SANS FRAIS 1 877-777-6412

Est-ce que Zoom est sécuritaire?

visioconferences
Note: Cet article a été rédigé initialement le 14 avril 2020 et mis à jour le 23 avril 2020. Zoom met régulièrement en place des correctifs de sécurité qui peuvent régler certaines des problématiques abordées dans cet article et dans le webinaire.

L’application de visioconférence Zoom est devenue TRÈS populaire depuis le début de la pandémie de COVID-19. Pour preuve, la plateforme aurait atteint en mars plus de 200 millions de participants aux réunions quotidiennes. L’application en comptait 10 millions en décembre dernier. Finalement, sa valorisation boursière a plus que doublé depuis le mois de janvier.

Mais voilà, maintenant que la plateforme est adoptée, on est à se demander si elle est véritablement sécuritaire. En quelques jours seulement, plusieurs vulnérabilités ont été découvertes et ont été relayées par les médias. Certains se plaignent également que des malfaiteurs ont réussi à s’inviter dans des salles virtuelles et ont proféré des obscénités. Devons-nous changer de plateforme? Est-ce adapté au télétravail? Mardi 7 avril dernier, nous avons donné un webinaire gratuit pour répondre à ces questions.

Ce webinaire s’adressait à toute personne en entreprise qui se demande si elle peut continuer à utiliser la plateforme ou bien si elle doit migrer vers une autre. Nous avons également mis de l’avant des actions qui peuvent être faites dès maintenant du côté des utilisateurs et des administrateurs TI pour favoriser une utilisation sécuritaire de la visioconférence, quelle que soit la plateforme.

Cette conférence a mis en scène Jean-Philippe Racine, Président de Groupe Cyberswat, ainsi que Clément Gagnon Propriétaire de Tactika inc. Nous avons décidé de vous offrir un résumé sommaire des points qui ont été abordés lors de ce webinaire pour faciliter la mise en place de bonnes pratiques.

Les plateformes de visioconférences sont en pleine expansion

Avec la pandémie mondiale et donc, une explosion du télétravail dans le monde, les plateformes de visioconférence ont connu une expansion sans précédent. Comme c’était prévisible, des personnes malveillantes ont cherché à profiter de cet outil populaire pour mettre le bordel dans des conférences ou encore se faire de l’argent par divers moyens. Des chercheurs ont également étudié davantage le fonctionnement de la plateforme. Plusieurs failles de sécurité, ou encore des problèmes de configurations, ont alors été découvertes sur Zoom.

À défaut d’avoir été proactif, Zoom s’est engagé dans les prochains 90 jours à faire passer la cybersécurité de sa plateforme en priorité; toutes les ressources nécessaires vont être déployées pour identifier et corriger les failles de sécurité plutôt que de s’atteler au développement de nouvelles fonctionnalités. Aussi, ils s’engagent à être transparent tout au long du processus.

zoom fait la une de la presse

Les principales failles de sécurité de Zoom identifiées sont les suivantes :

Pour plus d’information sur la nature de ses failles et les risques qui en découlent, nous vous invitons à écouter notre webinaire où nous prenons le temps de les expliquer une par une.

Les 10 choses à mettre en place maintenant si vous utilisez Zoom:

  • Mot de passe pour rejoindre une réunion (proposé désormais par défaut)
  • Activation de la salle d’attente
  • Bloquer la réunion lorsque tout le monde est en ligne
  • Ne pas utiliser la fonction « numéro de salle personnel »
  • Bloquer le clavardage si pas nécessaire
  • Limiter le partage d’écran à l’organisateur de la réunion
  • Mettre à jour le client Zoom
  • Prioriser l’enregistrement vidéo « en local »
  • Configurer l’authentification en 2 étapes pour les détenteurs de licences Zoom
  • Configurer une clé d’hôte de 10 chiffres au lieu de 6

Voici des plateformes alternatives à Zoom:

Même si c’est Zoom qui fait la une de la presse depuis quelques semaines, cela ne veut pas dire que les plateformes suivantes sont 100% sécuritaires. Nous vous recommandons d’être toujours vigilent peu importe les outils utilisés. Et n’oubliez pas ; une bonne partie de la sécurité en place dépend de comment vous configurez et utilisez la plate-forme.

D’autres alternatives, québécoises cette fois-ci:

Peu importe la plateforme utilisée, certaines actions peuvent être faites pour sécuriser vos visioconférences d’affaire:

  • Chaque participant pourrait s’identifier (ouvrir la caméra) pour s’assurer qu’il s’agit de la bonne personne
  • Éviter de communiquer et de partager des renseignements personnels et confidentiels
  • Demander la permission avant d’enregistrer
  • Utiliser un casque d’écoute ou être dans une salle fermée

En conclusion, utiliser Zoom : OUI mais pas pour discuter d’informations confidentielles (enfin, pour l’instant!)

Zoom n’est pas devenu leader sur le marché pour rien. Cette plateforme est très bien construite et permet notamment de proposer des webinaires pouvant accueillir des milliers de personnes et ce, de façon efficace. Zoom dispose aussi de l’une des interfaces les plus facile d’utilisation, ce qui n’est pas un avantage négligeable.

Aussi, Zoom offre très régulièrement des mises à jour pour corriger les failles de sécurité qui ont été identifiées donc sa posture en sécurité devrait s’améliorer dans les prochaines semaines; enfin, on l’espère!

De plus, il faut aussi faire une distinction claire entre la version gratuite et la version payante; cette dernière donne accès à davantage de fonctionnalités et permet d’avoir un meilleur contrôle sur la configuration de sécurité à mettre en place dans un contexte corporatif.

En prenant en compte tous ces aspects, nous tirons la conclusion suivante : vous pouvez continuer d’utiliser Zoom pour vos réunions et webinaire MAIS uniquement si vous ne discutez pas d’informations confidentielles.

Par exemple, utiliser la plateforme Zoom pour :

  • Donner des webinaires ouverts aux grands public: Oui
  • Faire des appels vidéo avec sa famille, des amis: Oui
  • Faire des réunions d’affaires pour discuter de besoins, recommandations et autre information « interne » qui ne sont pas nécessairement confidentielles: À évaluer à l’aide d’un expert
  • Pour discuter de propriété intellectuelle, de demande de brevets, renseignements personnels d’employés ou clients et autres renseignements sensibles de cette catégorie: Déconseillé

Si voulez approfondir le sujet et (ré)écouter notre webinaire complet sur le sujet, nous vous invitons à cliquer sur le lien ci-dessous: Accéder au webinaire. Chaque point de cet article y est discuté de façon bien plus approfondie et nous avons aussi pris le temps de répondre à de nombreuses questions des participants sur le sujet. Peut-être est-ce les mêmes questions que vous vous posez présentement?

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.