Rapport du PDG : fin des 90 jours, quelle est la suite pour Zoom ?

Rapport du PDG : fin des 90 jours, quelle est la suite pour Zoom ?

Au cours des premiers mois de 2020, l’équipe Zoom a travaillé dur pour faire face à l’afflux considérable de nouveaux types d’utilisateurs différents sur notre plateforme. Cette soudaine demande accrue pour nos systèmes s’est avérée inédite, aucune entreprise n’avait jamais connu un tel phénomène. Fin mars, nous avons observé que notre mission singulière de mise à disposition de communications vidéo fluides à des millions de participants à des réunions tous les jours devait se concentrer tout autant sur la sécurité et que sur la confidentialité, des domaines dans lesquels nous devions aller plus loin.

Le 1er avril 2020, nous nous sommes engagés à apporter un certain nombre d’améliorations pour répondre à ces besoins de sécurité et confidentialité. Le programme à 90 jours que nous avons déployé à cette date a recentré notre entreprise sur 7 engagements qui intègrent en permanence la sécurité et la confidentialité à l’ADN de Zoom. Aujourd’hui, j’aimerais vous parler de l’évolution de chacun de ces engagements, et vous expliquer ce que nous allons mettre en place à l’avenir.

Engagement n° 1 : Mise en place, à partir du 1er avril, d’un arrêt temporaire du développement de certaines fonctionnalités et une concentration de toutes nos ressources techniques sur nos plus grands problèmes de fiabilité, de sécurité et de confidentialité.

Situation : Nous avons activé un « gel », pendant 90 jours, de notre travail sur toutes les fonctionnalités non liées à la confidentialité ou la sécurité. Toutes nos ressources d’ingénierie et de création de produits allant dans ce sens, nous avons lancé plus de 100 nouvelles fonctionnalités, notamment :

  • Zoom 5.0
    • Chiffrement AES 256 GCM (disponible pour tous les utilisateurs, gratuits et payants)
    • Mises à jour de l’IU – icône de sécurité, bouclier de chiffrement vert avec emplacement du centre de données en un clic
    • Signaler un utilisateur
    • Options par défaut pour les réunions – mot de passe, salle d’attente et partage d’écran limité
    • Autres fonctionnalités – désactivation de la connexion sur plusieurs appareils par l’hôte, consentement au rétablissement du son, expiration de l’enregistrement sur le cloud, contrôles Zoom Chat renforcés, et bien plus encore
  • Acquisition de Keybase et conception de notre chiffrement de bout en bout (pour tous les utilisateurs, gratuits et payants)
  • Solution d’acheminement personnalisé des données en fonction de la région géographique

Nous avons mis en place des mécanismes visant à nous assurer que la sécurité et la confidentialité restent une priorité au cours de chaque phase du développement de nos produits et fonctionnalités.

  • Phase de conception : Exigences de sécurité, évaluation des risques, modélisation des menaces
  • Construction : Principes du code de sécurité, scanner en libre-service, outils CI/CD
  • Test : Test de sécurité, exécution automatisée du test, outils de test sur le web
  • Organisation : Configuration sécurisée, contrôle de l’intégrité, validation des exigences
  • Production : Contrôle de la sécurité de notre système, solidité du système, environnement de menaces

Engagement n° 2 : Exécution d’une analyse complète, avec l’aide d’experts tiers et d’utilisateurs représentatifs, afin de comprendre et garantir la sécurité et la confidentialité dans tous nos nouveaux scénarios d’utilisation.

Situation : Nous avons collaboré avec un groupe d’experts tiers pour examiner et apporter des améliorations à nos produits, pratiques et politiques, notamment notre conseil consultatif des RSSI, Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Center for Democracy and Technology, et d’autres organisations évoluant dans les domaines de la confidentialité, la sécurité et l’inclusion. Les contributions de chacune des personnes sur cette liste se sont avérées essentielles, et nous leur sommes très reconnaissants pour leur aide.

Engagement n° 3 : Préparation d’un rapport sur la transparence qui fournira des informations détaillées sur les demandes de données, d’enregistrements ou de contenus.

Situation : Nous avons réalisé des progrès importants dans la définition du cadre et de l’approche nécessaires pour établir un rapport de transparence qui détaille des informations sur les demandes que Zoom reçoit en matière de données, archives ou contenu. Nous nous réjouissons de communiquer les données fiscales du deuxième trimestre dans notre premier rapport de cette année. Dans l’intervalle, nous avons publié récemment un guide de réponse aux demandes gouvernementales. Nous avons également actualisé nos politiques de confidentialité, afin qu’elles soient plus faciles à comprendre, et avons ajouté une déclaration des droits à la confidentialité en Californie distincte (California Privacy Rights Statement). Vous pouvez trouver ces documents sur la page zoom.com/privacy-and-legal.

Engagement n° 4 : Amélioration de notre programme actuel de recherche d’erreur.

Situation : Nous avons élaboré un référentiel central des erreurs rencontrées et des processus de travail associés. Ce référentiel s’appuie sur des rapports de vulnérabilité de HackerOne, Bugcrowd et security@zoom.us (qui ne nécessite pas d’accord de confidentialité), triés par le biais de Praetorian. Nous avons mis en place un processus d’examen continu avec des réunions quotidiennes, et nous avons amélioré notre coordination avec des chercheurs en sécurité et des experts tiers de l’évaluation. Nous avons également embauché un responsable des vulnérabilités et de la recherche d’erreurs, plusieurs ingénieurs spécialisés en sécurité des applications, et sommes en train de recruter d’autres ingénieurs en sécurité, tous affectés au traitement des vulnérabilités. Nous nous sommes concentrés sur l’amélioration de nos délais de réponse. De manière générale, notre processus de recherche d’erreur est solide, et nous nous renforcerons à mesure que nous atteignons nos objectifs de recrutement. Nous remercions Luta Security pour son aide en la matière.

