Comment Zoom peut vous aider à rester en sécurité dans le cyberespace

Les cybercriminels deviennent chaque année plus sophistiqués et déploient des attaques complexes à plusieurs niveaux qui ciblent les personnes les plus vulnérables. Les hackers et les escrocs ciblent désormais leurs victimes avec des stratagèmes élaborés, conçus pour prendre les gens au dépourvu et profiter de leur gentillesse. Si les bonnes pratiques telles que l’utilisation de réseaux privés, de mots de passe uniques et le verrouillage de vos appareils sont toujours fortement recommandées, vous devez également choisir des outils et des fournisseurs de logiciels qui déploient des mesures robustes et efficaces pour assurer la sécurité de vos données. 

Le lieu de travail peut être tout aussi vulnérable à une violation si les employés téléchargent sans le savoir des logiciels malveillants ou exposent accidentellement des données privées à de mauvaises personnes. Dans cette optique, voici quelques conseils pour vous aider à assurer votre sécurité en ligne lorsque vous utilisez Zoom, ainsi qu’un aperçu des programmes de sécurité que nous déployons pour protéger les données de nos clients et de nos employés. 

Que vous téléchargiez l’application Zoom Workplace pour la première fois ou que vous la mettiez à jour, assurez-vous d’y accéder à partir d’une source fiable, comme le portail web Zoom, l’application elle-même ou une plateforme officielle comme l’Apple App Store.

Si vous recevez de manière inattendue un e-mail vous invitant à télécharger la dernière version de Zoom Workplace, vérifiez le domaine de l’expéditeur (à qui l’e-mail répond) et survolez le lien de téléchargement (sans cliquer dessus) pour vous assurer qu’il s’agit d’un lien légitime. S’il ne s’agit pas d’un domaine Zoom réel, tel que zoom.com ou zoom.us, vous devriez ne cliquer sur aucun lien.    

Vous trouverez ci-dessous deux e-mails qui semblent légitimes de prime abord mais qui sont en fait factices.

Après vous être assuré(e) que vous téléchargez Zoom Workplace à partir d’une source authentique, veillez à maintenir votre application à jour afin d’avoir toujours accès aux dernières fonctionnalités, de corriger les éventuels bugs et de bénéficier de la meilleure qualité audio et vidéo. 

Vous pouvez prendre quelques mesures pour préserver la confidentialité de votre événement virtuel et empêcher les personnes non invitées de participer à votre réunion ou à votre webinaire. Tout d’abord, évitez d’utiliser votre numéro personnel de réunion (NPR) pour chaque nouvelle réunion. Des personnes extérieures pourraient s’incruster dans votre prochaine réunion si elles ont accès à votre NPR d’une ancienne réunion. Réservez vos NPR pour des réunions internes avec des personnes que vous connaissez. 

Lorsque votre réunion commence, nous vous recommandons d’activer une salle d’attente afin que vous puissiez approuver toute personne qui tente d’entrer et empêcher toute intrusion. N’autorisez que les utilisateurs connectés à participer à la réunion et verrouillez la réunion une fois qu’elle a commencé. Vous pouvez également exiger un code secret pour accéder à la réunion, désactiver la vidéo et couper le son lorsque les participants se connectent afin d’éviter toute conversation indésirable ou inappropriée. Nous vous recommandons également de limiter les fonctions de partage d’écran et d’annotation aux hôtes ou à certains participants spécifiques. Veillez donc à désactiver l’option Partager l’écran, ce qui désactivera également toutes les fonctionnalités d’annotation.

Pour en savoir plus sur la façon de rester en sécurité sur Zoom, visitez notre Centre de sécurité.

La plupart des gens savent désormais qu’il est important de créer des mots de passe complexes, uniques pour chaque application et pour chaque appareil. Mais pour ajouter une couche supplémentaire de protection, nous proposons des intégrations d’authentification unique (SSO) et d’authentification à deux facteurs pour rendre l’accès à l’application Zoom Workplace simple, transparent et sécurisé.

Notre fonctionnalité SSO vous permet d’utiliser les mêmes informations d’identification pour le prestataire d’identité de votre organisation, ce qui vous évite de conserver des noms d’utilisateur et des mots de passe distincts. L’authentification à deux facteurs renforce votre sécurité grâce à un processus de connexion en deux étapes qui nécessite la soumission d’un code unique généré à partir d’une application mobile ou d’un SMS, en plus de la connexion principale à Zoom.

Le partage d’écran et l’accès à distance sont devenus des outils de collaboration essentiels avec l’essor du travail hybride et à distance. Il est donc important de savoir quelle fonctionnalité utiliser et à quel moment. Le partage d’écran permet aux présentateurs d’afficher du contenu visuel tel que des diapositives, des démonstrations et des supports de formation, avec des fonctionnalités permettant aux hôtes et aux participants d’annoter les écrans partagés. L’accès à distance permet à un participant de prendre le contrôle de l’écran d’un autre participant avec son autorisation. Cette fonctionnalité est généralement utilisée pour l’assistance informatique, l’installation de logiciels ou le travail collaboratif sur des documents.

