Les applications de vidéoconférence peuvent permettre à votre organisation d’avoir des rencontres et de travailler avec votre personnel, vos clients et vos partenaires qui se trouvent dans divers emplacements géographiques. Toutefois, la vidéoconférence comporte des risques en matière de protection de la sécurité et des renseignements personnels que vous devriez prendre en compte avant de choisir, d’installer et d’utiliser ces applications. En dressant la liste des menaces et des risques liés à ces outils, vous pourrez adopter les mesures de sécurité appropriées et les pratiques exemplaires qui vous permettront de protéger l’environnement de travail virtuel de votre organisme.
Sur cette page
- Avantages des applications de vidéoconférence
- Risques liés aux applications de vidéoconférence
- Menaces visant les applications de vidéoconférence
- Conseils de sécurité à l’intention des organisations
- Conseils de sécurité à l’intention des employés
- Comment intervenir en cas d’incident
- Renseignements supplémentaires
Avantages des applications de vidéoconférence
Les applications de vidéoconférence peuvent accroître la productivité et le degré de collaboration entre les employés, les clients et les partenaires. Ces applications sont plus conviviales que les appels téléphoniques, puisqu’elles ont l’avantage d’offrir une interaction en face-à-face. Nombre d’entre elles disposent d’outils de collaboration intégrés comme le partage des contenus d’écran et des fichiers et la possibilité d’enregistrer les réunions. Elles vous permettent aussi d’organiser des rencontres pour des groupes de diverses tailles, sans les contraintes normalement liées à l’espace physique.
De nombreuses applications sont disponibles gratuitement ou sont offertes selon des options d’abonnement tarifées en fonction d’une grille de prix dégressive pour s’adapter aux besoins de votre organisme.
Risques liés aux applications de vidéoconférence
En matière d’applications de vidéoconférence, il existe un vaste choix. Gardez à l’esprit que la priorité que le fournisseur accorde à la sécurité ainsi que la façon dont vous utiliserez et sécuriserez ces applications auront une incidence sur la sécurité des systèmes et des informations de votre organisme.
Les auteures et auteurs de menace malveillants peuvent tenter d’exploiter les vulnérabilités et les failles des logiciels en lançant des attaques par force brute dans le but de subtiliser des renseignements ou d’accéder à des discussions privées. Si de l’information sensible est abordée ou communiquée au moyen d’une application de vidéoconférence, vous pourriez courir un plus grand risque d’atteinte à la protection des données ou à la vie privée. La réputation de votre organisation et vos relations avec vos clients et partenaires pourraient en souffrir.
L’emploi d’un logiciel pont mal sécurisé entre l’application de vidéoconférence et les services externes constitue un autre risque. Bon nombre de services de vidéoconférence offrent une option de communication par téléphone,une forme de pontage, pour les utilisateurs invités. Même si l’application de vidéoconférence emploie la cryptographie et de bonnes pratiques de sécurité, son niveau de sécurité s’abaissera à celui du service externe. Le contenu sensible ou personnel de la vidéoconférence pourrait être exposé s’il est partagé avec des services externes comme ceux offrant de la traduction ou de la transcription.
Menaces visant les applications de vidéoconférence
Les auteures et auteurs de menace malveillants ciblent les applications de vidéoconférence afin de perturber les réunions, de surcharger les services, d’écouter les appels et de subtiliser des informations. Ces personnes utilisent des méthodes diverses pour attaquer les applications de vidéoconférence, y compris les méthodes suivantes :
- Attaques par force brute : Une ou un auteur malveillant balaie automatiquement une liste d’identifiants de réunion pour tenter de se connecter au système de vidéoconférence. Si cette personne y réussit, elle peut :
- saboter la réunion en conduisant de l’écoute clandestine ou en perturbant la réunion par le partage de contenu inapproprié ou explicite;
- collecter les données affichées à l’écran d’un système compromis.
- Maliciel : Une ou un auteur de menace infecte des dispositifs en partageant des pièces jointes ou des applications ou encore des liens malveillants.
- Hameçonnage : Une ou un auteur de menace organise une vidéoconférence en se faisant passer pour une personne de confiance.
- Menace interne : Des membres du personnel peuvent accidentellement ou délibérément compromettre les rencontres organisées au moyen de l’application de vidéoconférence de votre organisation; ainsi, un employé n’ayant pas reçu de formation pourrait transmettre par erreur de l’information comme des justificatifs d’accès aux réunions.
Ne partagez jamais d’information très sensible par l’intermédiaire d’applications de vidéoconférence. Utilisez plutôt d’autres méthodes lorsque vous devez partager des informations sensibles (p. ex. un système de messagerie sécurisée par chiffrement).
