Voici le morceau que j'ai écouté en écrivant cet article ! Vous pouvez le retrouver également dans cette playlist. 🎧

Dans l'économie mondialisée d'aujourd'hui, de plus en plus d'entreprises se mettent à la visioconférence. Flexibilité, accessibilité, baisse des coûts, hausse de la productivité... les outils de communication virtuelle sont devenus indispensables sur le lieu de travail. Toutefois, malgré tous leurs avantages, leur adoption généralisée se heurte encore à un obstacle majeur : la sécurité.

À en croire les articles et reportages que les médias consacrent aux incidents de sécurité, le cloud comporterait de gros risques pour les entreprises. Mais en réalité, il est plus sécurisé que votre infrastructure interne. À condition cependant de bien respecter certaines règles. Cet article vous invite à faire le point sur les éventuels risques et vous livre quelques conseils pour bien choisir votre plateforme de visioconférence.

Visioconférences en ligne – quels sont les risques ?

La préoccupation n°1 reste la protection des données. Si certains DSI restent totalement opposés au stockage de données dans le cloud public, nombreuses sont les organisations qui se sont converties à l'approche cloud-first. Qu'en est-il des solutions de visioconférence ? Sont-elles vraiment sans risque ? Non. Mais c'est aussi le cas de n'importe quel système, interne ou externe. Il est tout à fait normal de s'inquiéter du risque de vol ou de divulgation de ses données. Toutefois, il faut bien savoir que les services de communication cloud n'ont pas l'exclusivité des risques de sécurité. Les solutions sur site ont, elles aussi, leur lot de problèmes à gérer, à commencer par les malwares de diverses natures (virus, attaques DDoS, chevaux de Troie...).

À l'instar du rapport IBM annuel X-Force Threat Intelligence Index 2018, de nombreuses études ont démontré que les compromissions de données n'étaient pas une fatalité. Selon cette étude, l'humain, et non le cloud, serait en fait le vrai problème. D'après les conclusions d'une autre enquête menée par Gartner, « seul un infime pourcentage d'incidents de sécurité sont de la faute du fournisseur cloud ». Toujours d'après le cabinet, d'ici à 2020, 95 % des failles de sécurité seront imputables à l'utilisateur plutôt qu'au cloud lui-même.

Aujourd'hui, les communications cloud sont plus fiables que jamais. C'est donc aux fournisseurs de mettre en place des mesures de sécurité draconiennes et de les renforcer en permanence. En choisissant le bon partenaire, vous serez certainement plus en sécurité qu'avec votre équipe interne.

Pourquoi ? Tout simplement parce que les fournisseurs cloud ont des départements entiers dédiés à la protection des données. Ils sont donc en mesure d'allouer davantage de ressources à la prévention des failles de sécurité. À l'inverse, les équipes internes doivent généralement multiplier les casquettes, ce qui les empêche de réellement se concentrer sur la sécurité.

“Les fournisseurs cloud ont des départements entiers dédiés à la protection des données.”

Visioconférence : quelles sont les mesures de sécurité à prendre

Chiffrement

Le chiffrement des données est votre première ligne de défense. Les fournisseurs cloud chiffrent vos communications afin de protéger vos données contre les menaces externes. Ainsi, avant de choisir votre fournisseur, vérifiez que le niveau de chiffrement proposé est adapté à la sensibilité de vos données.

Le chiffrement AES 128 bits (Advanced Encryption Standard) est le plus utilisé par les plateformes de visioconférence. Pour la plupart des entreprises, c'est largement suffisant. Toutefois, certains préféreront opter pour le chiffrement AES 258 bits disponible sur certaines plateformes. La cryptographie AES chiffre à la fois l'audio et la vidéo, ce qui protège non seulement le contenu de l'appel, mais aussi son origine et sa destination. D'après Ontrack, l'AES est quasiment inviolable. Seul un superordinateur pourrait le déchiffrer, mais il faudrait pour cela investir plusieurs milliards de dollars et des dizaines d'années de travail.

Si vous utilisez Skype ou une application du même type pour vos visioconférences, sachez que vos données sont en danger. Certes, Skype vient enfin de renforcer son cryptage, mais on reste encore sur sa faim. Le chiffrement de bout en bout ne s'applique qu'aux conversations privées (entre deux personnes) et non aux conférences de groupe. De plus, tous les appels effectués sur Skype depuis ou vers des téléphones fixes ou mobiles exposent vos données, étant donné que toute la partie analogique du réseau téléphonique n'est pas cryptée.

Cloud Storage: What’s the best solution for collaboration?