Ces deux fonctionnalités soulèvent d’importantes questions de sécurité. Le partage d’écran comporte notamment le risque de divulgation accidentelle d’informations sensibles et d’interruption des réunions si les autorisations ne sont pas correctement restreintes. L’accès à distance présente des risques plus graves, car il donne aux utilisateurs externes un accès complet aux fonctions de votre ordinateur, telles que le contrôle de la souris et du clavier, ce qui pourrait permettre à des personnes malveillantes de mener des activités nuisibles si cet accès leur était accordé.

Personne ne prévoit intentionnellement de donner accès à un pirate, mais à mesure que les acteurs malveillants deviennent plus sophistiqués, vous pourriez involontairement permettre à une personne non autorisée de s’introduire dans votre système. Pour utiliser ces fonctionnalités en toute sécurité, voici quelques bonnes pratiques recommandées :

• Limitez le partage d’écran aux hôtes et aux participants désignés, tels que les co-hôtes ou les panélistes. Vous pouvez limiter cette option par défaut dans vos paramètres ou ajuster cette autorisation selon vos besoins à l’aide des fonctionnalités disponibles pendant la réunion.
• Lorsque vous partagez votre écran, veillez à fermer tous les documents et onglets sensibles. Dans la mesure du possible, ne partagez que des applications ou des onglets spécifiques.

Lorsque vous accordez un accès à distance à votre ordinateur, suivez ces étapes pour éviter toute activité malveillante :

• Ne répondez pas aux contacts non sollicités : vous devez initier les demandes d’assistance auprès d’une source fiable, et non l’inverse. Ne cliquez pas sur les liens et n’acceptez pas les demandes provenant de personnes que vous ne connaissez pas ou que vous n’avez pas contactées vous-même.
• Vérifiez, vérifiez, vérifiez : si quelqu’un prétend appartenir à une organisation légitime, vérifiez son identité de manière indépendante. Recherchez ses coordonnées officielles (sur son site Web, et non dans les coordonnées qu’il vous fournit) et contactez-le directement.
• Méfiez-vous des demandes urgentes : les escrocs créent souvent un sentiment de panique pour vous pousser à prendre une décision rapide. Prenez votre temps, posez des questions et ne vous laissez pas mettre sous pression.
• Comprenez bien ce que signifie le contrôle à distance : accorder l’accès à distance signifie que vous devez être à l’aise avec l’idée de laisser quelqu’un contrôler votre ordinateur. Réfléchissez bien avant d’accorder cette autorisation, car cette étape peut permettre à des personnes mal intentionnées de se faire passer pour quelqu’un d’autre afin d’accéder à votre appareil.

Zoom dispose de plusieurs commandes intégrées conçues pour vous aider à utiliser l’accès à distance en toute sécurité, notamment :

• Vérifier la liste des participants : si vous organisez une réunion Zoom avec un grand nombre de participants ou si certains d’entre eux ne sont pas connectés à un compte Zoom, vérifiez attentivement la liste des participants avant la réunion afin de savoir qui est susceptible de demander un accès à distance.
• Révoquer l’accès : si vous soupçonnez quelqu’un d’agir de manière malveillante, révoquez immédiatement son accès à distance. Vous pouvez le faire via les commandes de la réunion Zoom en cliquant sur l’icône Contrôle à distance et en sélectionnant « Arrêter le contrôle à distance ».
• Verrouiller la réunion : si vous organisez une réunion, verrouillez-la pour empêcher de nouveaux participants de la rejoindre.
• Désactiver le contrôle à distance pour les participants : en tant qu’hôte, vous pouvez désactiver la fonctionnalité de contrôle à distance par défaut pour tous les participants lorsque cette fonctionnalité n’est pas nécessaire. En tant qu’invité à la réunion, vous pouvez sélectionner l’option « Empêcher mon écran d’être contrôlé par un utilisateur externe » dans les paramètres du compte.

Vous ne savez pas toujours avec qui vous interagissez, c’est pourquoi nous avons développé des fonctionnalités supplémentaires qui renforcent la confiance et favorisent des interactions plus sûres lorsque vous communiquez avec d’autres personnes.

• L’association de domaine (disponible pour les comptes payants avec une licence Zoom Business ou supérieure) valide votre domaine et l’affiche sur votre carte de profil Zoom afin qu’il soit visible par les autres participants aux conversations Team Chat, aux réunions et aux webinaires. Les propriétaires et administrateurs de comptes éligibles peuvent activer cette fonctionnalité au niveau du compte afin que toute personne interagissant avec d’autres (en interne comme en externe) sur la plateforme Zoom puisse les reconnaître comme faisant partie de l’organisation. Cela est utile pour identifier les utilisateurs au sein de votre propre organisation et confirmer que les participants externes proviennent de domaines vérifiés.
• L’authentification Okta pour le chiffrement de bout en bout de Zoom permet aux organisations de vérifier l’identité des participants à une réunion à l’aide de la plateforme de gestion des identités Okta. Disponible pour les comptes payants, cette fonctionnalité contribue à réduire les risques de sécurité en confirmant que les personnes qui rejoignent les réunions E2EE sont bien celles qu’elles prétendent être. Lorsqu’une personne rejoint une réunion, elle peut afficher un badge indiquant que son identité a été vérifiée. Passez la souris sur le badge pour afficher les informations de la personne, telles que son adresse e-mail et le domaine de l’entreprise associé à son compte Okta. Obtenez plus d’informations sur l’authentification Okta.

