L'art de bien choisir sa solution de visioconférence

Le marché des solutions de visioconférence est pléthorique. Il appartient au DSI de choisir une solution adaptée à son organisation ou son entreprise selon les contraintes réglementaires et de sécurité et selon les informations qui seront partagées.

La visioconférence s’est démocratisée à marche forcée depuis mars dernier, mais les bonnes pratiques ne sont hélas pas toujours appliquées. Or s’il appartient à chacun de veiller à ses bonnes habitudes – tenue, éclairage, maquillage ou non, gestion des éventuels enfants et animaux de compagnie, etc. –, la DSI est responsable d’un élément important dans les visioconférences : le choix de la plateforme.

Si la plupart des logiciels de visioconférence répondent aux exigences basiques pour des événements festifs à distance entre amis, il en va autrement pour les réunions professionnelles. Ici, la sécurité devient un enjeu d’importance capitale. En effet, les systèmes de visioconférence permettent d’envoyer des fichiers parfois sensibles, en plus de ce qui est dit. Sécuriser les serveurs et les terminaux de l’entreprise mais pas son outil de visioconférence, c’est comme fermer à clé la porte d’entrée mais laisser la fenêtre ouverte. Le DSI pourra choisir une solution adaptée à ses besoins en se basant sur les critères suivants :

Aspects réglementaires et normatifs

Si une réunion ou un webinar a une valeur stratégique pour la société, il est nécessaire qu’elle soit sécurisée. Ici, deux aspects sont à prendre en compte : la législation applicable et le chiffrement.

Le droit qui s’applique aux échanges ayant lieu via une plateforme dépendra de la localisation du siège du prestataire et de la localisation des data centers. Il faut privilégier un prestataire basé en Europe et dont la localisation des data centers est connue afin de s’assurer que le contenu des visioconférences ne tombe pas sous le coup du Cloud ou du Patriot Act américains par exemple. Les données des data centers européens sont protégés par le RGPD et par les lois en vigueur dans le pays en question, ce qui dans le cas de la France ou de l’Allemagne représente un bon niveau de garantie.

Concernant le chiffrement, les données doivent être chiffrées lors de l’envoi et de la réception des données afin d’être réellement sécurisées. La certification de sécurité ISO/IEC 27001 qui est la référence permet de garantir qu’une solution assurera un degré de sécurité élevé pour les échanges ayant lieu via cette solution. Elle prend en compte le chiffrement et d’autres aspects liés à la qualité de la plateforme.

La Direction interministérielle du numérique (DINUM) a construit ce comparatif de solutions de visioconférence pour guider les organismes de l’Etat, mais les entreprises peuvent également s’en inspirer, en prenant en compte la sécurité et la fiabilité mais aussi d’autres aspects pratiques.

Une analyse risques / bénéfices

La solution appropriée dépend des besoins de chaque entreprise et de chaque situation. En effet, le contenu de certaines conversations peut nécessiter le respect de législations spécifiques par la plateforme ou bien un niveau de cybersécurité particulièrement élevé. Cette analyse doit être menée de façon conjointe par la DSI et les métiers concernés. A la fin, c’est la direction générale qui prend la décision car, en cas d’enjeux liés à la compliance, c’est bien la direction qui sera responsable s’il y a un problème.

Si les solutions dites grand public sont appropriées pour les informations non critiques, il n’en va pas de même lorsqu’il s’agit de réunions de comités de direction, de R&D, de marketing ou de ventes. En effet, la propriété intellectuelle de l’entreprise ou la primauté de certaines annonces peut être en jeu. Et mieux vaut prévenir que guérir : il est en effet difficile de prévoir ce qui sera dit lors d’une réunion et il vaut mieux considérer par avance que le contenu sera critique pour l’organisation. Le risque d’espionnage industriel ne doit pas être négligé.

Enoncer un cadre clair

Récapitulons : la plateforme est choisie pour la sécurité qu’elle assure et le respect de certaines normes législatives. Néanmoins, cela peut ne pas être suffisant pour des informations à confidentialité renforcée, notamment lorsqu’il s’agit d’informations de type médicales ou secrètes.

Nous arrivons ici aux limites intrinsèques aux outils de communication, et aux attaques sans cesse plus sophistiquées des pirates informatiques. Il existe ainsi des informations qu’il vaut mieux éviter de partager même avec une solution sécurisée. Il appartient à l’organisateur de la réunion de le faire savoir aux participants.

Raccourcir les réunions

Enfin, nous connaissons tous la fatigue associée à une utilisation prolongée des outils de visioconférence. En effet, une webconférence demande plus d’attention qu’une conférence physique, et elle génère de ce fait plus de fatigue. Il vaut donc mieux, pour des raisons de temps comme de bien-être, limiter les réunions à 40 minutes ou bien, a minima, prévoir des pauses régulières.

Le bon déroulé des visioconférences est fonction de deux aspects : il s’agit d’une part de choisir une solution qui respecte les exigences légales et de cybersécurité selon le type d’informations traitées lors de la conférence, et d’autre part de partager de bonnes pratiques auprès des participants.