Data centers sécurisés et diversifiés

En plus du chiffrement, il est indispensable de savoir où et comment vos données sont stockées. S'il est vrai que les compromissions de sécurité sont souvent le fruit d'une négligence ou d'un acte de malveillance en interne, mieux vaut assurer ses arrières et choisir un fournisseur qui stocke les données dans un data center sécurisé. Voici quelques questions à lui poser : ses systèmes sont-ils conformes aux normes de sécurité en vigueur ? Où les data centers sont-ils basés ? Y a-t-il redondance des données dans les systèmes de stockage ?

Pour faire court, vos visioconférences devraient être hébergées dans des data centers certifiés conformes SOC2, SSAE-16 ou ISO27001. L'audit de conformité réalisé par un organisme externe apportera la preuve que le fournisseur respecte bien les standards de sécurité du marché. Ensuite, vérifiez où vos données seront stockées. Si elles se trouvent dans un data center réputé et soumis à des contrôles d'accès draconiens, vous pourrez être serein. Enfin, vous devez savoir dans combien de data centers vos données seront éparpillées. Il s'agit là d'un des avantages de l'hébergement dans le cloud. En stockant vos données sur de multiples sites, vous êtes mieux protégé et bénéficiez d'un accès continu à vos données en cas de défaillance d'un des serveurs.

Conformité aux règlementations locales

Le respect des normes sectorielles, c'est bien, mais votre solution de visioconférence devra aussi se conformer aux règlementations locales en vigueur. Dans un contexte d'internationalisation des effectifs des entreprises, il vous faudra prendre en compte la localisation de vos salariés et celle de vos clients, les règlementations pouvant varier d'un pays à l'autre. En Europe, par exemple, c'est le RGPD qui prime. Pour les communications transatlantiques, le bouclier de protection des données UE-États-Unis s'applique. La Chine impose quant à elle sa propre loi sur la cybersécurité. Demandez à votre service juridique de vérifier que votre fournisseur de visioconférence respecte bien les normes et règlementations en vigueur dans les régions qui vous concernent.

Quelles sont les autres précautions à prendre pour s'assurer de la sécurité de vos données d'entreprise ?

Créez une politique de protection des données

Que vous soyez une petite structure ou une grande entreprise, vous devez impérativement mettre en place une politique de protection qui établisse clairement vos pratiques de suivi et de gestion des données. Cette politique pourra aussi informer les utilisateurs des éventuels risques et des consignes à respecter pour la sécurité de leurs données. Pour éviter les erreurs classiques, formez vos équipes aux bonnes pratiques de la visioconférence.

Adoptez l'authentification unique (SSO)

Vérifiez si la solution de visioconférence de votre fournisseur est compatible avec votre système SSO. L'authentification unique permet à votre entreprise de gérer les accès à votre système vidéo et d'autoriser la connexion des salariés sans risque de compromission de leurs identifiants. Avec le SSO, votre département IT peut établir une parfaite traçabilité de l'utilisation des identifiants.

Désactivez la réponse automatique

Présente sur la plupart des systèmes de visioconférence, la réponse automatique permet à n'importe qui de rejoindre vos appels. Mais malgré son côté pratique, notamment sur les appels vidéo comptant des dizaines de participants, cette fonctionnalité expose vos données d'entreprise aux hackers. Ainsi, mieux vaut instaurer une réponse manuelle qui exigera l'identification préalable des participants.

Pare-feu et contrôleur SBC (Session Border Controller)

Les pare-feu protègent votre réseau contre les menaces externes. Et ils les protègent même si bien qu'ils peuvent poser un problème pour la visioconférence. En contrôlant le trafic entrant et sortant sur Internet, les pare-feu peuvent en effet bloquer les communications provenant de l'extérieur. La solution ? Adopter un système de traversée de pare-feu et installer des contrôleurs SBC. Le trafic de visioconférence sera ainsi autorisé sans que vous ayez à désactiver les systèmes de protection.

Outre leurs aspects flexibles et pratiques, les logiciels de visioconférence font gagner du temps et de l'argent à votre entreprise. Confier ses données à un tiers peut sembler dangereux, mais qu'elles soient stockées à l'intérieur ou à l'extérieur du périmètre, le risque zéro n'existe pas. Les fournisseurs de visioconférence en ligne ou dans le cloud sont généralement mieux armés pour neutraliser les cyber-risques que ne le sont vos équipes en interne. En outre, les problèmes de sécurité sont bien plus souvent le fruit d'une erreur humaine que du cloud. Ainsi, l'important est de choisir un fournisseur dont les politiques de sécurité et les procédures internes garantissent une sécurité maximale de vos données.