Synthèse du webinaire – Rapport de progression du plan de sécurité à 90 jours : 1er juillet

Synthèse du webinaire – Rapport de progression du plan de sécurité à 90 jours : 1er juillet

Alors que notre plan de sécurité à 90 jours touche à sa fin, le webinaire « Ask Eric Anything » de cette semaine s’est concentré sur les progrès accomplis depuis le lancement de notre plan de sécurité et sur la voie à suivre, notamment les mises à jour clés réalisées, l’état des engagements pris envers nos clients dans le cadre du plan de sécurité à 90 jours et les mises à jour concernant le Conseil des RSSI de Zoom.

Le CEO de Zoom, Eric S. Yuan, était accompagné du COO, Aparna Bawa, du CPO, Oded Gal, du Deputy CIO et président du Conseil des RSSI, Gary Sorrentino, et de notre nouveau RSSI, Jason Lee.

Brendan Ittelson, CTO, Max Krohn, Head of Security Engineering, et Lynn Haaland, Chief Compliance et Ethics Officer, ont participé à la session de questions et réponses.

Mises à jour des produits

Oded a résumé rapidement les mises à jour clés que nous avons effectuées sur la plateforme au cours des 90 derniers jours, parmi lesquelles :

  • Lancement de Zoom 5.0 : Nous avons lancé le 27 avril Zoom 5.0, qui est compatible avec un chiffrement GCM AES 256 bits, l’une des normes de chiffrement les plus sécurisées à ce jour. La mise à disposition du chiffrement GCM AES 256 bits pour tous les comptes du système a eu lieu le 30 mai.
  • Nouvelle icône de sécurité dans l’interface utilisateur : L’icône de sécurité fournit aux animateurs et co-animateurs un accès instantané aux commandes de sécurité importantes dans les réunions, notamment la possibilité de verrouiller la réunion et d’activer les salles d’attente, et des options pour gérer les capacités des participants à partager leur écran, à participer au chat et à se renommer ou à rétablir le son eux-mêmes.
  • Fonctionnalité « Signaler un utilisateur » : Les animateurs et co-animateurs peuvent signaler des utilisateurs et des incidents de perturbations de réunion à l’équipe Trust & Safety de Zoom, qui étudie les éventuels usages abusifs de la plateforme et prend les mesures adéquates.
  • Paramètres de sécurité par défaut mis à jour pour les réunions : Les mots de passe, les salles d’attente et le partage d’écran pour les animateurs est activé par défaut uniquement pour les comptes gratuits/Basic et Single Pro. Les utilisateurs de comptes gratuits/Basic disposent de mots de passe renforcés pour leurs réunions.
  • Routage personnalisé des données : Pour offrir aux animateurs plus de contrôle sur leurs données, nous avons implémenté des options de routage des données le 18 avril pour les clients qui disposent de comptes payants, afin de leur permettre de personnaliser les paramètres de leur centre de données. Les administrateurs et titulaires de comptes payants peuvent, au niveau du compte, du groupe, de l’utilisateur ou de la réunion, exclure ou inclure des régions de centre de données spécifiques en fonction de leurs données en transit.

Au fur et à mesure du développement de nouvelles fonctionnalités, nous mettons en place des mécanismes visant à nous assurer que la sécurité et la confidentialité restent une priorité au cours de chaque phase du développement de nos produits et fonctionnalités.

Mises à jour du Conseil des RSSI avec invités

Gary a ensuite interviewé deux membres de notre Conseil des RSSI, James Shira, Global and US Chief Information Technology Officer chez PwC, et Cy Fenton, Chief Security Officer, Chief Privacy Officer & Senior Vice President, Global Infrastructure chez Ralph Lauren, pour donner le ton et un certain contexte au mandat et aux réunions du conseil. Voici quelques-uns des points forts de cette session :

Cy, pourquoi avez-vous décidé de participer au Conseil des RSSI de Zoom ?

