Rapport du PDG : 90 jours passés, quelle est la prochaine étape pour Zoom

Rapport du PDG : 90 jours passés, quelle est la prochaine étape pour Zoom

Au cours des premiers mois de 2020, l’équipe de Zoom a travaillé 24 heures sur 24 pour soutenir l’afflux considérable de nouveaux et différents types d’utilisateurs sur notre plate-forme. La demande soudaine et accrue sur nos systèmes s’est avérée différente de tout ce que la plupart des entreprises avaient jamais connu jusqu’à maintenant. À la fin du mois de mars, nous avons réalisé que notre mission – plutôt singulière – consistant à de fournir des communications vidéo cohérentes à des centaines de millions de participants aux réunions tous les jours se devait de mettre également l’accent sur la sécurité et la confidentialité – des domaines dans lesquels nous devions faire plus. 

Le 1er avril 2020, nous nous sommes engagés à apporter un certain nombre d’améliorations pour assurer la sécurité et la confidentialité. Le programme de 90 jours que nous avons déployé ce jour-là a recentré notre entreprise sur 7 engagements qui ont introduit, de manière permanente, la sécurité et la confidentialité en permanence dans l’ADN de Zoom. Aujourd’hui, j’aimerais faire le point sur chacun de ces engagements et partager notre chemin à suivre. 

Engagement n° 1 : mettre en place un gel des fonctionnalités à compter du 1er avril et déplacer toutes nos ressources d’ingénierie pour se concentrer sur nos plus grands problèmes de confiance, de sécurité et de confidentialité.

Statut : nous avons décrété un gel de 90 jours sur toutes les fonctionnalités non liées à la confidentialité, à la sûreté ou à la sécurité. Avec toutes nos ressources d’ingénierie et de produits orientées dans cette direction, nous avons publié plus de 100 fonctionnalités, dont les suivantes :

  • Zoom 5.0
    • Chiffrement GCM AES 256 bits activé pour toutes les réunions (disponible pour tous les utilisateurs, gratuit et payant). Pour plus d’informations, veuillez consulter https://support.zoom.us/hc/en-us/articles/360043555772
    • Mises à jour de l’interface utilisateur – Icône Sécurité, bouclier de Chiffrement vert avec clic sur l’emplacement du centre de données
    • Signaler un utilisateur
    • Paramètres de réunion par défaut – code d’accès, salle d’attente et partage d’écran limité
    • Autres fonctionnalités – l’hôte désactive la connexion de plusieurs appareils, réactive le consentement, l’expiration des enregistrements sur le cloud, contrôles Zoom Chat plus sévères, etc.
  • Acquisition de Keybase et création d’un chiffrement (pour tous les utilisateurs, gratuit et payant)
  • Routage de données personnalisé par zone/pays offert

Pour l’avenir, nous avons mis en place des mécanismes pour nous assurer que la sécurité et la confidentialité restent une priorité dans chaque phase de développement de nos produits et fonctionnalités :

  • Phase de conception : exigences de sécurité, évaluation des risques, modélisation des menaces 
  • Construction : directives de code sécurisé, analyse en libre-service, outils CI/CD
  • Test : tests de sécurité, exécution de tests automatisés, outils de test Web
  • Étape : configuration sécurisée, surveillance de l’intégrité, validation des exigences
  • Production : surveillance de la sécurité de notre système, de sa santé, du paysage des menaces 

Engagement n° 2 : effectuer un examen complet avec des experts tiers et des utilisateurs représentatifs pour comprendre et garantir la sécurité et la confidentialité de tous nos nouveaux cas d’utilisation.

Statut : nous avons travaillé avec un groupe d’experts tiers pour examiner et apporter des améliorations à nos produits, pratiques et politiques, notamment notre conseil consultatif des RSSI, Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Center for Democracy and Technology et d’autres organisations dans les domaines de la confidentialité, de la sécurité et de l’inclusion. Les contributions de tous ceux qui figurent sur cette liste ont été formidables et nous leurs sommes très reconnaissants de leur aide. 

