Problèmes de sécurité et de protection des renseignements personnels liés aux solutions de vidéoconférence

29 mai 2020

ADV_12May20_Security-and-privacy-concerns-with_LandingPage_679x220.jpg

La crise de la COVID-19 a interrompu les activités normales de plusieurs entreprises. Dans ce contexte, le télétravail et les télécommunications sont maintenant la norme incontournable. Pour faire face à ce changement profond des réalités du travail, les entreprises se tournent vers les solutions les plus courantes pour combler leurs besoins en matière de communication et de vidéoconférence.

Manœuvres cybercriminelles liées aux solutions de téléconférence

Des plateformes comme Slack et Zoom ont gagné en popularité au cours des derniers mois, principalement parce qu’elles simplifient la communication avec les employés, les clients et les fournisseurs. Les membres du personnel pourraient utiliser ces solutions sans avoir obtenu l’approbation des Services en TI de leur bureau, risquant ainsi de divulguer des renseignements confidentiels et de nuire à la réputation de l’organisation.

On reproche aux fournisseurs des solutions de vidéoconférence les plus répandues de cacher les failles en matière de sécurité et de confidentialité, ainsi que de fournir un chiffrement insuffisant. Nombre de ces applications de télétravail ne permettent pas aux organisations de gérer elles-mêmes les paramètres de chiffrement, et elles doivent donc se fier exclusivement aux systèmes du fournisseur d’application. Par conséquent, il n’y a aucune garantie de confidentialité et de localisation des données (résidence des données), puisque les appels peuvent être acheminés à l’étranger.

Par exemple, des cybercriminels ont réussi à avoir un accès non autorisé à ce qui suit :

  • Discussions relatives aux états financiers confidentiels de sociétés
  • Appels de télésanté
  • Cours à distance dans les écoles primaires

La tactique connue sous le nom de « Zoom-Bombing » a submergé l’application populaire de vidéoconférence gratuite Zoom : par défaut, la configuration de l’application permet à un utilisateur non invité d’entrer dans une réunion publique et de semer la pagaille en partageant des images grossières ou des discours haineux.

Les cybercriminels exploitent les faiblesses suivantes en matière de sécurité :

  • Prise de contrôle du compte et des messages d’un utilisateur
  • Accès à des fichiers partagés en privé
  • Accès à la caméra vidéo d’un utilisateur à tout moment
  • Possibilité d’intercepter du contenu vidéo partagé en privé
  • Collecte de renseignements sur un participant partagés sur les médias sociaux

Comment votre organisation peut-elle se protéger?

Les organisations doivent rendre les réunions privées, utiliser des solutions qui permettent la résidence des données et se tenir à jour concernant les formations et processus. Les étapes décrites ci-dessous peuvent également aider à atténuer les risques liés à l’utilisation de logiciels de vidéoconférence par le personnel.

  • Choisir le bon outil

    Choisir ou développer un outil de vidéoconférence qui fournit un chiffrement de bout en bout et qui permet aux seules personnes autorisées d’accéder aux réunions.

  • Politiques et procédures pour les logiciels de téléconférence approuvés

    Mettre à jour les politiques et les procédures relatives à l’utilisation des logiciels de téléconférence approuvés et veiller à ce que les employés les acceptent et les comprennent.

  • Formation

    Mettre à jour la formation sur la cybersécurité pour le personnel, particulièrement en ce qui concerne le travail à distance et les risques associés à l’utilisation de logiciels de téléconférence non approuvés. Fournir au personnel des pratiques exemplaires pour la tenue des vidéoconférences (p. ex., ne permettre qu’une fonctionnalité minimale ou l’accès en lecture seule aux participants; ne pas partager de renseignements confidentiels, etc.).

  • Surveillance constante

    Accroître la surveillance et l’examen des outils de vidéoconférence non autorisés et des fuites de données connexes.

BDO peut vous aider

La situation actuelle évolue constamment, ce qui complique la préparation aux risques et les procédures d’atténuation connexes. Notre équipe de professionnels a participé à l’adaptation de nombreuses entreprises à cet environnement difficile et est en mesure de vous aider à protéger votre organisation des risques pour la sécurité que pose votre équipe à distance.

Vivek Gupta, Chef national, Services de consultation en cybersécurité

Notre site utilise des témoins nous permettant de vous offrir un service plus réactif et personnalisé. En consultant notre site, vous acceptez l'utilisation des témoins. Veuillez lire notre déclaration de confidentialité pour en savoir plus sur les témoins que nous utilisons et sur la façon de les bloquer ou de les supprimer.