LEBIGDATA.FR I.A, Cloud & Cybersécurité
Comment assurer la sécurité et la confidentialité en cas de croissance soudaine et explosive ? Le télétravail est-il le futur de l'humanité ? Entretien avec Loïc Rousseau, directeur France de Zoom.
Pendant le confinement lié à la pandémie de Covid-19, de nombreuses entreprises se sont trouvées contraintes de continuer leur activité en télétravail. De fait, les plateformes de visioconférence comme Zoom ont connu un véritable essor.
Cependant, ce triomphe s'accompagne d'un défi à relever : celui de la protection des données et de la cybersécurité. Un challenge difficile, ayant engendré plusieurs polémiques autour de la plateforme.
Afin d'en savoir plus sur les difficultés rencontrées par Zoom et les mesures prises pour les surmonter, nous nous sommes entretenus avec Loïc Rousseau, directeur France de l'entreprise…
Quelles ont été les principales difficultés liées à cette croissance éclair ?
Nous n'avons pas vraiment eu de difficultés. Grâce à notre présence en Chine, nous avons su anticiper la crise du Covid-19. Nous avons vu la vague venir vers l'Europe et les États-Unis.
En voyant la situation se développer, notre directeur a décidé de fournir des licences aux pays qui ont fermé leurs écoles pour qu'ils puissent poursuivre l'éducation des élèves dans le cadre du programme K12.
Nous avons doublé la charge du réseau, et il n'y a donc pas eu de difficulté à s'adapter à cette charge en termes de technologie et d'accessibilité au service.
En revanche, le problème est qu'énormément de particuliers se sont mis à utiliser cette solution. Ceci a permis à tout le monde de garder une sociabilisation et l'on s'en félicite.
Toutefois, Zoom est une plateforme de visioconférence dédiée aux professionnels. Il y a donc eu des usages qui n'étaient pas forcément adaptés. Des utilisateurs ont pu malencontreusement communiquer leur code de conférence.
C'est ce qui a donné lieu à des situations de » meeting bombing « , à savoir des intrusions d'inconnus. C'est inhérent à toutes les plateformes de visioconférence, mais c'est ce qui nous a contraints à nous adapter en ajoutant des éléments de sécurité directement à la plateforme.
Il y a plusieurs polémiques autour de Zoom suite à cette croissance : des fuites de comptes sur le Dark Web, des intrusions les fameux Zoombombing… quelles mesures ont été prises pour rectifier ces problèmes ?
Nous avons mis en place un plan de sécurité de 90 jours, et décidé d'axer tous les efforts de Zoom sur la sécurité et le respect de la vie privée.
Ça s'est concrétisé par le lancement de la nouvelle version 5.0, apportant des fonctionnalités de sécurité accessibles directement sur la plateforme en un seul clic.
Auparavant, ces éléments existaient déjà sur Zoom, mais il fallait aller sur l'espace client et le paramétrer. Désormais, l'accès se fait via la plateforme pour plus de visibilité et d'accessibilité.
On a aussi mis en place des webinars, organisés tous les mercredis par le fondateur Eric S. Yuan. On a aussi embauché en tant qu'adviser Alex Stamos, ancien CSO de Facebook, ou encore Katie Moussouris pour le bug bounty.
Tout est fait aujourd'hui pour avoir le meilleur de niveau de sécurité du marché. Nous sommes aussi passés à l'encryption AES-256 bits qui est l'un des niveaux de chiffrement les plus élevés sur le marché.
Il y a eu aussi des transferts de données à Facebook, mais aussi vers des serveurs basés en Chine. Vous avez déclaré qu'il s'agit d'un accident lié à une erreur. Toutefois, par le passé, il y a eu d'autres affaires d'espionnage par la Chine via les logiciels. Pouvez-vous m'en dire plus sur cet accident ?
Tout a débuté avec le SDK de Facebook. Nous avions cette authentification mise en place pour permettre aux utilisateurs de se connecter à Zoom via Facebook.