Engagement n° 3 : préparer un rapport de transparence qui détaille les informations relatives aux demandes de données, d’enregistrements ou de contenu.

Statut : nous avons réalisé des progrès significatifs concernant la définition du cadre et de l’approche d’un rapport de transparence qui détaille les informations liées aux demandes que Zoom reçoit à propos des données, des enregistrements ou du contenu. Nous prévoyons de communiquer au cours de cette année les données du deuxième trimestre de l’exercice dans notre premier rapport. Entre-temps, nous avons récemment créé un guide sur la façon dont nous répondons aux demandes du gouvernement. Nous avons également mis à jour nos politiques de confidentialité, principalement pour les rendre plus faciles à comprendre, et y avons ajouté un énoncé séparé dans le cadre du California Privacy Act. Vous trouverez ces documents sur zoom.com/privacy-and-legal.

Engagement n° 4 : améliorer notre programme actuel de recherche d’erreur.

Statut : nous avons développé un Référentiel de bogues centralisé et les processus de flux de travail qui leur sont associés. Ce référentiel réceptionne les rapports de vulnérabilité auprès de HackerOne, Bugcrowd et security@zoom.us (ce dernier ne nécessitant pas de AND) dispatchés via Praetorian. Nous avons mis en place un processus de révision en continu avec des réunions quotidiennes et amélioré notre coordination avec des chercheurs spécialisés en sécurité et des évaluateurs tiers. Nous avons également embauché un responsable du Programme de recherche d’erreur et de vulnérabilité, plusieurs ingénieurs appsec supplémentaires, et sommes en train d’embaucher plus d’ingénieurs en sécurité, tous dédiés à la résolution des vulnérabilités. En attendant, nous nous concentrons sur l’amélioration de nos temps de réponse. Dans l’ensemble, notre processus de recherche d’erreur est solide et le sera plus encore – uniquement – au fur et à mesure que nous atteignons nos objectifs de recrutement. Nous sommes reconnaissants à Luta Security pour son aide dans ce processus.

Engagement n° 5 : lancer un conseil des RSSI en partenariat avec les principaux intervenants des RSSI du secteur pour faciliter un dialogue permanent sur les meilleures pratiques en matière de sécurité et de confidentialité.

Statut : nous avons lancé notre conseil des RSSI, composé de 36 intervenants des RSSI de divers secteurs, dont SentinelOne, l’Arizona State University, HSBC et Sanofi. Ce conseil, dirigé par notre DSI adjoint Gary Sorrentino, s’est réuni quatre fois au cours des trois derniers mois et a donné des conseils sur des sujets importants tels que la sélection des centres de données par zone/pays, le chiffrement, l’authentification des réunions et des fonctionnalités telles que Signaler un utilisateur, les codes d’accès et les salles d’attente. Le conseil s’est avéré être un tel succès, nous étendrons ce programme avec des tables rondes de RSSI – des discussions interactives entre les clients RSSI et nos chefs d’équipe de sécurité pour comprendre les mesures que Zoom a prises et prendra à l’avenir pour assurer la sécurité et la confidentialité de notre plate-forme. Les RSSI et DSI intéressés pourront demander plus d’informations à leur chargé de compte Zoom.  

Engagement n° 6 : lancer une série de tests de pénétration simultanés en boîte blanche pour identifier et résoudre les problèmes.

Statut : Zoom a engagé plusieurs entreprises – Trail of Bits, NCC Group et Bishop Fox – pour examiner l’ensemble de notre plate-forme. Leur champ d’interventation a couvert les domaines suivants :

  • Environnement de production Zoom, les centres de données à la fois publics et colocalisés : 
    • Configuration du cloud
    • Espace IP externe
    • Réseau de production interne
  • Application Web Zoom principale et réseau d’entreprise Zoom :
    • Réseau interne
    • Périmètre externe
  • API publique pour les clients classiques
    • Clients mobiles
    • Clients de bureau

Zoom s’engage à continuer à effectuer des tests de pénétration tiers, à la base de son programme de sécurité. 