« La décision a été facile à prendre. Zoom est devenue un élément incontournable parmi nos outils pour servir nos utilisateurs finaux. Avant le COVID, nous utilisions Zoom de manière occasionnelle comme outil de conférence. Maintenant, nous l’utilisons tous les jours, voire plusieurs fois par jour, pour presque toutes nos réunions. Zoom est un fournisseur ultra important pour nous et avoir l’occasion de donner des informations et d’obtenir des connaissances supplémentaires sur la feuille de route était vraiment une belle opportunité. »

James, que pensez-vous du déroulement de cette aventure de 90 jours ?

« J’ai été impliqué dans un certain nombre de changements en matière de sécurité dans de grandes entreprises, et je pense qu’il est important de souligner que c’est une véritable aventure. Ce qui est assez unique, à mon avis, avec ce qui s’est passé pour Zoom, c’est que cette aventure s’est déroulée dans la sphère publique, dans le monde réel et en temps réel. En tenant compte de cet aspect, je pense que cela s’est extrêmement bien passé. »

Présentation de Jason Lee, RSSI de Zoom

Eric a présenté Jason Lee, nouveau RSSI de Zoom. Lee est fort de 20 ans d’expertise en sécurité de l’information et en exploitation des services critiques. Jusqu’à récemment, il a occupé le poste de Senior Vice President of Security Operations chez Salesforce, société pour laquelle il était donc en charge de l’organisation mondiale des opérations critiques de sécurité de bout-en-bout pour les clients et les collaborateurs, et notamment du réseau de l’entreprise et de la sécurité des systèmes.

« Je suis vraiment impatient de travailler avec l’équipe talentueuse de Zoom, » a déclaré Jason. « Les progrès récents en matière de sécurité ont été très impressionnants, et je suis enthousiaste pour l’avenir. »

Bilan des engagements de notre plan de sécurité à 90 jours

Aparna Bawa, COO de Zoom, a rappelé les engagements que nous avions pris envers nos clients dans le cadre de notre plan de sécurité à 90 jours, parmi lesquels :

  • Mise en place, à partir du 1er avril, d’un arrêt temporaire du développement de certaines fonctionnalités et d’une concentration de toutes nos ressources techniques sur nos plus grands problèmes de fiabilité, de sécurité et de confidentialité.
  • Exécution d’une analyse complète, avec l’aide d’experts tiers et d’utilisateurs représentatifs, afin de comprendre et garantir la sécurité et la confidentialité dans tous nos nouveaux scénarios d’utilisation.
  • Préparation d’un rapport sur la transparence avec des informations détaillées sur les demandes de données, d’enregistrements ou de contenus.
  • Amélioration de notre programme actuel de « bug bounty » (recherche d’erreurs).
  • Lancement du Conseil des RSSI.
  • Lancement d’une série de tests de pénétration simultanés en boîte blanche afin de mieux identifier et traiter les problèmes.
  • Organisation d’un webinaire hebdomadaire pour communiquer à notre communauté les toutes dernières actualités concernant la sécurité et la confidentialité.

Pour en savoir plus à propos de l’état actuel de ces engagements, consultez notre blog qui détaille notre aventure pendant tout le déroulement de notre plan de sécurité à 90 jours et le résumé en PDF de nos mises à jour importantes depuis le 1er juillet 2020.

QUESTIONS ET RÉPONSES

Qu’est-ce qui a été le plus difficile lors de l’exécution du plan de sécurité à 90 jours de Zoom, et qu’avez-vous appris de cette aventure en tant que leader ?

Eric a expliqué qu’à l’origine, Zoom était conçue pour une utilisation en entreprise et que répondre aux besoins des autres utilisateurs qui utilisaient l’outil pour la première fois, notamment en matière de confidentialité et de sécurité, et traiter chaque cas d’utilisation unique a été un vrai défi. Il a également affirmé avoir appris que Zoom pouvait tout surmonter tant que nous restons à l’écoute de nos clients, que nous maintenons la transparence et que nous restons dévoués à construire la meilleure plateforme possible.

