La sécurité au Royaume-Uni : certifications, fonctionnalités et programmes destinés à protéger les organisations

Chez Zoom, les attestations et normes tierces font partie intégrante des fondements de notre programme de sécurité. Nous avons récemment ajouté à notre liste de certifications et de normes reconnues par l’industrie, les normes ISO/IEC 27001:2013, SOC 2 + HITRUST et Critères Communs et nous venons également d’obtenir la certification Cyber Essentials Plus Royaume-Uni. En plus de ces accomplissements, nous avons œuvré pour nous aligner sur la Digital Technology Assessment Criteria (critère d’évaluation de technologie numérique) du NHS et sur la norme DCB0129.

Cyber Essentials Plus Royaume-Uni

Cyber Essentials Plus est un schéma de certification soutenu par le gouvernement britannique et par l’industrie conçu pour aider les entreprises à faire preuve de sécurité opérationnelle face aux cybermenaces courantes.

L’obtention par Zoom de la certification Cyber Essentials Plus témoigne de notre engagement envers le Royaume-Uni. En effet, en adoptant ce schéma de sécurité, nous donnons à la clientèle locale la possibilité d’évaluer la sûreté de nos systèmes informatiques.

Adapter nos services à l’utilisation par le NHS

Afin de soutenir le NHS (système de sécurité sociale britannique) dans ses efforts pour fournir aux patients des soins efficaces et sécurisés à l’aide du numérique, nos services sont désormais conformes au DTAC et à la norme DCB0129, avec la mise en place d’une boîte à outils DSP (Data Security and Protection).

• DTAC : le DTAC permet de garantir au personnel et aux patients que les outils de santé numériques qu’ils utilisent, comme Zoom, respectent les normes en matière de sécurité clinique, de protection des données, de sécurité technique, d’interopérabilité, de facilité d’utilisation et d’accessibilité. Les organismes de santé peuvent s’appuyer sur ce critère pour évaluer les fournisseurs au moment de l’approvisionnement ; l’objectif étant de s’assurer que les nouvelles technologies numériques respectent bien les normes minimales de référence.

• DCB0129: la DCB0129 est une norme de gestion des risques cliniques qui permet aux fabricants de logiciels dans le domaine de la santé d’attester la sécurité clinique de leurs produits. Cette norme fournit également un ensemble d’exigences dûment structuré pour assurer la bonne mise en pratique de la gestion des risques cliniques.

• Boite à outils DSP : nous avons également mis en place une boîte à outils DSP. Il s’agit d’un outil d’auto-évaluation en ligne grâce auquel les entreprises peuvent mesurer leurs performances par rapport aux dix normes de sécurité National Data Guardian. Toutes les entreprises qui ont accès aux données des patients et aux systèmes du NHS doivent utiliser cette boîte à outils pour garantir qu’ils contribuent à la bonne sécurité des données et que les informations personnelles sont traitées de manière convenable.

Grâce à ces initiatives, nous espérons apporter notre soutien au personnel du NHS en leur fournissant les outils dont ils ont besoin pour assurer des soins efficaces à l’aide du numérique et pour protéger les données essentielles des patients. 

Que vous utilisiez la plateforme Zoom pour l’enseignement ou l’apprentissage virtuels, pour des rendez-vous de télésanté avec vos professionnels de santé habituels ou pour entamer un dialogue avec les citoyens en tant qu’organisme gouvernemental, nous avons élaboré des fonctionnalités uniques de sécurité et de confidentialité dans le but de protéger vos précieuses informations. Bien que ces fonctionnalités aient été conçues pour chaque client Zoom qui est en mesure de les activer, elles sont d’autant plus utiles pour les utilisateurs britanniques qui souhaitent avoir une meilleure maîtrise de leurs données. Elles permettent par exemple :

Le contrôle de l’acheminement des données : les titulaires et administrateurs de comptes payants ont la possibilité de configurer les data centers qui traiteront leurs données en transit de réunion et de webinaire ou, en d’autres termes, les données activement transférées d’un lieu vers un autre via Internet. Vous pouvez inclure ou exclure les data centers de chacune des régions pour les données en transit, à l’exception de la région par défaut associée à votre compte, pour laquelle nous disposons de l’option européenne. Cela vous donne un contrôle accru sur vos flux de données. Exclure les data centers de certaines régions peut limiter les options pour les participants qui se connecteraient depuis ces régions.

