Les intrusions dans des visioconférences exposent des informations sensibles et peuvent parfois avoir de nombreuses répercussions selon les secteurs (intérêts économiques, sécurité nationale, enjeux diplomatiques…). Dernière preuve en date avec la fuite d’informations d’une visioconférence WebEx. Voici les principaux types de réunions en ligne à sécuriser en priorité et les précautions à prendre.
Comités de direction à distance
Ce type de réunions en ligne implique la présence de cadres supérieurs, de managers et de membres de la direction générale. Il s’agit d’un rendez-vous clé dans la vie d’une entreprise, qui peut faire l’objet d’espionnage.
L’utilisation d’une solution de visioconférence avec une technologie de chiffrement de bout en bout est donc indispensable. Cependant, celle-ci doit proposer un chiffrement de bout en bout de client à client, c’est-à-dire sans aucune phase de déchiffrement des flux de communication au niveau des serveurs de communication. Ainsi, les échanges audio, vidéo et data demeurent inaccessibles à des personnes extérieures.
Optez pour une « sécurité augmentée »
En plus de cette technologie de chiffrement de bout en bout, Tixeo propose une fonctionnalité de sécurité augmentée : lors d’une réunion en ligne, les participants peuvent renseigner un code secret, préalablement choisi entre eux, afin d’entrer dans un tunnel de communication hautement sécurisé et invisible pour toute autre personne.
Réunions en ligne budgétaires
Les visioconférences abordant des informations financières, avec des participants habilités à réaliser des transactions, sont particulièrement ciblées par des attaques. Récemment, l’arnaque au président via deep fake vidéo et audio lors d’une visioconférence a visé une employée du service financier d’une multinationale hong-kongaise. L’utilisation malveillante de l’IA lors de cette attaque l’a rendue parfaitement efficace.
Ainsi, toutes réunions sur des contrats, des prévisions budgétaires, des résultats financiers ou des audits doivent bénéficier de la plus haute protection. L’organisateur doit contrôler attentivement l’accès des participants à sa réunion en ligne.
Contrôlez l’accès des participants
Avec Tixeo, après s’être connectés au logiciel via leur compte utilisateur sécurisé, les participants envoient une demande de participation à la réunion. Ils patientent alors dans une salle d’attente virtuelle. En parallèle, l’organisateur vérifie leur demande et l’approuve ou la refuse. Il peut alors procéder à une vérification de l’identité via un appel téléphonique et/ou le partage d’une phrase secrète. Ainsi, la vérification d’identité a lieu en amont, avant l’entrée du participant dans la réunion, et non tardivement pendant l’échange. Les discussions stratégiques sont donc préservées de toute infiltration externe.
En savoir plus sur la visioconférence sécurisée pour la Finance
Réunions en ligne de R&D (Recherche et Développement)
Dans ce type de réunions en ligne circulent des informations sensibles sur des technologies, des innovations ou encore des brevets techniques. Au sein de secteurs stratégiques comme l’industrie ou l’énergie, ces informations constituent le potentiel scientifique et technique de la nation. Elles doivent être protégées efficacement de l’espionnage.
Seul rempart : une véritable technologie de chiffrement de bout en bout et le choix d’une solution de visioconférence souveraine.
Choisir une solution de visioconférence souveraine
Pour éviter la fuite d’informations sensibles, les entreprises doivent choisir une solution de visioconférence sécurisée mais surtout souveraine.
En effet,la plupart des applications collaboratives hébergent leurs données en dehors du territoire européen et sont alors soumis à des lois extraterritoriales souples en matière de protection des données.
C’est le cas du Cloud act aux Etats-Unis. Cette série de lois extraterritoriales permet aux autorités américaines de contraindre les éditeurs situés sur le territoire américain, à fournir les données relatives aux communications électroniques, stockées sur des serveurs américains ou étrangers. Les communications d’entreprise relatives à la R&D doivent donc absolument se tenir sur un logiciel de visioconférence conforme au RGPD, pour éviter toute fuite d’informations.
Tixeo est par ailleurs la seule solution de visioconférence sécurisée à être certifiée et qualifiée par l’ANSSI depuis 6 années consécutives.
Réunions en ligne avec des collaborateurs externes
Les réunions en ligne impliquant des fournisseurs, des clients ou des partenaires exposent des informations sensibles (informations contractuelles, données clients, budgets…). La vigilance est de mise concernant la protection des visioconférences. La solution déployée et utilisée par les deux parties doit absolument être sécurisée, afin de prévenir toutes compromissions de données.
Sous-traitants, fournisseurs : des intermédiaires particulièrement visés
Les cyberattaques de sous-traitants ou fournisseurs travaillant auprès d’organisations stratégiques sont fréquentes. En effet, généralement, ces intermédiaires possèdent des informations sensibles, sans pour autant bénéficier d’un niveau de cybersécurité suffisant. Ils deviennent ainsi des cibles idéales. Cette vigilance concerne d’autant plus les secteurs de la Défense et de l’Industrie, qui collaborent avec de nombreux partenaires.
Dans son panorama de la cybermenace 2023, l’ANSSI indique avoir traité « la compromission d’équipements réseau d’un opérateur, conduite au moyen d’un MOA [maître de l’ouvrage] lié à un acteur étatique, dans un but probable d’espionnage de télécommunications ».
L’Agence rappelle ainsi qu’il est nécessaire que « les opérateurs soient particulièrement attentifs à cesser l’utilisation de protocoles d’administration faibles, tandis que leurs clients ne peuvent faire l’hypothèse d’une sécurité par défaut et doivent s’assurer du chiffrement de bout en bout de leurs communications transitant, même partiellement, via des protocoles non sécurisés ».
Réunions en ligne de gestion de crise
En cas de cyberattaque, les équipes IT et de gestion de crise ont besoin de rester en contact. C’est le cas aussi des collaborateurs qui doivent garantir la continuité de l’activité. Au sein des administrations publiques, l’outil de communication d’urgence permet d’assurer la continuité du service public. Pour cela, une solution de visioconférence sécurisée pouvant fonctionner en dehors des réseaux traditionnels est nécessaire.
En savoir plus sur la visioconférence sécurisée pour les administrations publiques
Optez pour des communications out-of-band
La visioconférence sécurisée Tixeo en version on-premise est déployée sur un serveur dédié de l’entreprise. Son déploiement se fait sans impact sur la politique de sécurité du réseau général. En cas de crise, Tixeo peut ainsi fonctionner sans connexion internet, de façon isolée sur l’infrastructure de l’entreprise. Cela permet un usage interne uniquement : les équipes peuvent donc poursuivre leurs échanges en toutes conditions.
De plus, choisir un logiciel de visioconférence sécurisé on-premise limite la dépendance technologique de l’organisation à des prestataires externes. Elle améliore ainsi le contrôle de sa politique de sécurité et renforce sa souveraineté.
Autre précaution à prendre pour sécuriser les réunions en ligne
Se connecter sur un réseau sécurisé
Outre la sécurité du logiciel de visioconférence, la connexion Internet utilisée pour les réunions en ligne doit être parfaitement sécurisée afin de limiter les risques de vol de données. L’utilisation d’un VPN robuste renforce la protection de la connexion mais ne constitue jamais une barrière infranchissable pour les cyberattaquants.
Les récentes fuites de l’armée allemande en visioconférence sont d’ailleurs dues, selon les premiers résultats de l’enquête, à une connexion non autorisée d’un des participants à la réunion en ligne.