Avec la fin du plan de sécurité à 90 jours, Zoom va-t-elle recommencer à développer des fonctionnalités non liées à la sécurité ?

Zoom s’est engagée à poursuivre ses efforts en matière de sécurité. Nous allons également recommencer à travailler sur des fonctionnalités non liées aux problèmes de sécurité qui avaient été mises de côté pendant ces 90 jours et créer de nouvelles fonctionnalités et de nouveaux produits qui correspondent à la manière dont les personnes travaillent aujourd’hui et vont travailler à l’avenir.

Les paramètres de sécurité mandatés peuvent-ils être réglés au niveau du groupe plutôt qu’au niveau du compte ?

Oui. Ils peuvent être réglés au niveau du compte, du groupe ou de l’utilisateur.

En tant que RSSI, quelle est la meilleure façon d’éduquer les utilisateurs finaux aux meilleures pratiques de sécurité ?

Notre invité RSSI, Cy Fenton, a expliqué que la meilleure manière d’éduquer les employés à la sécurité au niveau de l’entreprise est de développer un programme solide d’éducation à la sécurité et de s’assurer que les employés comprennent l’importance des mesures de sécurité, en parlant des risques de sécurité auxquels ils font face, comment les éviter et s’en défendre, et dans quelle mesure la sécurité joue un rôle dans leur flux de travail au quotidien.


Pourquoi Zoom a-t-elle publié un Guide de réponse aux demandes gouvernementales ?

Aparna a expliqué que Zoom a publié ce guide dans le cadre d’un effort continu d’ouverture et de transparence sur notre mode de fonctionnement. Nous voyons ce guide comme un plan d’action pour les gouvernements sur la manière dont ils peuvent interagir avec Zoom, notamment en leur donnant les coordonnées d’interlocuteurs pertinents ainsi que les critères et les procédés utilisés par Zoom pour traiter les demandes variées des gouvernements.

Quelle est l’approche générale de Zoom en matière de sécurité ?

Jason a expliqué qu’il utilisera les normes du secteur et les cadres publics afin d’encadrer et de clarifier les fonctions et la maturité de la position de sécurité de Zoom.

Les administrateurs système voient-ils la version client que leurs utilisateurs utilisent ?

Les administrateurs système peuvent accéder à la section Gestion des utilisateurs sur leur tableau de bord et cliquer sur l’engrenage en haut à droite pour afficher une colonne supplémentaire qui permet d’afficher les versions clients. Les administrateurs ayant un forfait d’affaires ou un forfait équivalent peuvent se rendre dans le tableau de bord de Zoom où se trouve un graphique indiquant la répartition des versions clients de leur compte. Ils ou elles peuvent également aller dans l’onglet des réunions et se plonger dans les métadonnées d’une réunion pour voir quelles versions clients sont utilisées par les participants.

De plus en plus d’entreprises migrent vers des services basés sur le cloud. Quelle est la meilleures manière d’évaluer les fournisseurs et de s’assurer de leur responsabilité en matière de cybersécurité ?

Jason a expliqué qu’il examine l’innovation du fournisseur au moment présent et aussi son historique, ainsi que la qualité de l’équipe de direction de l’organisation. Il se tourne également vers les autres RSSI et leur demande leur expérience avec l’organisation en question. Cy a ajouté qu’il est important que l’organisation soit transparente sur la manière dont elle traite les problèmes et les défis qui se posent.

Merci pour votre soutien

Merci d’avoir participé à la session de cette semaine et merci à tous ceux qui ont soumis leurs questions ! Nous apprécions votre soutien dans notre ambition de faire de Zoom la plateforme de communication d’entreprise la plus sécurisée au monde. Si vous avez manqué la session de cette semaine, vous pouvez regarder l’enregistrement ici :

N’oubliez pas de partager cet article