Ensemble, ces fonctionnalités compliquent la tâche des personnes malintentionnées qui cherchent à usurper l’identité d’utilisateurs ou d’organisations légitimes dans Zoom Team Chat, Meetings et Webinars.

Grâce à notre fonctionnalité optionnelle de chiffrement de bout en bout (E2EE) (actuellement disponible pour Zoom Meetings et Zoom Phone), les clés cryptographiques ne sont connues que des appareils des participants. L’activation de cette fonction ajoute une couche supplémentaire de protection pour vous aider à communiquer facilement via ces différentes solutions Zoom, bien que certaines fonctionnalités de Zoom soient limitées. 

Pour en savoir plus sur le chiffrement dans la plateforme Zoom Workplace, cliquez ici.

De plus, notre nouvelle fonctionnalité E2EE post-quantique peut vous aider à protéger vos données, aussi bien aujourd’hui que demain. Cette couche avancée de chiffrement est conçue pour protéger vos données Zoom Meetings, Zoom Phone et Zoom Rooms actuelles et pour les protéger contre les menaces potentielles sans précédent que seuls les ordinateurs quantiques peuvent générer.

La cybersécurité n’est pas réservée à nos seules équipes informatiques ou de sécurité. Nous attendons de tous les Zoomies qu’ils soient sensibilisés à la cybernétique et nous avons mis en place de nombreuses initiatives et ressources pour former nos employés à la protection contre les cybermenaces.

Nos programmes de formation et de sensibilisation à la sécurité vont au-delà des principes de base et sont spécialement conçus pour créer des expériences mémorables pour les employés afin de renforcer les compétences et les connaissances importantes acquises tout au long de l’année. Voici quelques-unes de ces activités :

• Campagnes mensuelles de sensibilisation à la cybersécurité et communications sur des sujets pertinents et d’actualité
• Formation annuelle à la sécurité de l’information sur des sujets tels que le phishing, la réponse aux incidents, les politiques, les menaces/attaques, etc. 
• Apprentissages basés sur les rôles pour certains employés, tels que ceux disposant de certains privilèges, d’un accès à l’écriture ou à l’édition de code
• Simulations de phishing en continu avec retour immédiat à l’utilisateur, renforcement des connaissances et ludification intégrée.
• Microformation spécifique sur divers sujets, certifications et exigences de conformité 
• Programme d’ambassadeurs de la sensibilisation à la sécurité comprenant des membres d’équipes interfonctionnelles qui discutent des problèmes de sécurité actuels, font des retours, diffusent des informations et transmettent les messages à destination de leurs équipes et de leurs services.

Outre nos programmes internes de sécurité des employés, nous supervisons également diverses initiatives au sein de nos grandes communautés pour nous aider à atténuer les risques, à encourager l’innovation et à continuer d’améliorer nos services :

• Programme de recherche d’erreur : Nous travaillons avec (et payons !) des chercheurs en sécurité pour trouver et signaler correctement les vulnérabilités potentielles dans Zoom afin que nous puissions résoudre les problèmes avant qu’ils ne se répandent.
• Renseignements sur les menaces : Nous recherchons les Zoom Meetings accidentellement publiées dans des lieux publics et nous informons nos clients sur la manière de se protéger contre les intrusions dans Zoom.
• Gestion des vulnérabilités : Nous analysons constamment nos systèmes afin de les maintenir à jour grâce à des mises à jour rapides et réactives.
• Parrainage de HackerOne : Nous avons parrainé et participé à des événements HackerOne. Ceux-ci nous donnent l’occasion de collaborer avec des hackers éthiques talentueux du monde entier et de travailler ensemble à l’amélioration de la sécurité de notre plateforme. 

L’obtention de nos nombreuses certifications et attestations nécessite un engagement permanent pour garantir que nos produits et services répondent à des normes strictes en matière de sécurité et de confidentialité. Nous avons l’honneur de voir nos produits reconnus par de nombreuses organisations parmi les plus importantes au monde et d’obtenir des certifications dans des domaines tels que.. : 

• Confidentialité et cloud computing 
• Cadre de confidentialité des données
• Contrôles de sécurité et de conformité
• Normes de sécurité établies par plusieurs gouvernements au niveau mondial
• Conformité PCI

Consultez la liste complète des attestations, certifications et normes Zoom.

Comme le dit l’adage, c’est en forgeant qu’on devient forgeron. C’est pourquoi nous faisons constamment évoluer nos mesures de sécurité et nos produits pour permettre à nos employés et à nos clients de communiquer et de collaborer plus librement. En fournissant à nos employés et à nos clients les ressources et la formation continue nécessaires, nous pouvons envisager un avenir où les cyberattaques seront moins nombreuses et où l’environnement en ligne sera plus sûr. 

Restez informé de toutes nos nouveautés en matière de sécurité et de confidentialité dans notre Centre de confiance.