Rapport de progression du plan de sécurité à 90 jours : 10 juin

Rapport de progression du plan de sécurité à 90 jours : 10 juin

Alors que nous poursuivons notre plan à 90 jours visant à améliorer la sécurité et la confidentialité de notre plateforme, le webinaire « Ask Eric Anything » de cette semaine s’est concentré sur les récentes mises à jour en matière de sécurité des produits, sur le chiffrement de Zoom et sur la sécurisation des réunions grâce aux mots de passe et aux salles d’attente.

Le CEO de Zoom, Eric S. Yuan, a été rejoint par Oded Gal, CPO de Zoom, et Lea Kissner, ancienne Global Lead of Privacy Technology de Google et conseillère de Zoom en matière de confidentialité et de chiffrement, pour la session de cette semaine.

Brendan Ittelson, CTO de Zoom, Max Krohn, Head of Security Engineering, et Lynn Haaland, Deputy General Counsel, Chief Compliance et Ethics Officer de Zoom, ont participé à la séance de questions et réponses.

Points à retenir de la session de cette semaine

Chiffrement de Zoom

Zoom a utilisé – et continue d’utiliser – une technologie de chiffrement sur sa plateforme pour tous les utilisateurs.

Le chiffrement GCM AES 256 bits, qui est l’un des standards de chiffrement les plus utilisés à ce jour, est actuellement activé à l’échelle du système et est disponible pour tous les utilisateurs, à la fois pour les comptes gratuits et payants. Nous avons également insisté sur le fait que :

  • Zoom ne répond qu’aux demandes valides des autorités juridiques. En cas de demande d’informations, notre politique est de n’accéder à la demande que si elle s’inscrit dans le cadre d’une procédure juridique valide et que le demandeur a compétence à le faire.
  • Zoom n’autorise pas le gouvernement à accéder de manière directe et illimitée aux données de nos utilisateurs, et nous ne fournissons pas nos clés de chiffrement au gouvernement.

Plan de chiffrement de bout en bout de Zoom

Zoom a annoncé son intention de créer une solution de chiffrement de bout en bout le 7 mai. Nous avons publié la première version du concept cryptographique le 22 mai sur GitHub, dans le but de collecter des commentaires. Lea a expliqué qu’une version mise à jour du document serait communiquée prochainement. Le chiffrement de bout en bout est un outil de sécurité important, et mettre en œuvre une telle solution à l’échelle d’un produit comme Zoom n’a jamais été fait. Nous souhaitons que le chiffrement de bout en bout soit largement disponible et explorons des méthodes de déploiement sécurisé.

Mises à jour de produit – Salles d’attente et mots de passe

Au cours des deux derniers mois, nous avons amélioré nos fonctionnalités de sécurité afin de nous assurer que nos utilisateurs gardent le contrôle de la plateforme et de leur expérience de réunion. Oded a passé en revue certains des avantages offerts par le fait d’utiliser les salles d’attente et les mots de passe :

Au mois d’avril, nous avons décidé d’activer les salles d’attente par défaut et d’exiger des mots de passe pour les comptes Basic gratuits et pour les comptes d’établissements d’enseignement de la maternelle à la terminale. Nous imposerons également prochainement que la salle d’attente ou les mots de passe soient activés pour toutes les réunions programmées avec des comptes payants. La date de cette nouvelle obligation n’a pas encore été définie.

Les réunions programmées sans mot de passe avant la date d’entrée en vigueur seront équipées d’une salle d’attente activée par défaut. Toutefois, les administrateurs et les utilisateurs pourront choisir d’appliquer un mot de passe, une salle d’attente ou les deux. Nous vous communiquerons d’autres informations au cours des prochaines semaines.

QUESTIONS ET RÉPONSES

Puis-je obtenir un rapport sur les utilisateurs de mon compte dont les mots de passe ne sont pas activés ?

Les utilisateurs avec plus de 50 licences payantes peuvent accéder à un rapport indiquant les réunions programmées sans mot de passe au sein de leur organisation.

