Introduction

Trasis exploite la solution TeamViewer pour l'assistance à distance sur les ordinateurs Windows pour le service informatique de l'entreprise et le service client afin d'aider les clients, les partenaires et les tiers à résoudre leurs problèmes techniques rencontrés avec les solutions Trasis.

L'utilisation de TeamViewer chez Trasis n'est pas récente et a été complètement intégrée à nos pratiques de travail

L'objectif de cette politique est d'établir des normes de sécurité pour l'utilisation de TeamViewer par les employés de Trasis lors de la prise de contrôle à distance des sites des clients.

Il s'agit de protéger les informations et les données contre tout accès non autorisé et les menaces potentielles.

Portée

Cette politique s'applique à tous les employés de Trasis qui utilisent TeamViewer pour interagir avec les clients.

Responsabilités

Les employés de Trasis doivent s'assurer que TeamViewer est utilisé en toute sécurité et conformément à la présente politique. L'équipe de sécurité informatique de Trasis est responsable de la mise en œuvre, de la surveillance et de la révision de cette politique.

Méthode de connexion

TeamViewer est nativement intégré à la suite logicielle Trasis déployée en standard sur les PC Windows vendus aux clients.

Cette intégration consiste en une option de menu lançant une session d'assistance à distance sécurisée (QuickSupport) par rapport au comportement standard de TeamViewer, y compris des identifiants temporaires spécifiques à la session de contrôle à distance.

Lorsqu'il est lancé à partir du PC du client, par un employé autorisé du client, équipé de la suite logicielle Trasis, le système sera conforme aux informations d'identification d'utilisation unique qui s'appliqueront exclusivement à cette session et expireront immédiatement après.

Communications sécurisées

Toutes les communications, de l'ordinateur de l'ingénieur à l'ordinateur du client, sont sécurisées à l'aide d'un échange de clés privé/public RSA 4096 bits et d'un encodage de session AES 256 bits.

À moins que TeamViewer ne soit affecté par une faille de sécurité dans sa conception, il n'est pas possible de contourner ou d'intercepter ces communications

Exigences d'authentification

L'accès à la console de gestion centrale par l'ingénieur du service client de Trasis nécessite une authentification individuelle à l'aide d'informations d'identification et d'une authentification à 2 facteurs.

Gestion des accès

Les droits d'accès TeamViewer sont attribués sur la base du principe du moindre privilège et sont régulièrement vérifiés pour s'assurer qu'ils restent appropriés.

Surveillance et journalisation

Enregistrement de session

À des fins d'amélioration de la qualité ou de sécurité (identification et relecture des actions), chaque session d'assistance à distance peut être enregistrée en ce qui concerne la sécurité du stockage et de la transmission des identifiants qui restent obscurcis.

Piste d'audit de session

Chaque session d'assistance à distance est enregistrée dans un journal d'audit qui comprend des champs standard ainsi que des informations techniques concernant la session et sa durée

Audits réguliers de cybersécurité

Trasis réalise régulièrement des audits de cybersécurité, le dernier en date ayant eu lieu au printemps 2023. Il n'a pas révélé de préoccupation spécifique concernant l'implémentation de TeamViewer. Cependant, dans le cadre de notre plan 2023 visant à renforcer la sécurité globale, des évolutions sont prévues et décrites dans la section ci-dessous.

Réponse aux incidents

En cas de violation de la sécurité impliquant TeamViewer, les employés doivent suivre la procédure de réponse aux incidents de Trasis, qui comprend une notification immédiate de l'équipe de sécurité informatique.

Formation et sensibilisation

Les employés doivent recevoir une formation régulière sur l'utilisation sécurisée de TeamViewer et sur les procédures de cette politique SLSP.

Révision et mise à jour

Cette politique doit être révisée chaque année ou en réponse à des changements importants dans l'environnement de menace ou dans l'utilisation de TeamViewer.