Comment sécuriser la visioconférence en entreprise
On se fait une "visio" ? Depuis mars 2020 et le premier confinement, la visioconférence est entrée dans les mœurs des entreprises françaises. Avec la généralisation du télétravail et du travail en mode hybride, associant travail en présentiel et collaboration à distance, la visioconférence s'est largement banalisée. Les néo-télétravailleurs enchaînent les visios oubliant parfois les règles de sécurité les plus élémentaires. Pourtant, rappelle Gérôme Billois, associé au sein du cabinet Wavestone et expert cybersécurité, "la visioconférence est un vrai concentré d'informations entre le flux vidéo, le système de chat et les échanges de fichiers. Elle donne à voir tout ce qui se passe en entreprise et se place un cran au-dessus de la messagerie." L'occasion de rappeler quelques bonnes pratiques.
1. Bien choisir sa plateforme
Le choix de la solution est, bien sûr, crucial. Sans faire un benchmark, les plateformes n'offrent pas toutes nativement le même niveau de sécurité (en termes de chiffrement, d'authentification). Par ailleurs, certaines ont des politiques de confidentialité très permissives en termes de collecte des données personnelles comme le relevait, en avril 2020, l'ONG américaine Consumer Reports pointant du doigt Zoom, WebEx, Google Meet et Microsoft Teams. En août 2021, Zoom a versé 85 millions de dollars pour éviter des poursuites judiciaires sur ce terrain. Les plaignants reprochaient à la plateforme d'avoir divulgué leurs données personnelles à d'autres entreprises comme Facebook, LinkedIn ou Google. Pourtant, l'éditeur américain estime proposer un service crypté de bout en bout.
Gérôme Billois recommande d'analyser le profil de l'éditeur, sa nationalité, le mode d'hébergement et la localisation des serveurs. Prêchant pour sa paroisse, Renaud Ghia, président de Tixeo, solution française de visioconférence, pose la question de la confiance placée dans le fournisseur. "Une entreprise doit pouvoir procéder à un audit de la solution via un organisme tiers", souligne-t-il. Sur ce plan, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) propose ses propres certifications. Enfin, la visioconférence renvoie à des enjeux de souveraineté, sachant que ce marché est accaparé à 90% par des éditeurs américains soumis au Cloud Act.
2. Garantir un "vrai" chiffrement de bout en bout
La plupart des spécialistes de la visioconférence assurent proposer un chiffrement de bout-en-bout des communications. Mais qu'est ce qui est réellement chiffré ? Est-ce que le cryptage concerne à la fois les communications vocale et vidéo ainsi que les fichiers partagés ? Gérôme Billois conseille de s'assurer que le dispositif concerne bien l'ensemble des flux. Renaud Ghia précise : "Il doit être activé par défaut et non proposé en option comme le font certains éditeurs." Quant au déchiffrement, il doit intervenir sur les postes des participants et non sur les serveurs de l'éditeur, recommande le président de Tixeo.
3. Protéger la session des intrus
Il est recommandé de proscrire les sessions de visioconférence sécurisée par un simple code PIN de quelques chiffres. Via une méthode d'attaque dite de "la force brute", il est aisé pour un hacker de le casser en passant en revue rapidement toutes les combinaisons possibles. Une vulnérabilité qui a donné naissance au zoombombing. Soit l'intrusion d'un pirate ou d'un troll dans une visioconférence censée être privée.
Il est conseillé de protéger les sessions par le couple identifiant-mot de passe accompagné d'un second mode d'authentification. Pour l'assurer, les solutions de Google et Microsoft s'appuient sur les comptes Gmail et Office 365. "Pour les réunions particulièrement sensibles, une double authentification peut être envisagée à l'aide d'une clé USB ou d'un smartphone", complète Renaud Ghia.
La fonction salle d'attente sert aussi de sas. A la manière d'un videur, l'organisateur de la réunion autorise ou non les participants à rentrer. "Un administrateur peut créer un groupe de membres pour les réunions récurrentes et définir des paramètres spécifiques pour les personnes extérieures à l'organisation", rappelle Gérôme Billois.
4. Paramétrer les niveaux sécurité par défaut
Il est aussi possible de paramétrer des niveaux de sécurité par défaut pour l'ensemble de l'entreprise, comme l'interdiction d'inviter des participants externes ou de partager des fichiers. Un collaborateur devra alors demander l'autorisation, exceptionnelle ou permanente, d'accéder à certaines fonctionnalités.
Le niveau de verrouillage peut aussi être proportionnel à la criticité de la réunion. "Le risque de diffusion d'informations fraiches et sensibles est, bien entendu, plus fort lors de réunions commerciales, de séances de brainstorming en R&D ou de comités de direction ", illustre Renaud Ghia. Une DSI peut en outre imposer une plateforme de visioconférence unique. Cette solution référencée servira de canal de communication privilégié en interne mais aussi pour échanger avec les clients, partenaires et autres sous-traitants.
5. Choisir le mode d'hébergement approprié
Par la simplicité d'usage et la facilité de déploiement qu'il apporte, le mode SaaS est le choix d'hébergement le plus courant. Toutefois, pour les cas d'usage les plus exigeants, une organisation peut recourir à une solution de visioconférence hébergée sur sa propre infrastructure. "La société est alors complètement autonome et peut ouvrir cette plateforme aux seules personnes autorisées tout en ajoutant des dispositifs de protection périmétrique ou un VPN", observe Renaud Ghia.
Le summum de l'autonomie consiste à combiner le choix de l'auto-hébergement avec celui d'une solution de visioconférence open source comme BigBlueButton ou Jitsi. "Recourir à une plateforme open source nécessite toutefois de bénéficier de compétences ad hoc en interne", tempère Gérôme Billois.
6. Sensibiliser les collaborateurs aux risques cyber
La cybersécurité n'est pas qu'une affaire d'outils. Il convient également de sensibiliser les salariés aux risques cyber en rappelant les bonnes pratiques. La caméra n'est pas systématiquement activée, le micro est éteint quand on ne prend pas la parole, et l'échange de fichiers n'est réalisé qu'entre personnes dument habilitées.
Une réunion en ligne n'est pas non plus l'espace qui se prête le mieux à la confidentialité des échanges. "Par principe, quand je suis invité à participer à une visioconférence, je n'évoque pas d'informations confidentielles", avance Renaud Ghia. "Il est vrai cependant qu'il ne s'agit pas d'un échange public comme dans un webinaire où le niveau de sécurité peut être moindre."
7. Redoubler de vigilance dans l'espace public
Avec la généralisation du télétravail et du travail hybride, de plus en plus de visioconférences se tiennent en situation de mobilité, dans les espaces de coworking, à la terrasse d'un café, dans les transports en commun ou à l'aéroport. Autant d'espaces publics où des paires d'yeux et d'oreilles indiscrètes peuvent trainer.
"Avec son micro-casque, le collaborateur est dans sa bulle et ne se rend plus compte qu'il y a des gens autour de lui", observe Gérôme Billois. A défaut de pouvoir s'isoler et d'équiper son écran d'un filtre de confidentialité, il convient de réserver les réunions sensibles au bureau ou au domicile. De même, les accès wifi publics sont à proscrire. Le travailleur nomade privilégiera la 4G/5G via un partage de connexion avec son smartphone.