Par la suite, nous avons appris que ce SDK permettait à Facebook de collecter des données de nos utilisateurs sur iOS. Cela s'est passé à notre insu, puisque nous ne conservons et ne revendons absolument aucune donnée. En 24h, nous avons donc immédiatement supprimé le SDK Facebook.
En ce qui concerne la Chine, cela n'a impacté qu'une bonne dizaine de réunions. Il faut savoir que le Data Center basé en Chine n'est pas sur notre réseau.
Lorsque nous avons voulu augmenter la capacité du réseau pour pallier à cette situation, il y a eu une erreur humaine qui a fait que les serveurs chinois ont pu être connectés sur le réseau de Zoom pendant un laps de temps très court. Là encore, nous y avons remédié dès la découverte du problème.
Désormais, par souci de transparence, nous laissons la possibilité à nos utilisateurs d'extraire les Data Centers sur lesquels ils ne veulent pas être. Il est par exemple possible de se localiser uniquement en Europe via le paramétrage des réunions Zoom.
Quelles initiatives peuvent prendre les utilisateurs pour se servir de Zoom de manière sécurisée ?
Le bombing, c'est un peu comme si vous mettiez sur votre Facebook votre nom, votre prénom, votre adresse mail, votre adresse postale, et que vous signifiez que vous allez partir en vacances au mois de juillet et que ça va être génial. C'est une grosse erreur.
Quand vous créez une salle de réunion sur Zoom, vous obtenez un code unique permettant d'accéder à votre salle de réunion. Si vous y organisez une réunion avec 5 personnes aujourd'hui, puis une autre réunion avec 5 autres personnes demain, et ainsi de suite, vous allez vite vous retrouver avec 100 personnes qui ont votre code.
Je recommande donc de créer une nouvelle réunion, avec un code différent, à chaque fois. Une fois que la réunion est terminée et que tout le monde est sorti, le code est détruit.
Deuxième point très important, mettre en paramétrage la » salle d'attente « . Quand une personne veut rejoindre la réunion, l'organisateur va recevoir une notification et voir son nom, son prénom et son adresse mail. Il va donc savoir si c'est bien une personne invitée, et pourra accepter qu'elle rejoigne la réunion.
Il est aussi conseillé de désactiver la fonctionnalité de partage d'écran, pour éviter le partage de contenu indésirable comme cela a pu être constaté lors de multiples bombing.
Dans la version 5.0, nous avons directement désactivé cette option pour toutes les licences éducation. Cela évite qu'un élève perturbe un cours magistral en partageant du contenu qui n'a pas lieu d'être.
Dernier conseil : verrouiller la salle de réunion pour bien la sécuriser. Une fois la salle verrouillée, plus personne ne pourra y entrer même avec le code.
Pensez-vous que la popularité de Zoom va retomber après le confinement, ou est-ce que cet épisode va vous profiter sur le long terme ? Le télétravail va-t-il se démocratiser après cette crise ?
À mon avis, c'est sûr que le télétravail va se démocratiser. C'est évident, parce que le travail à distance permet davantage de productivité. Il permet aussi de répondre au problème de la confiance envers les transports.
Je pense surtout que les entreprises se sont rendues compte de l'investissement dont font preuve les employés et les collaborateurs en télétravail pendant le confinement. Ils sont investis, motivés, sont chez eux et peuvent gérer.
À vrai dire, il y avait déjà une tendance, même si en France en particulier on préfère traditionnellement que les gens soient au bureau. Des entreprises acceptaient déjà le télétravail un à deux jours par semaine au niveau RH. Je pense que ça va continuer et prendre de l'ampleur.
En ce qui concerne Zoom, on verra bien puisque nous ne sommes pas les seuls sur le marché. On s'imagine que des utilisateurs vont réduire leur utilisation, mais que certaines entreprises vont accroître leur usage. Je pense qu'on fera du vélo et du télétravail, et ce serait merveilleux pour la planète…
- Partager l'article :