Conseils de sécurité à l’intention des organisations
Pour atténuer les risques associés à l’utilisation des applications de vidéoconférence, votre organisation doit prendre des précautions au moment de choisir, d’installer et d’utiliser une application.
Choisir une application
- Faites appel à des fournisseurs qui respectent les lois canadiennes sur la protection de la vie privée, pour vous assurer que vos informations sont protégées contre les utilisateurs non autorisés et les partages interdits.
- Utilisez les solutions organisationnelles éprouvées existantes dans la mesure du possible.
- Téléchargez les applications provenant de fournisseurs dignes de confiance.
- Choisissez une application de vidéoconférence offrant des options de sécurité personnalisables afin de pouvoir l’adapter à vos besoins, et ayez conscience du fait que les options de sécurité peuvent différer selon qu’il s’agit d’une application gratuite ou payante.
- Testez l’application avant de l’utiliser au sein de votre organisation.
Sécuriser l’application
- Songez à adopter une solution de vidéoconférence qui ne nécessite pas l’installation d’un logiciel, comme les applications de vidéoconférence Web qui n’ont pas besoin de mises à jour.
- Mettez à jour les paramètres par défaut, car ils sont souvent moins sûrs.
- Activez les capacités de sécurité comme les fonctions de chiffrement et de contrôle d’accès.
- Désactivez les fonctions dont vous n’avez pas besoin, y compris les fonctions d’échange de fichiers et de partage d’écran, et le générateur de transcriptions.
- Veillez à ce que les privilèges administratifs soient réservés aux personnes autorisées.
- Assurez-vous que les dernières mises à jour et les derniers correctifs ont été apportés aux dispositifs d’utilisateur final et de conférence.
- Désactivez les services non nécessaires ou inutiles.
- Lorsque la chose est possible, activez les capacités de journalisation du dispositif afin de faciliter les activités d’intervention en cas d’incident.
- En déplacement ou lorsque vous devez assister à des rencontres qui ont lieu en dehors de zones sécurisées, utilisez des dispositifs d’utilisateur final à usage réservé pour la collaboration et les réunions.
Sécuriser les réunions
- Utilisez une phrase de passe ou un mot de passe pour vos réunions.
- Gardez confidentiels l’hyperlien et le mot de passe des réunions.
- Assurez-vous que les participants ne peuvent se joindre à la réunion que si l’hôte est présent.
- Utilisez une salle d’attente pour les participants, si l’option est disponible.
- Réduisez au minimum le nombre d’administrateurs ou d’hôtes d’une réunion.
Conseils de sécurité à l’intention des employés
Les formations en cybersécurité constituent un moyen efficace de protéger votre organisme contre les cybermenaces et d’instaurer une culture organisationnelle axée sur la sécurité. Songez à rappeler aux employées et employés les conseils de sécurité suivants avant qu’ils n’emploient les applications de vidéoconférence :
- N’utilisez que les applications de vidéoconférence approuvées à des fins professionnelles.
- Activez des protections de chiffrement robustes sur votre réseau Wi-Fi pour protéger vos communications.
- Gardez confidentiels les justificatifs d’accès et les mots de passe des réunions.
- Utilisez des mots de passe robustes dans le cas des comptes.
- Utilisez l’authentification multifacteur lorsque la chose est possible.
- Vérifiez le nom de domaine et l’URL avant de cliquer sur un lien.
Comment intervenir en cas d’incident
Dès que vous soupçonnez que vos vidéoconférences ont été la cible d’activités malveillantes :
- arrêtez la réunion;
- repérez l’information qui est à risque pour déterminer si de l’information opérationnelle ou personnelle sensible a été transmise en cours de réunion;
- modifiez les justificatifs d’accès aux réunions ainsi que les mots de passe des réunions récurrentes ou planifiées;
- signalez l’activité au Centre pour la cybersécurité à l’adresse courriel contact@cyber.gc.ca.
Pour en savoir plus
- Repensez vos habitudes en regard de vos mots de passe de manière à protéger vos comptes des pirates informatiques (ITSAP.30.036)
- Pratiques exemplaires de création de phrases de passe et de mots de passe (ITSAP.30.032)
- Conseils de sécurité sur les gestionnaires de mots de passe (ITSAP.30.025)
- Étapes à suivre pour déployer efficacement l’authentification multifacteur (AMF) (ITSAP.00.105)
- Protéger votre organisation contre les maliciels (ITSAP.00.057)
- Conseils de sécurité pour les organisations dont les employées et employés travaillent à distance (ITSAP.10.016)
- Conseils de cybersécurité pour le télétravail (ITSAP.10.116)