Recevez chaque jour toute l'actualité du numérique

x

Chiffrement, audits, stockage des données... Slack renforce sa sécurité

Slack, qui se présente toujours comme une alternative aux emails, renforce la sécurité de son service de discussion de groupe. Chiffrement étendu à plus de fonctionnalités, vérification des organisations pour limiter les tentatives d'ingénierie sociale, mises à jour obligatoires de l'application... Autant de mesures avec lesquelles il cherche à se démarquer de la concurrence.
Twitter Facebook Linkedin Flipboard Email
×

Chiffrement, audits, stockage des données... Slack renforce sa sécurité
Chiffrement, audits, stockage des données... Slack renforce sa sécurité © Unsplash / Pankaj Patel

Les applications de travail collaboratif ont vu leur utilisation décuplée suite aux mesures de distanciation sociale mises en place pour mitiger la pandémie de Covid-19. Un nouveau paradigme qui s'accompagne d'une recrudescence de cyberattaques. Pour y faire face, Slack annonce une série de nouvelles fonctionnalités de sécurité et de conformité.

Le chiffrement étendu à plus de fonctionnalités
Elles permettent notamment de mieux sécuriser la collaboration inter-entreprises dans Slack, avec la possibilité de chiffrer les messages dans Slack Connect. Dans ce mode, jusqu'à 20 organisations différentes peuvent accéder à un même canal. Ces discussions n'étaient auparavant pas protégées, mais chaque entreprise pourra bientôt chiffrer les messages de ses membres avec ses propres clés. "Le système sait quel auteur écrit quel message et choisit automatiquement quelle clé utiliser", commente Larkin Ryder, Chief Security Officer chez Slack.

Pour rappel, le système de gestion de clé de Slack s'appuie sur AWS. Le client autorise Slack à accéder à ses clés et peut lui révoquer l'accès quand il le souhaite. "Nous ne pouvons pas faire de chiffrement de bout-en-bout étant donné le fonctionnement de Slack, mais nous restreignons le chiffrement et déchiffrement à un seul système qui n'a pas de droits administrateur, et les clés ne peuvent pas quitter cet environnement spécifique," précise la CSO.

Le chiffrement est également étendu à la fonctionnalité Workflow Builder, qui permet de créer des formulaires sans avoir besoin de coder, par exemple pour envoyer des tickets à un helpdesk. "Nous pouvons désormais chiffrer non seulement les données émanant de Workflow Builder, mais aussi les formulaires eux-mêmes, chacune des étapes du workflow, et les canaux de destination," détaille Larkin Ryder.

Côté réglementaire, Slack offrira aussi bientôt la possibilité pour les entreprises de choisir où seront stockées leurs clés de chiffrement, en plus de leurs données. Il propose plusieurs pays de stockage outre les Etats-Unis : la France, l'Allemagne, le Royaume-Uni, le Japon, l'Australie et le Canada. Si l'annulation du Privacy Shield en Europe n'a pas été une bonne nouvelle pour l'entreprise, elle peut toujours s'appuyer sur des clauses contractuelles pour servir ses clients européens.

Pour certains secteurs comme la finance, qui nécessitent que certaines branches d'une même entreprise ne puissent pas communiquer entre elles, Slack prépare une fonction baptisée "information barriers", qui sera disponible d'ici la fin de l'année.
 


Des mesures de sécurité contre l'ingénierie sociale et la négligence
L'un des éternels risques de sécurité tient à l'ingénierie sociale, c'est-à-dire le fait de tromper quelqu'un pour obtenir accès à un système. C'est notamment la cause du piratage récent de centaines de comptes Twitter. Pour mitiger ces risques, Slack travaille sur la capacité de vérifier la légitimité des comptes Slack. L'idée est d'avoir une icone quelque part indiquant qu'une organisation est bien qui elle prêtant être pour éviter qu'un individu ne se fasse avoir et divulgue ses identifiants ou d'autres informations confidentielles. Slack se chargera lui-même de cette vérification.

Une autre source classique de vulnérabilité est le fait de ne pas faire de mises à jour. La plupart des compromissions se font en effet à l'aide de vulnérabilités qui ont déjà été corrigées, parfois des années auparavant. Les administrateurs Slack ont désormais la possibilité de forcer une version minimum de l'application, soit immédiatement, soit avec un délai de 72 heures. "Ce que j'essaie de faire au quotidien, c'est de durcir autant que possible la sécurité par défaut de notre produit, tout en laissant aux entreprises le choix d'activer ou pas des fonctionnalités qui rajoutent de la friction pour les utilisateurs, comme l'authentification multifacteurs," explique Larkin Ryder.

D'ailleurs Slack est désormais compatible avec le logiciel de gestion de flotte Microsoft InTune, en plus des solutions existantes comme MobileIron et Airwatch.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.