Chacun est conscient que les logiciels professionnels gratuits ne sont pas sans contrepartie. Elle se traduit en général par l’un de ces objectifs : accéder à vos données personnelles, vous adresser de la publicité, ou capter votre attention afin de vous vendre des services premium à postériori. Beaucoup d’entre nous en ont déjà fait l’expérience par exemple dans le monde des logiciels grand public et des réseaux sociaux. Tout cela est bien légitime, mais lorsqu’il s’agit de services de web conférence, les directions informatiques et les acheteurs doivent être particulièrement vigilants quant aux risques de sécurité.

Beaucoup d’acteurs fournissent des services gratuits ou à bas coûts n’offrant qu’un faible niveau de protection. Il suffit d’une seule brèche de sécurité majeure pour prendre conscience que les mesures de protection à mettre en place ne sont pas des dépenses superflues.

Quels sont les trois aspects clés de sécurité à évaluer lors du choix d’une solution de web conférence ?

• Authentification

S’assurer que seuls les participants autorisés se connectent aux réunions est un défi majeur de l’audioconférence, de la vidéoconférence et de la web conférence gratuites. Vous pouvez organiser une réunion cryptée, mais n’importe qui en possession des identifiants de la réunion peut la rejoindre et écouter ce qui s’y dit. Pire encore, en utilisant une connexion par téléphone, il est possible d’écouter sans révéler son nom ou sa véritable identité.

L’absence d’authentification constitue un facteur de risque sérieux. En octobre dernier, un important constructeur aéronautique nous a consulté après avoir détecté que deux participants externes, connectés en audio seulement, avaient assisté à une réunion globale interne organisée par son PDG. De même, alors que nous entrons dans la campagne électorale des municipales de 2020, un certain nombre d’organisations politiquement engagées nous ont sollicités pour s’assurer que leurs opposants, détracteurs et journalistes non autorisés ne puissent pas s’infiltrer dans leurs web conférences – comme ils l’ont fait dans le passé.

 Cependant, les failles de sécurité mettant en danger une entreprise et son personnel ne visent pas qu’avionneurs et partis politiques. Pour se protéger les entreprises doivent se tourner vers des services de conférence qui intègrent des fonctions de sécurité complètes avec cryptage et authentification à deux facteurs (processus de connexion sécurisé en deux étapes). Il est essentiel de s’assurer que le système choisi élimine la faille courante qui consiste à pouvoir transférer les invitations à une réunion.

• Vie privée

Il est possible d’accéder à de nombreux services cloud ou en ligne qui n’affichent pas clairement qu’ils capturent et vendent toutes les données qui vous concernent. Ce sont des données qui révèlent non seulement votre identité, mais aussi les personnes que vous rencontrez, pendant combien de temps et même à quelle fréquence. 

Au minimum, si votre entreprise utilise un service gratuit impliquant l’exploitation de ce type de données, vos employés doivent en être informés. Pour la plupart des organisations, ce n’est pas un compromis acceptable. Encore une fois, il est préférable de considérer des services premium qui s’engagent explicitement à ne pas vendre vos données à des tiers. Payer pour des services vous donne beaucoup plus d’influence en cas d’atteinte à la vie privée.

• Monitoring

Les services les plus risqués sont ceux qui fournissent un numéro unique ou un lien que n’importe qui utilise pour se connecter sans devoir entrer un mot de passe ou un identifiant de réunion. On ne compte plus les conférences dont la session a débordé de la plage horaire initialement réservée, permettant ainsi aux participants à la réunion suivante de s’immiscer et d’écouter en toute discrétion. Des fonctions de monitoring empêchent que cela ne se produise. Elles permettent aux administrateurs de contrôler qui et combien de personnes ont rejoint une conférence, et surtout d’où elles appellent. Ainsi, par exemple, si un de vos employés semble appeler du Vietnam alors que vous êtes certain qu’il est basé à New York, vous pouvez le déconnecter de la conférence. Des systèmes de modération à distance sont aussi un moyen efficace et non intrusif de protéger la confidentialité des conversations et des documents sensibles.

Publier une politique claire de BYO (Buy Your Own)

Des collègues bien intentionnés pourraient également souscrire à des services d’appels gratuits passant sous le radar de la DSI afin de faire des économies ou d’essayer quelque chose de plus attractif pour leurs équipes. La publication d’une politique de sécurité claire est nécessaire pour expliquer exactement pourquoi les services gratuits et potentiellement peu sûrs ne sont pas autorisés. Pour que ces règles soient respectées, il faut exposer les risques que ces systèmes présentent pour les données personnelles ainsi que pour la vie privée et l’entreprise.

En conclusion, les réunions d’entreprise doivent être des espaces sûrs où aucune donnée personnelle ou conversation privée ne peut être compromise. Si l’on observe une plus grande prise de conscience des dangers du logiciel libre, il ne faut pas oublier qu’il suffit d’une seule faille de sécurité dans une conférence en ligne pour créer une situation critique. Évaluer rigoureusement les caractéristiques de sécurité de ses services de conférence à distance permet facilement d’éviter cela.