MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
La cybersécurité doit s’étendre aussi aux systèmes de communication unifiée. Alors que les entreprises sont désormais très sensibilisées aux risques de failles, de mise hors service de leurs systèmes (attaques DDOS) et de destruction de leurs données (via des ransomwares), elles ne pensent pas forcément que leurs outils de communication unifiée sont également concernés par les règles de protection.
« La sécurité des communications est devenue aussi importante que celle du reste du SI, car les entreprises se servent à présent des outils de conférence pour échanger des informations critiques », prévient Hugues de Bonnaventure, Directeur Général France de l’éditeur de solution de visionconférence Lifesize.
Selon lui, trois mesures sont à prendre pour s’assurer qu’une solution de conférence ne compromet pas la confidentialité des informations.
Pour être choisi, considère Hugues de Bonnaventure, le fournisseur d’une solution de communication doit être en mesure d’expliquer à la DSI comment il sécurise les informations au niveau des données, des serveurs, de l’application cliente et des appareils de communication. Parmi les détails à prendre en compte dans la réponse, quatre sont essentiels :
Le chiffrement : toutes les données, qu’elles soient stockées ou en transmission, doivent être protégées, les premières avec au minimum un chiffrement AES 128 bits et les secondes en ajoutant au moins le protocole TLS. Point important : il faut bien évidemment que les messages de tous les interlocuteurs, externes compris, soient cryptés.
Le pare-feu : attention à ne pas tomber dans le piège d’une solution qui exposent des applications, des serveurs ou des équipements hors du pare-feu. De plus, il faut s’assurer que les solutions gèrent correctement le parcours des données au travers des serveurs d’authentification déjà en place.
Les mises à jour : puisque les mises à jour de firmwares et autres logicielles corrigent essentiellement des vulnérabilités ou apportent des dispositifs de sécurité plus robustes, il est primordial qu’elles se fassent de manière automatique pour s’assurer que le SI est protégé le plus tôt possible. La meilleure approche consiste à passer par une solution en Cloud, automatiquement mise à jour par le fournisseur lui-même.
La sécurité physique : où se situent les données que stocke la solution de communication ? Il est essentiel d’avoir la garantie que le datacenter du fournisseur soit protégé 24/7 et qu’il soit régulièrement audité et protégé contre les intrusions physiques.
Changer tous les identifiants et mots de passe de ceux proposés par défaut pour quelque chose de plus complexe est une règle d’or en matière de cybersécurité. Pourtant, Hugues de Bonnaventure, observe que cette bonne pratique est moins appliquée qu’ailleurs dès qu’il s’agit des systèmes de communication unifiée
« Parmi les nombreuses cyberattaques survenues en 2016, la plus célèbre fut celle lancée par le botnet Mirai qui ciblait les webcams. Or, si cette attaque a autant réussi, c’est parce que les mots de passe administrateurs par défaut de ces équipements étaient toujours actifs », dit-il.
Selon Hugues de Bonnaventure, changer les mots de passe par défaut n’est qu’une étape. Il recommande de protéger aussi l’accès aux réunions critiques par un mot de passe, une fonction qui n’est disponible que sur certaines solutions de visioconférence.
Un segment non sécurisé du réseau est une porte d’entrée par laquelle peuvent passer les cyber-attaques pour atteindre tout le SI d’une entreprise. Les méthodes pour sécuriser le réseau comprennent l’application de restrictions d’accès, le blocage au niveau du pare-feu de certaines pièces attachées et le test régulier des failles de sécurités connues. Mais Gustavo Villardi prévient qu’il ne s’agit là que de résoudre une partie du problème.
« Selon une étude récente menée par Verizon sur les failles de sécurité, l’erreur humaine continue d’être la cause principale des cyber-attaques. Les collaborateurs sont le maillon faible et les entreprises se doivent de former leur personnel pour qu’ils restent protégés en ligne et depuis quelque appareil que ce soit », témoigne-t-il.
Il liste ainsi quatre points sur lesquels la formation des équipes est impérative :
L’usage à domicile : les collaborateurs en télétravail ne bénéficient pas de l’encadrement de la DSI pour sécuriser leur accès domestique. Il est donc nécessaire de leur indiquer comment sécuriser une box pour activer le chiffrement du Wifi et passer par un VPN
Les mots de passe : des bonnes pratiques doivent être appliquées pour que les mots de passe de chaque salarié soient impossibles à deviner ; cela comprend aussi bien de la complexité dans l’enchaînement des caractères que la fréquence de remplacement des mots de passe.
L’accès : les collaborateurs devraient toujours éteindre un équipement lorsqu’ils ne s’en servent pas, afin d’éviter que quelqu’un ne se connecte sur les services restés ouverts
Le mode privé : l’utilisation d’un système de visioconférence uniquement avec les paramètres du mode privé évite que quelque des personnes extérieures puissent se greffer sur une conférence.
« Ce n’est qu’en combinant les dispositifs de sécurité et les bonnes pratiques d’usage au bureau comme à domicile que le système de communication unifiée permettra d’échanger sereinement des informations critiques entre partenaires », conclut Hugues de Bonnaventure.
