Les communications dans une visioconférence non sécurisée peuvent, à tout moment, être écoutées et enregistrées. L’accès aux réunions en ligne doit être contrôlé, tout comme cela est fait pour des réunions en présentiel.
La visioconférence, une mine d’information pour les cybercriminels
L’utilisation de la visioconférence n’est plus occasionnelle : elle est quotidienne pour la majorité des entreprises. Réunions du CoDir ou d’équipes, réunions de crise, bilan financier et présentation de la stratégie business sont autant de moments essentiels qui sont organisés aujourd’hui en mode hybride ou en distanciel.
En télétravail, les informations échangées quotidiennement entre les collaborateurs peuvent aussi être stratégiques.
Lors de ces réunions en ligne ou ces conférences virtuelles, cette multitude de données sensibles circulent. C’est une mine d’or pour les cybercriminels qui font tout pour y accéder.
Des intrusions non désirées dans les visioconférences
Durant la crise sanitaire, le phénomène de « zoombombing » est apparu dans les visioconférences. Ce phénomène tient son nom de plusieurs intrusions non désirées dans des visioconférences Zoom en 2020. Il peut s’agir de simples trolls mais parfois, l’intrusion va plus loin.
Même les réunions les plus stratégiques sont impactées par ce phénomène : le journaliste hollandais Danier Verlaan était parvenu à infiltrer la visioconférence confidentielle des ministres de la Défense de l’Union européenne. Ces intrusions sont une porte ouverte à l’espionnage industriel.
Plusieurs enquêtes avaient également été menées par le FBI concernant des pirates qui s’étaient infiltrés dans des réunions en ligne, menaçant les participants avec des messages racistes, homophobes ou antisémites.
Une hausse des deepfakes dans les cyberattaques
Outre le zoombombing, une méthode d’intrusion dans les réunions en ligne fait de plus en plus parler. Il s’agit du deepfake, ce procédé qui permet de prendre l’apparence d’une autre personne.
VMware, fournisseur de solutions cloud, a récemment publié une étude sur le sujet. Il a interrogé 125 professionnels de la cybersécurité et 2/3 d’entre eux affirment que l’utilisation de deepfakes à l’occasion d’une cyberattaque a augmenté de 13%, par rapport à l’année dernière.
Ces pirates utilisant le deepfake visent de plus en plus les outils de visioconférence en entreprise. C’est le cas lors d’entretiens d’embauche en visioconférence notamment, et particulièrement dans le secteur des nouvelles technologies. Ces cybercriminels utilisent le deepfake et tentent de se faire recruter afin de récolter des informations sur l’entreprise.
Des conséquences financières importantes
L’espionnage dans les visioconférences, sous n’importe quelle forme, représente un réel danger pour toute l’organisation.
Si les cybercriminels parviennent à leur fin, les conséquences sont souvent dramatiques. À la suite d’un vol de données, les entreprises observent à coup sûr une perte de chiffre d’affaires conséquente, sans compter une hausse considérable de leurs dépenses, liées notamment à la refonte de la sécurisation de leur SI. La réputation de l’organisation est aussi fortement impactée.
Comment éviter ces intrusions dans une visioconférence ?
Pour limiter les risques d’intrusions, une visioconférence doit donc présenter certains critères de sécurité, plus ou moins importants selon les risques. Par exemple, une réunion en ligne d’un CoDir, où de nombreuses informations confidentielles sont partagées, nécessite forcément un niveau de sécurité maximal.
Authentifier les participants
Dans sa solution de visioconférence, Tixeo inclut une authentification avec login et mot de passe (chiffré et non-réversible). Ce procédé est particulièrement adapté pour les réunions en ligne sensibles. En effet, seuls les utilisateurs authentifiés et invités pourront y accéder. L’organisateur devra valider leur accès et sera ainsi totalement maître des participants à sa visioconférence.
Garder le contrôle des participants
L’organisateur doit également garder un contrôle total sur les participants à sa réunion en ligne, que ce soit avant ou pendant la visioconférence. En cas d’intrusion, cela permet de réagir vite et de limiter les impacts.
Dans une visioconférence sécurisée Tixeo, les participants invités n’ont que les droits minimaux, incluant la communication audio / vidéo et la visualisation de documents partagés. Seul l’organisateur a tous les droits dans la réunion et peut :
- partager des documents (écran, applications, fichiers…),
- accorder des droits de partage à un autre participant,
- ou encore lui retirer le droit de parole, voire le droit d’afficher sa caméra.
L’organisateur peut supprimer à tout moment des personnes initialement invitées à une réunion. C’est ce que propose Tixeo qui va même encore plus loin en offrant la possibilité de déléguer les droits d’organisation et de gestion d’une réunion, dès l’étape de planification.
Par exemple : Alice pourra organiser une réunion en ligne et donner les droits de gestion à Bob. Bob pourra ensuite retirer Alice de la réunion. Cette fonction est particulièrement intéressante pour les personnes souhaitant déléguer la mise en place d’une visioconférence tout en ayant un contrôle total sur celle-ci.