Lorsque vous participez à une visioconférence, certains aspects doivent vous alerter quant à son niveau de sécurité. Voici comment les repérer pour éviter l’espionnage des réunions en ligne.
Dans son flash #91 sur l’ingérence économique, la DGSI (Direction générale de la sécurité intérieure) donne plusieurs exemples de visioconférences suspectes et qui ont des conséquences sur l’intégrité de l’entreprise.
Son objectif est d’inciter les entreprises françaises à redoubler de vigilance lors de leurs réunions en ligne, souvent stratégiques et sensibles. En effet, les risques d’espionnage et d’ingérence économique, via des visioconférences non sécurisées, sont de plus en plus importants. Pour les éviter, les organisations doivent s’assurer que leurs échanges soient bien sécurisés.
Les principales caractéristiques d’une visioconférence non sécurisée :
Un accès non contrôlé à la réunion en ligne
Certaines visioconférences sont accessibles grâce à un lien de connexion partageable. Elles permettent de convier des participants supplémentaires à la dernière minute mais peuvent aussi entraîner l’intrusion de personnes potentiellement malveillantes. En 2020, l’intrusion du journaliste hollandais Danier Verlaan dans une visioconférence confidentielle avait été fortement médiatisée.
Pour faciliter l’accès à une visioconférence sécurisée, il est possible de partager un lien de connexion mais à la seule et unique condition que l’organisateur puisse valider l’entrée des participants. En effet, cela l’oblige à vérifier l’identité de la personne avant de lui permettre d’assister aux échanges. En cas de doute, il sera toujours conseillé de refuser la demande ou de demander plus de précisions quant à son besoin d’assister à la réunion. Sans cette validation, n’importe qui peut se connecter et accéder aux informations de la visioconférence (communications, fichiers…) ou diffuser des messages malveillants.
Des flux de communications non chiffrés
Les échanges audio, vidéo ou data peuvent être espionnés s’ils ne sont pas strictement protégés par un chiffrement de bout en bout. Ce système de transmission de données autorise uniquement l’émetteur et le(s) destinataire(s) à déchiffrer ces données sans aucune phase de déchiffrement entre eux.
Certains logiciels de visioconférences extra-européens revendiquent ce type de chiffrement mais sont pourtant soumis à des réglementations étrangères, comme le Cloud Act. Celui-ci oblige les éditeurs à mettre à disposition des back doors (portes dérobées) dans leur logiciel afin de permettre l’écoute des communications sous certaines conditions par les autorités. Cependant, ces back doors représentent une faille de sécurité et peuvent être découvertes par des hackers qui s’en serviront pour espionner les communications.
C’est quoi une back door et quel est son lien avec l’espionnage des visioconférences ? La réponse en vidéo !
La DGSI recommande l’utilisation de solutions de visioconférence chiffrées de bout en bout pour éviter les risques d’espionnage des réunions en ligne. La technologie de chiffrement de bout en bout de Tixeo, certifiée et qualifiée par l’ANSSI, empêche toute écoute des flux de communications, quel que soit le nombre de participants à la réunion en ligne. De plus, en tant que solution européenne et souveraine, le chiffrement de bout en bout de Tixeo est soumis au respect du RGPD.
En savoir plus sur la protection des données personnelles par Tixeo
Des comportements suspects de la part des participants
Enfin, la menace lors d’une visioconférence peut parfois être interne à l’entreprise. Il faut alors être attentif à certains signaux suspects émanant des participants. Dans son flash, la DGSI aborde l’exemple frappant d’une salariée en 100% télétravail, qui ne se montre jamais à la webcam et enregistre les visioconférences auxquelles elle participe. La captation d’informations stratégiques représente un danger d’espionnage industriel pour une entreprise. En cas de doute, il est important d’éviter de parler de sujets sensibles si la confidentialité n’est plus assurée.
Les entreprises doivent protéger leurs visioconférences de l’espionnage
Choisir un outil de visioconférence sécurisé
Les entreprises françaises sont régulièrement victimes d’ingérence économique suite à des manquements de sécurité lors de réunions en ligne et cela nuit à leur souveraineté économique. La sécurité de leur outil de visioconférence doit donc être au cœur de leurs préoccupations. Avec le travail à distance, les réunions sensibles se font désormais en ligne et exposent les données stratégiques de l’entreprise.
Tixeo est la seule solution de visioconférence française à être certifiée et qualifiée par l’ANSSI grâce à son chiffrement de bout en bout. Le logiciel est Secure by Design : la sécurité fait partie intégrante de son processus de conception.
Sensibiliser les collaborateurs
Tixeo accompagne ses clients et ses utilisateurs dans la protection de leurs communications et de leurs données personnelles. Une sécurité qui passe également par une sensibilisation des équipes, notamment en télétravail.
Il est primordial que les salariés puissent comprendre les risques liés aux visioconférences non sécurisées et en maîtriser les bonnes pratiques. Pour chaque réunion en ligne, organisateurs et participants doivent être capables de jauger le niveau de sécurité adéquat et ainsi d’adapter leur vigilance en conséquence (vérification des invités, webcam activée pour tous, haut niveau d’intensité des mots de passe…).
En fonction de la sensibilité de la réunion, Tixeo permet d’activer un niveau de sécurité standard ou maximal. Ainsi, pour une réunion confidentielle, l’organisateur pourra fixer des conditions pour accéder à la visioconférence (installation du logiciel-client et création d’un compte utilisateur). Chaque participant devra s’identifier avant d’accéder à la visioconférence.