Engagement n° 5 : Lancement d’un conseil de sécurité informatique en partenariat avec les plus grands responsables du secteur afin d’animer un dialogue permanent sur les meilleures pratiques en matière de sécurité et de confidentialité.

Situation : Nous avons lancé notre conseil des RSSI, composé de 36 RSSI provenant de différents secteurs d’activité, notamment SentinelOne, l’Université d’état d’Arizona, HSBC et Sanofi. Ce conseil, dirigé par notre Responsable adjoint de l’information, Gary Sorrentino, s’est rencontré quatre fois au cours des trois derniers mois et a rendu ses recommandations sur des questions importantes, notamment la sélection du centre de données régional, le chiffrement, l’authentification des réunions et certaines fonctionnalités comme « Signaler un utilisateur », les mots de passe et les salles d’attente. Ce conseil s’est avéré être un tel succès que nous approfondirons le programme avec des tables rondes des RSSI – des discussions interactives entre les clients RSSI et les dirigeants de notre équipe de sécurité, afin de comprendre les mesures prises et celles qui seront mises en place à l’avenir par Zoom pour garantir la sécurité et la confidentialité de notre plateforme. Les RSSI et les responsables de l’information intéressés peuvent demander davantage d’informations au responsable de leur compte Zoom.

Engagement n° 6 : Lancement d’une série de tests de pénétration simultanés en boîte blanche afin de mieux identifier et traiter les problèmes.

Situation : Zoom a demandé à plusieurs cabinets – Trail of Bits, NCC Group, et Bishop Fox – d’analyser l’intégralité de notre plateforme. Leurs travaux devaient couvrir :

  • l’environnement de production de Zoom, les centres de données publics et en colocation :
    • la configuration du cloud
    • l’espace IP externe
    • le réseau de production interne
  • la principale application web de Zoom et le réseau d’entreprise de Zoom :
    • le réseau interne
    • le périmètre externe
  • l’API public pour les clients habituels
    • les clients mobiles
    • les clients de bureau

Zoom s’engage à effectuer des tests de pénétration tiers dans le cadre de son programme de sécurité.

Engagement n° 7 : Organisation d’un webinaire hebdomadaire pour communiquer les toutes dernières actualités concernant la sécurité et la confidentialité à notre communauté.

Situation : Le webinaire d’aujourd’hui est le 13e que nous organisons depuis le 1er avril. Ces évènements virtuels ont accueilli un certain nombre de nos cadres et consultants, qui ont répondu en direct aux questions des participants. Nous avons diffusé une synthèse et un enregistrement de nos webinaires sur notre blog chaque mercredi. Nous poursuivrons ces webinaires, le prochain étant le 15 juillet, puis passerons à une fréquence mensuelle.

Autres grandes évolutions

Nous avons pris d’autres mesures importantes :

  • Nous avons apporté certains ajouts ou changements à notre équipe dirigeante depuis le 1er avril, notamment :
    • Jason Lee, Responsable de la sécurité des systèmes d’information
    • Aparna Bawa a été nommée Directrice de l’exploitation et supervise désormais les efforts de sécurité de Zoom
    • Lynn Haaland, Directrice juridique adjointe et Responsable de la conformité et de la déontologie, a été nommée Responsable de la confidentialité
    • Josh Kallmer, Responsable monde de la politique publique et des relations avec les gouvernements
    • Ginny Lee, Collaboratrice juridique, Confidentialité
    • Mara Davis, Collaboratrice juridique, Conformité et déontologie
    • Responsable des vulnérabilités et de la recherche d’erreur, à partir du 13/07
    • Andy Grant, Responsable de la sécurité offensive, à partir du 13/07
  • Zoom Phone a été ajouté à Zoom pour les gouvernements, qui est déjà agrémenté en vertu du programme américain Federal Risk and Authorization Management Program View Certificate (Certificat de consultation du programme de gestion de risque et d’autorisation fédérales – FedRAMP)
  • Nous souhaitons toujours faire évoluer notre équipe d’ingénieurs basée aux États-Unis afin de faire face à la croissance des usagers, grâce à de nouveaux bureaux situés à Phoenix, Arizona et à Pittsburgh, Pennsylvanie.

Dans quelle direction allons-nous maintenant ?

Cette période a été marquée par des changements importants pour notre entreprise et nous avons placé la sécurité et la confidentialité de notre plateforme au codeur de toutes nos actions. Nous essayons d’être dignes de la confiance que nos clients nous accordent. Je suis fier, et touché par le rôle que Zoom a joué pour connecter le monde entier en ces temps de crise, et par tout ce que notre équipe a accompli au cours des 90 derniers jours pour sécuriser notre plateforme.

Nous ne pouvons pas nous arrêter là, et avons l’intention de poursuivre nos efforts. La confidentialité et la sécurité sont des priorités pour Zoom, et cette période de 90 jours – bien qu’enrichissante – n’est qu’une première étape. Tout au long de ce rapport, je vous ai donné des informations sur les nouvelles procédures et personnes qui apportent leur aide à Zoom au cours de ce périple qui nous imposera comme la plateforme de communication vidéo la plus fluide et la plus sécurisée au monde.

Merci à tous nos utilisateurs pour leur soutien, leur patience et leur confiance. La valeur fondamentale de notre entreprise est l’attention, et nous espérons que vous l’avez ressenti dans toutes nos actions au cours de ces 90 derniers jours. Nous continuerons à vous le montrer à l’avenir.

N’oubliez pas de partager cet article