Visioconférence: la sécurité des données n’est pas une science exacte!

Interview d’Eric Renard, ICT project manager, Information security consultant chez étic SA

A l’heure du recours massif aux plateformes de visioconférence, lors de séances de télétravail, des questions fondamentales de sécurité et confidentialité des données se posent.

Qu’ils soient utilisés dans le cadre d’un usage professionnel ou personnel, qu’ils soient intégrés ou externalisés à l’infrastructure de l’entreprise, qu’ils soient liés à d’autres applications ou uniquement la vidéo, ces outils posent des problèmes de sécurité, qui doivent se poser en termes de règlement, comportement, organisation et prise de conscience des limites de sécurité.

En résumé, ce n’est pas l’outil lui-même, mais la façon dont il va être utilisé, qui importe.

Eric Renard, ICT project manager, Information security consultant chez étic SA a étudié les caractéristiques des principales plateformes vidéo disponibles sur le marché. Interview.

Vous avez recensé et comparé l’ensemble des solutions de visioconférence disponibles sur le marché. Quels sont les points saillants de votre benchmark?

Sans surprise, le marché est dominé par les solutions mammouths des géants IT, que sont Microsoft (Microsoft Teams, Skype), Google (Hangouts, Classroom, Meets, Youtube), Apple (FaceTime) et Facebook (WhatsApp, Messenger), qui offrent des solutions vidéo intégrées dans un package proposant du cloud, de la messagerie.

D’autres solutions vidéo sont associées à de la téléphonie - elles sont toutes américaines - Cisco (Webex), GoToMeeting, Fuse, c’est-à-dire que vous avez la possibilité de vous connecter via votre ligne fixe notamment.

La solution Fhertany est destinée aux membres du Conseil d’Administration et aux membres de direction. Elle présente un aspect intéressant dans la mise à disposition d’un folder de documents, qui permet aux membres de l’annoter.

Enfin, certaines solutions sont exclusivement axées sur la vidéo, comme le californien Zoom et le français Tixeo.

Difficile de citer Zoom, plateforme qui est passée de 10 millions d’utilisateurs fin 2019 à plusieurs centaines de millions lors de la pandémie de Covid-19; sans mentionner le «zoombombing».

En effet, cette pratique de trolling a été nommée ainsi en raison des failles liées à l’application Zoom permettant à une personne extérieure de rejoindre une visioconférence à partir d’un simple lien, si cette dernière n’est pas configurée convenablement. Des correctifs ont été apportés par Zoom, qui reste pourtant très populaire, du fait de sa facilité d’utilisation.

Outre le risque qu’une personne étrangère se connecte, sans y être invitée, quels sont les critères incontournables de sécurité auxquels l’utilisateur doit être attentif?

Ce n’est pas la question de l’outil, mais la façon dont il est utilisé. Si vous êtes en voiture, avec la ceinture attachée et que vous décidez de rouler à 200 km/h, alors vous augmenterez votre niveau de dangerosité.

L’élément clé est la formation des utilisateurs. Mais c’est une étape, qui fait défaut, en période de crise. La sécurité passera après, se dit-on à tort.

L’élément déterminant dépend de chaque critère utilisateur: le besoin d’échanger de l’information sous forme de documents, l’accès au partage de son bureau, la qualité des échanges. Si les contraintes de sécurité sont trop élevées, alors les utilisateurs auront tendance à rechercher des raccourcis, comme laisser les mots de passe sur le dos du clavier ou dans le portefeuille.

WhatsApp et Teams déclarent que les conversations sont cryptées de bout en bout. Quel est le niveau de chiffrement des solutions précitées?

Toutes les données sont déchiffrables, pour autant que les calculs puissent le faire. Ce qui est maintenu secret aujourd’hui, ne le sera pas indéfiniment. Si un individu malveillant met de l’énergie dans le déchiffrage de vos conservations. Il y parviendra. Tout est une question de temps. Dans nos métiers de protection de la sécurité, ce que nous essayons de faire est de ralentir le temps de mise en œuvre de l’individu malveillant.

En résumé, il y a 3 clés: la volonté de la personne malveillante, sa compétence et le temps à disposition. La situation est identique pour la sécurité physique que virtuelle.

A vous lire, il n’existe pas de sécurité absolue.

En effet. Il n’y a que des choix par rapport à l’analyse du risque. Chez étic SA, nous conseillons nos clients en les aidant à déterminer quels sont les biens qu’ils veulent protéger et contre qui.

Par définition, l’information digitale n’est pas confidentielle. Vous souvenez-vous des écoutes des conversations téléphoniques de Madame Merkel, par les Américains?

Le but de notre benchmark est d’orienter le client sur le choix du niveau d’assurance raisonnable recherché et du standard. La sécurité est un processus et non un état de fait.

La tendance à l’externalisation des flux IT ne laisse-t-elle pas peu de chance aux solutions de visioconférence on premice, comme Tixeo, face à Teams?

La plupart des entreprises donnent leurs clés à Microsoft et Amazon pour l’hébergement. Ces derniers offrent la vidéo comme un flux supplémentaire dans une offre globale.

A contrario, la solution on premice offerte par Tixeo diminue fortement la possibilité pour un hacker de capter l’échange d’informations confidentielles. Car le flux est internalisé sur un serveur in house. Cette différence importante pourrait intéresser à moyen terme un Etat.

C’est la solution retenue par étic SA, qui héberge toutes ses données sur un serveur interne.

Posts à l'affiche
Posts récents
Archive
Recherche par Tags

étic SA - études, ingénierie et conseil  -  info@etic.sa.com  - Tous droits réservés - 2016 / 01 / 11

sbfi_sticker.jpg