Rapport de progression du plan de sécurité à 90 jours : 24 juin

Rapport de progression du plan de sécurité à 90 jours : 24 juin

Alors que nous poursuivons notre plan à 90 jours visant à améliorer la sécurité et la confidentialité de notre plateforme, le webinaire « Ask Eric Anything » de cette semaine s’est concentré sur les récentes mises à jour en matière de sécurité des produits, notamment nos efforts dans le cadre de notre programme de « bug bounty » (recherche d’erreurs) et les mises à jours de la version 5.1.1 du client.

Le CEO de Zoom, Eric S. Yuan, a été rejoint par le President of Product and Engineering de Zoom, Velchamy Sankarlingam, le CPO de Zoom, Oded Gal, et le Head of Product Security de Zoom, Randy Barr.

Le CTO de Zoom, Brendan Ittelson, le conseiller en confidentialité et en sécurité de Zoom, Alex Stamos, et la Deputy General Counsel, Chief Compliance et Ethics Officer de Zoom, Lynn Haaland, l’ont rejoint pour la séance de questions et réponses.

Annonce de l’arrivée du CISO, Jason Lee

Eric a commencé le webinaire en annonçant que Zoom avait recruté Jason Lee en tant que nouveau Chief Information Security Officer. Jason prendra ses fonctions le 29 juin 2020. En tant qu’ancien Senior Vice President of Security Operations chez Salesforce et Principal Director of Security Engineering chez Microsoft, Jason est fort de 20 ans d’expertise en sécurité de l’information et en exploitation des services critiques. Jason jouera un rôle essentiel et nous aidera à construire une plateforme toujours plus sécurisée dans le cadre de nos efforts continus visant à améliorer la sécurité et la confidentialité de notre produit.

Mises à jour des produits

Ce weekend, nous déploierons la version 5.1.1 de notre client et de notre plateforme sur le Web, qui propose les modifications suivantes :

  • Gestion centralisée des arrière-plans virtuels : Les administrateurs de comptes pourront gérer les arrière-plans virtuels utilisés par leur organisation à l’aide d’une liste d’arrière-plans préapprouvés parmi lesquels les utilisateurs pourront faire leur choix.
  • En-tête de sécurité du portail Web pour les paramètres de réunion : L’en-tête de sécurité s’affichera dans les paramètres de réunion sur le portail Web et regroupera les paramètres liés à la sécurité, comme les mots de passe, la salle d’attente et les méthodes d’authentification, en un seul emplacement facile d’accès.
  • Mises à jour de Zoom Chat : Les utilisateurs peuvent dissimuler leur statut de présence aux contacts externes, et ils auront la possibilité d’empêcher les contacts externes d’ajouter de nouveaux utilisateurs à un canal ou un chat de groupe.

Présentation de Velchamy Sankarlingam

Eric a présenté Velchamy Sankarlingam, ancien Senior Vice President of Cloud Services Development and Operations de VMware, qui a rejoint Zoom en tant que President of Product and Engineering. En tant qu’expert des logiciels collaboratifs et sur le cloud et fort de plus de vingt ans d’expérience, Velchamy apporte une profonde expertise et de grandes connaissances à notre équipe, et nous sommes ravis qu’il supervise les efforts de notre équipe en charge des produits, de l’ingénierie et des opérations de développement.

Nouvelles exigences en matière de sécurité des réunions

Dès le 19 juillet, toutes les réunions organisées à partir de comptes payants et gratuits devront avoir activé un mot de passe ou la salle d’attente afin de garantir une sécurité accrue. Zoom activera une salle d’attente pour vos réunions si aucune de ces options n’a été paramétrée. Si vous avez déjà un mot de passe ou une salle d’attente, aucune modification ne sera apportée à la programmation de vos réunions. Si vous ajoutez des mots de passe à une réunion existante, les invitations devront être renvoyées afin d’inclure le mot de passe. Pour les nouvelles réunions pour lesquelles le mot de passe est activée, celui-ci sera automatiquement intégré à la réunion. Si des salles d’attente sont activées, aucune modification ne sera apportée à la programmation de vos réunions.

Mises à jour du programme de « bug bounty »

Randy a fait le point sur le programme de « bug bounty » et la divulgation des vulnérabilités. Dans le cadre de notre plan à 90 jours, nous avons évalué notre processus de traitement des vulnérabilités internes et l’efficacité des plateformes de « bug bounty » que nous utilisons. Afin d’améliorer notre programme de « bug bounty » et nos efforts de divulgation des vulnérabilités, nous avons développé un référentiel central des erreurs et des processus de travail associées à des fins de conformité aux normes ISO 29147 et 30111. Ce référentiel s’appuie sur les signalements de HackerOne, Bugcrowd et security@zoom.us (qui ne nécessite pas d’accord de confidentialité), triés par le biais de Praetorian. Nous avons mis en place un processus d’examen continu avec des réunions quotidiennes, et nous avons amélioré notre coordination avec des chercheurs en sécurité et des experts tiers de l’évaluation.

QUESTIONS ET RÉPONSES

Comment signaler une erreur à Zoom ?

Vous pouvez envoyer vos signalements d’erreurs à security@zoom.us, et notre équipe dédiée étudiera chaque cas et affectera un collaborateur à chaque problème.

Proposez-vous un chiffrement pour les comptes payants et gratuits ?

Oui, toutes les réunions bénéficient du chiffrement AES GCM 256 bits pour les comptes payants et gratuits. Nous allons également proposer le chiffrement de bout en bout des réunions à tous les comptes payants et gratuits pour créer un environnement de réunion extrêmement sécurisé.

Zoom collecte-t-elle ou vend-elle les données des utilisateurs ?

Lorsque les clients utilisent notre plateforme Zoom, nous collectons les informations dont nous avons besoin pour fournir le service, comme les adresses IP. Toutefois, Zoom ne vend pas et ne vendra jamais les données des utilisateurs.

Zoom peut-elle ajouter une option pour que les administrateurs réinitialisent les paramètres de mot de passe et salle d’attente de manière globale ?

En tant qu’administrateur de compte, vous pouvez activer ou même verrouiller ces paramètres au niveau du compte, ce qui active les paramètres de sécurité pour toutes les réunions et tous les utilisateurs par défaut. Vous pouvez également activer les mots de passe et les salles d’attente au niveau du groupe ou de l’utilisateur.

Comment fonctionne la salle d’attente ?

Lorsque la salle d’attente est activée, les participants sont dirigés vers un hall virtuel, où l’animateur peut visualiser les personnes qui essaient de participer à la réunion et les accepter, soit une par une, soit toutes ensemble. La fonctionnalité de salle d’attente peut être activée au niveau du compte, du groupe, de l’utilisateur ou de la réunion.

Merci pour votre soutien

Merci d’avoir participé à la session de cette semaine et merci à tous ceux qui ont soumis leurs questions ! Nous apprécions votre soutien dans notre ambition de faire de Zoom la plateforme de communication d’entreprise la plus sécurisée au monde.

Si vous avez manqué la session de cette semaine, vous pouvez regarder l’enregistrement ici :

Si vous souhaitez envoyer un commentaire ou une question à Zoom, envoyez un e-mail à l’adresse answers@zoom.us. Et n’oubliez pas de vous inscrire au webinaire « Ask Eric Anithing » de la semaine prochaine.

Télécharger cet article au format PDF

N’oubliez pas de partager cet article