Les participants devront-ils saisir un mot de passe lorsqu’ils rejoignent à une réunion ?

Les mots de passe de réunion sont intégrés à l’URL d’invitation de la réunion. Si vous cliquez sur l’URL d’invitation, vous n’aurez donc pas besoin de saisir un mot de passe. Toutefois, si vous rejoignez une réunion protégée par un mot de passe en entrant directement le n° de réunion (sans cliquer sur le lien), vous devrez saisir le mot de passe manuellement.

Lorsque je me connecte par téléphone, comment fonctionnent les mots de passe ?

Les participants qui rejoignent une réunion par téléphone utilisent un mot de passe numérique raccourci, qu’ils peuvent saisir sur le clavier de leur téléphone.

Comment les mots de passe et les salles d’attente fonctionnent-ils sur les comptes payants pour les utilisateurs gratuits ?

N’importe quel participant, gratuit ou payant, qui rejoint une réunion Zoom devra respecter les exigences de l’animateur de la réunion, ce qui peut inclure un mot de passe, une salle d’attente ou les deux.

Quand pouvons-nous espérer une authentification à facteurs multiples (AFM) sur Zoom ?

Vous pouvez d’ores et déjà utiliser une AFM par le biais d’un prestataire d’identité (IDP)prenant en charge l’authentification unique (SSO) SAML.

Zoom est-il considéré comme conforme à la réglementation HIPAA ?

Oui, nous pouvons aider les prestataires de soins de santé à activer la conformité HIPAA. Nous proposons plusieurs fonctionnalités qui créent un environnement conforme HIPAA, notamment en empêchant les enregistrements et en créant des ententes de partenariat (BAA). Nous avons conçu Zoom pour de tels cas d’emploi, bien avant la COVID-19. Contactez-nous et nous vous aiderons avec sa mise en place.

Existe-t-il un moyen de protéger le contenu des webinaires contre les logiciels de capture d’écran ?

Zoom propose des fonctionnalités de filigrane. Lorsque vous partagez votre écran, les noms des participants sont associés à des informations d’identification liées aux captures d’écran qu’ils effectuent. Vous pourrez donc savoir qui sont les auteurs d’une fuite du contenu de la réunion. Nous offrons également des possibilités de filigrane pour vous protéger contre les enregistrements doubles et pour vous aider à identifier les utilisateurs qui ont partagé un enregistrement audio.

Quand le plan à 90 jours va-t-il s’achever ?

La période de 90 jours s’achève le 1er juillet, mais notre engagement en matière de sécurité et de confidentialité reste une priorité et une partie intégrante de l’ADN de notre société.

Pouvons-nous contrôler les arrière-plans virtuels au niveau du compte ou du groupe ?

Nous sommes en train de développer une option de contrôle des arrière-plans virtuels utilisés pour les administrateurs. L’administrateur peut télécharger des arrière-plans virtuels pré-approuvés et peut autoriser les animateurs/participants à utiliser uniquement ceux-ci. Nous développerons cette fonctionnalité au cours des prochaines semaines.

Avec l’expansion de Zoom, comment allez-vous garantir la satisfaction de vos clients ?

Eric a expliqué que cet engagement est au cœur de la culture de notre entreprise, qui donne la priorité au soin apporté à nos clients. Nous restons désireux de résoudre les problèmes de communication professionnelle de nos clients, et prenons des mesures sur la base de leurs commentaires afin de les servir au mieux.

Merci pour votre soutien

Merci d’avoir participé à la session de cette semaine et merci à tous ceux qui ont soumis leurs questions ! Nous apprécions votre soutien dans notre ambition de faire de Zoom la plateforme de communication d’entreprise la plus sécurisée au monde.

Si vous avez manqué la session de cette semaine, vous pouvez regarder l’enregistrement ici :

Si vous souhaitez envoyer un commentaire ou une question à Zoom, envoyez un e-mail à l’adresse answers@zoom.us. Et n’oubliez pas de vous inscrire au webinaire « Ask Eric Anything » de la semaine prochaine.

Télécharger cet article au format PDF

N’oubliez pas de partager cet article