Le chiffrement de bout en bout (E2EE) : lorsqu’elle est activée, cette fonctionnalité utilise le chiffrement 256-bit AES-GCM mis en œuvre pour prendre en charge la version standard de Zoom Meetings, afin de chiffrer la communication entre tous les participants à une réunion à l’aide de Zoom Desktop Client. La différence est que les clés cryptographiques ne sont connues que des appareils des participants à la réunion. Ainsi, les tiers, Zoom y compris, ne peuvent pas accéder aux clés privées de la réunion. Notre offre de chiffrement de bout en bout (E2EE) sera également étendue cette année à Zoom Phone pour les appels téléphoniques individuels et intra-compte qui sont passés depuis Zoom Desktop Client. 

Le chiffrement avancé du chat : cette fonctionnalité du Zoom Chat permet de sécuriser la communication de façon à ce que seul le destinataire puisse lire le message sécurisé. Une fois la fonctionnalité activée par les administrateurs de comptes, les utilisateurs peuvent l’utiliser lorsqu’ils communiquent des informations particulièrement sensibles dans le chat individuel ou dans un groupe de discussion. Lorsque le chiffrement avancé du chat est activé, les données au repos sont chiffrées par des clés générées et exploitées sur les appareils des participants au chat. Les données de chat en transit sont toutefois chiffrées à l’aide du chiffrement Sécurité de la couche de transport (TLS, Transport Layer Security).

Afin de satisfaire les besoins croissants de notre base de clientèle mondiale, Zoom a créé des programmes qui font appel à l’expertise et aux compétences du monde entier pour alimenter l’innovation en matière de sécurité et repérer les potentielles menaces. Voici quelques-uns de ces programmes :

Conseil des RSSI : dans le but de favoriser une boucle de rétroaction stratégique pour les innovations à venir en matière de sécurité et de confidentialité, nous organisons régulièrement des réunions du Conseil des RSSI, qui est composé de plusieurs dizaines d’intervenants des RSSI issus de divers secteurs à travers le monde et dont notre vice-DSI mondial Gary Sorrentino est à la tête. Ces discussions interactives entre les clients RSSI et nos chefs d’équipe en matière de sécurité permettent d’annoncer les mesures que nous prenons, afin de continuer à faire progresser la sécurité et la confidentialité de notre plateforme.

Amélioration de notre programme de recherche d’erreur : bien que l’équipe Zoom chargée de la sécurité teste régulièrement nos solutions et infrastructures, nous intensifions ces tests grâce à l’utilisation de la communauté de pirates informatiques « à chapeaux blancs » et à la mise en place d’une équipe mondiale de chercheurs qualifiés dans le domaine de la sécurité via la plateforme Private Bug Bounty (« Programme privé de recherche d’erreur ») d’HackerOne. Depuis le mois de janvier 2022, Zoom a recruté plus de 800 chercheurs dans le domaine de la sécurité sur la plateforme d’HackerOne. Leur travail collectif a entraîné le signalement d’un grand nombre de bogues et la remise de nombreuses récompenses par la suite.

Notre dévouement envers ces normes britanniques, de même que l’évolution continue de nos produits et programmes, montrent bien notre engagement pour la protection des données et la sécurité des utilisateurs.

Notre expérience en matière de communications unifiées est conçue autour de la sécurité. La sûreté, la sécurité et la confidentialité de nos utilisateurs orientent les nouvelles mises à jour que nous réalisons sur la plateforme. Nous sommes engagés à être une plateforme en laquelle les utilisateurs peuvent faire confiance pour leurs interactions, leurs informations et leurs activités.

Pour en savoir plus sur la confidentialité et la sécurité de Zoom, explorez notre Trust Center.