[ITW] Cyber-sécurité: attention aux outils de visioconférence!
Publié par Bénédicte Gouttebroze le | Mis à jour le
Une solution de conférence en ligne mal protégée peut mettre en danger toute une organisation. Or, si les entreprises sont sensibilisées au risque de faille de leur SI, elles ne pensent pas toujours à la protection de ces outils de communication. L'éclairage de Hugues de Bonnaventure (Lifesize).
Comment évaluer le niveau de sécurité d'une solution de visioconférence?
La sécurité des communications est devenue aussi importante que celle du reste du SI, car les entreprises se servent à présent des outils de conférence pour échanger des informations critiques. C'est pourquoi le fournisseur de la solution doit être en mesure d'expliquer comment il sécurise les informations non seulement au niveau des données, mais aussi des serveurs, de l'application cliente et des appareils de communication.
Les données stockées doivent être protégées, a minima, par un chiffrement AES 128 bits. Pour celles en transmission, l'ajout du protocole TLS, là encore a minima, vient compléter le dispositif. Les messages de tous les interlocuteurs doivent être cryptés. Il faut également s'assurer que la solution n'expose pas les applications, serveurs ou équipements hors du pare-feu, et que des mises à jour automatiques existent. L'idéal étant de passer par une solution cloud. Enfin, ne pas négliger la sécurité physique des données: le datacenter du fournisseur doit être protégé 24/7, y compris contre les intrusions physiques, et régulièrement audité.
Quels sont les précautions à prendre lorsque l'on met en place un nouvel outil de conférences à distance?
Premier réflexe: changer tous les identifiants et mots de passe proposés par défaut! Une évidence, et pourtant... Parmi les nombreuses cyberattaques survenues en 2016, la plus célèbre fut celle lancée par le botnet Mirai qui ciblait les webcams. Or, si cette attaque a autant réussi, c'est parce que les mots de passe administrateurs par défaut de ces équipements étaient toujours actifs.
L'accès aux réunions critiques devra également être protégé par un mot de passe. Mais seules certaines solutions proposent cette fonction.
Et côté utilisateurs, y a-t-il des mesures de sécurité spécifiques?
L'erreur humaine continue d'être la cause principale des cyber-attaques, selon l'étude Verizon Data Breach Investigations 2016. Les collaborateurs sont le maillon faible et les entreprises se doivent de les former pour qu'ils restent protégés en ligne, quel que soit l'appareil qu'ils utilisent. Par exemple, les collaborateurs en télétravail ne bénéficient pas de l'encadrement de la DSI pour sécuriser leur accès domestique. Il est donc nécessaire de leur indiquer comment sécuriser une box pour activer le chiffrement du wi-fi et passer par un VPN.
De même, il faut rappeler aux collaborateurs de toujours éteindre un équipement lorsqu'ils ne s'en servent pas, afin d'éviter que quelqu'un ne se connecte sur les services restés ouverts. Enfin, l'utilisation d'un système de visioconférence uniquement avec les paramètres du mode privé évite que des personnes extérieures puissent se greffer sur une conférence.
Hugues de Bonnaventure est directeur général France de l'éditeur de solution de visionconférence Lifesize. La société s'est engagée à être conforme au RGPD dès mai 2018. Plus de détails sur ce règlement dans notre dossier: "RGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données"
Pour aller plus loin:
[Tribune] 3 erreurs à éviter en cas de cyberattaque
Cyberfraude: la menace (presque) fantôme
[Infographie] Cyber-attaques: les PME et ETI sont-elles prêtes à affronter la menace?