Engagement n° 7 : organiser un webinaire hebdomadaire le mercredi pour fournir des mises à jour de confidentialité et de sécurité à notre communauté.

Statut : le webinaire d’aujourd’hui inclus, nous avons organisé un total de 13 de ces webinaires, tous les mercredis depuis le 1er avril. Ces événements virtuels ont accueilli un certain nombre de nos dirigeants et consultants qui ont répondu en direct aux questions des participants. Nous avons également partagé un récapitulatif et un enregistrement des webinaires sur notre blog tous les mercredis. Nous continuerons ces webinaires, le prochain aura lieu le 15 juillet, puis passerons à une cadence mensuelle. 

Autres mises à jour majeures

Nous avons pris d’autres mesures dignes d’être soulignées :

  • Nous avons embauché plusieurs personnes ou apporté plusieurs changements importants en termes de leadership depuis le 1er avril, notamment : 
    • Velchamy Sankarlingam, président de Product and Engineering 
    • Jason Lee, responsable de la sécurité des systèmes d’information
    • Damien Hooper-Campbell, Chief Diversity Officer
    • Aparna Bawa a été nommée directrice des opérations et supervise désormais les efforts de sécurité de Zoom
    • Lynn Haaland, directrice générale adjointe et responsable de la conformité et de l’éthique, a également été nommée Responsable de la protection de la vie privée
    • H.R. McMaster a rejoint le conseil d’administration de Zoom
    • Josh Kallmer, responsable des politiques publiques et des relations avec les gouvernements 
    • Ginny Lee, avocate générale associée, Confidentialité 
    • Mara Davis, avocate générale associée, conformité et éthique
    • Responsable du programme de prime pour la découverte d’erreurs et des vulnérabilités (« bug bounty »), commence le 13/7
    • Andy Grant, responsable de la sécurité offensive, commence le 13/7
  • Ajout de Zoom Phone à Zoom for Government, déjà autorisé dans le cadre du programme américain U.S. Federal Risk and Authorization Management Program (FedRAMP)
  • Nous sommes déterminés à accroître de manière significative notre équipe d’ingénierie basée aux États-Unis pour prendre en charge l’utilisation accrue avec de nouveaux bureaux basés à Phoenix, en Arizona et à Pittsburgh, en Pennsylvanie.

Quels sont nos prochains objectifs ?

Cette période a apporté des changements significatifs dans notre entreprise et a placé la sécurité, la confidentialité et la sécurité de notre plate-forme au cœur de tout ce que nous faisons, alors que nous nous efforçons d’être dignes de la confiance que nous accordent nos clients. Je suis fier et honoré du rôle que Zoom a joué dans la connexion de ce monde en crise et de tout ce que notre équipe a accompli ces 90 derniers jours pour mieux sécuriser notre plate-forme. 

Mais nous ne pouvons pas et ne nous arrêterons pas là. La confidentialité et la sécurité sont des priorités permanentes pour Zoom, et cette période – bien que fructueuse – n’a été qu’une première étape. Tout au long de ce rapport, j’ai communiqué un certain nombre d’informations sur les nouveaux processus et les personnes susceptibles d’aider Zoom sur son parcours visant à devenir la plate-forme de communication vidéo la plus fluide et la plus sécurisée au monde.

Merci à nos utilisateurs pour votre soutien, votre patience et votre confiance. Notre valeur fondamentale en tant qu’entreprise est de veiller au bien-être de nos clients, et nous espérons que nous l’avons montré à travers nos actions ces 90 jours – et continuerons de le montrer à travers nos actions futures.

Télécharger un résumé PDF de nos principales mises à jour

N’oubliez pas de partager cet article