#Quels sont les risques de non conformité/RGPD avec les plateformes de
visioconférence que nous utilisons fréquemment depuis le début de la crise ?
(MS Teams, Talk-Sprit, ZOOM, SKype, etc...) ?
#Utilisation de Zoom à éviter autre moteur Jitsi?
Ces questions ont été un peu abordées lors de ce webinaire. Elles
seront l’objet de notre webinaire de la semaine prochaine mercredi 15 avril
2020 à 15 heures sur le thème :
« Communiquer en période de confinement : télétravail, téléconsultation,
maintien des liens familiaux »
Liens forts, liens faibles : les maintenir et les renforcer. Les solutions et les bonnes
pratiques
34
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.QUELQUES RESSOURCES
ANSSI (Agence nationale de sécurité des systèmes d’information)
https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/
https://www.ssi.gouv.fr/particulier/logiciels-preconises-par-lanssi-2/
https://www.ssi.gouv.fr/particulier/precautions-elementaires/
Sites gouvernementaux cyber malveillance et fraudes
https://www.cybermalveillance.gouv.fr/bonnes-pratiques
https://www.economie.gouv.fr/dgccrf/arnaques-liees-au-coronavirus
ANS (Agence du numérique en santé)
https://www.cyberveille-sante.gouv.fr/cyberveille-sante/1717-les-acteurs-de-la-cybersecurite-se-mobilisent-pour-
le-secteur-de-la-sante
ANAP (Agence nationale d’appui à la performance)
https://www.anap.fr/annexes/covid-19-dispositif-exceptionnel-dentraide/
CNIL
https://www.cnil.fr/fr/coronavirus-covid-19
https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-mettre-en-place-du-teletravail
CEPD (Comité européen de la protection des données)
https://edpb.europa.eu/news/news_fr (beaucoup de contenu est en anglais...)
ADB Solidatech
https://www.solidatech.fr/utiliser/ressources/des-outils-pratiques-pour-travailler-a-distance-en-temps-de-crise
Dalloz
https://www.dalloz-actualite.fr/flash/coronavirus-et-protection-des-donnees-personnelles-un-enjeu-
mondial#.XosmdXLgqUk
AFCDP (Association française des correspondants aux données personnelles)
https://afcdp.net/ 35
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.CONTACTS ET INFOS
19 rue Marius Grosso
69120 Vaulx-en-Velin
Tél : 06.14.20.26.03
Mail : contact@ressourcial.fr
Web : www.ressourcial.fr
FAQ base documentaire RGPD
http://www.ressourcial.fr/faq-rgpd/
36
Document sous licence Creative Commons. Cette présentation, à votre seul usage interne, est indissociable des éléments de contexte et des commentaires qui l’accompagnent.Vous pouvez aussi lire
