Comme un bon nombre de salariés d’Axa IM, l’Ugict-CGT a pris bonne note des articles apparus dans la presse remettant en question la sécurité de l’application ZOOM, utilisés chez Axa IM et dans les entreprises du monde entier depuis le confinement (voir un exemple). Les doutes sont tels que la Direction interministérielle du numérique déconseille fortement l’utilisation de Zoom, « compte tenu des risques sur la protection des données et des failles constatées qui n’apportent pas les garanties nécessaires pour un usage professionnel par les agents de l’État » (lire l’article). Par courriels du 27 mars 2020, l’Ugict-CGT a demandé si la Direction a pris des dispositions au regard du RGPD avant de mettre en place ZOOM pour la visioconférence chez Axa IM. Les salariés ont-ils été informés de la potentielle utilisation de leurs données personnelles en se connectant à ZOOM ? La Direction a-t-elle demandé leur consentement préalablement ? Conservent-il la possibilité de refuser de se connecter ? La DPO en charge de la protection des données personnelles a-t-elle vérifié auprès de la CNIL la conformité de l’application au regard du RGPD ? N’ayant aucune réponse à nos questions, l’Ugict-CGT a relancé la Direction Général le 2 avril 2020, dans la mesure où un CSE extraordinaire a été programmé pour le 6 avril via l’application ZOOM. Sur ce, la Direction a répondu le 3 avril dernier que « L’usage de ZOOM est ok sous certaines conditions qui sont toutes réunies. Il n’y a pas de raison de ne pas utiliser zoom chez AXA IM avec ces conditions. L’application de ces mesures permet l’organisation de meeting ZOOM de manière sécurisée. »

RÉPONSE DE LA DIRECTION D’AXA IM AUX QUESTIONS UGICT-CGT SUR L’USAGE DE ZOOM AU SEIN DE L’ENTREPRISE :

[restrict]

Vous trouverez ci-dessous un ensemble de réponses relatives aux différentes questions soulevées quant à l’utilisation de  ZOOM au sein d’AXA IM, et aux interrogations suite aux différentes publications parvenues dans les médias ces derniers jours.

1. Version ZOOM déployée au sein d’AXA IM

La solution ZOOM déployée au sein d’AXA IM est bien une version Entreprise et non gratuite. Il est à noter que les participants à un ZOOM meeting n’ont pas besoin d’une souscription au service, les bénéfices de la souscription Entreprise étant liée à l’organisateur mais s’appliquant à l’ensemble des participants.

2. Confidentialité

Protection des Données à caractère personnel 

Bien qu’étant basée en Californie, USA, la société Zoom est soumise à la réglementation européenne sur la protection des données (« RGPD »), en sus d’autres règlementations locales et nationales sur le sujet (notamment la loi californienne « CCPA » et canadienne « PIPEDA » législations les plus protectrices du continent nord-américain).

Les obligations de Zoom en matière de protection des données issues de ces réglementations sont reflétées dans sa politique de confidentialité et dans sa documentation contractuelle (ci-après « Documentation »), qui sont autant d’engagements envers AXA IM et ses collaborateurs.

Il est à noter qu’AXA IM a souscrit à la version payante de Zoom et que l’ensemble de la Documentation y afférente démontre une maturité et une transparence affichée sur la problématique de la protection des données personnelles.

Données collectées :

Les données à caractère personnel collectées par Zoom sur les utilisateurs sont énumérées dans la Documentation et incluent à titre d’exemple :

Les Profils d’utilisateurs (ex : nom, prénom, email, mot de passe, photo (si fournie), département (si fourni) – Note : AXA IM et ses collaborateurs utilisant la version payante de Zoom, seules les adresses emails professionnelles sont utilisées comme identifiants.

Des metadata en lien avec les meetings (sujet, adresse IP des participants, information sur l’appareil et matériel informatique)

IM Chat (logs)

Utilisation du téléphone (numéros entrants, sortants, pays, adresse IP, début et fin des appels).

Polémique Facebook :

Concernant le point remonté dans les médias concernant la collecte de données utilisateurs, nous avons demandé un retour officiel de ZOOM sur ce sujet.

Tous les détails sont donnés dans cette note : https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/

En résumé, le point remonté ne concernait que les utilisateurs qui utilisent leur login Facebook pour accéder à ZOOM depuis l’application iOS, pour des informations détaillées sur les appareils des utilisateurs.

AXA IM utilisant une version « Entreprise » de Zoom, les utilisateurs utilisent leur adresse mail AXA IM et un mot de passe pour s’identifier et ne sont pas exposés à ce point. A noter que pour les participants à un meeting ZOOM, il n’est pas nécessaire de s’identifier.

Tous les détails sont donnés dans cette note :

https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/

Dès le 27 mars 2020, ZOOM a mis à jour son application iOS sur l’AppStore en retirant le SDK Facebook à l’origine du point soulevé.

Utilisation des Données par Zoom :

Les données collectées sont utilisées pour délivrer les services souscrits, assurer la maintenance et améliorer les produits Zoom.

Zoom ne vend pas les données utilisateurs et ne les a jamais cédées.

Zoom ne surveille pas les réunions en lignes et leurs contenus.

Transparence :

Zoom communique largement sur la polémique récente à travers son site web et son blog dans un souci de transparence et afin de promouvoir l’ensemble des améliorations apportées à sa Documentation, ses outils et à sa gouvernance en matière de sécurité et confidentialité.

3. Zoom Bombing

Concernant le point remonté dans plusieurs médias concernant l’intrusion de personnes non invitées lors de meeting ZOOM, cela rappelle que quelques règles et bonnes pratiques doivent être respectées dans l’organisation de meeting et la diffusion des invitations. Ces bonnes pratiques sont par ailleurs rappelées sur cette page : https://blog.zoom.us/wordpress/2020/03/20/keep-uninvited-guests-out-of-your-zoom-event/

En résumé, il est recommandé, pour un organisateur :

  • De ne pas diffuser son numéro de salle de réunion virtuelle largement, typiquement sur les réseaux sociaux.
  • D’utiliser son numéro de salle de réunion virtuelle uniquement pour des réunions privées
  • D’utiliser un numéro de salle générique associé à un mot de passe pour les meetings à large audience
  • De ne pas permettre les participants de se joindre au meeting avant que l’organisateur ne les ait autorisé à le rejoindre

Le lien communiqué ci-dessus fournit une liste de paramètres supplémentaires qu’il est possible d’utiliser pour un contrôle encore renforcé de l’accès à une réunion.

4. Sécurité

Faille de sécurité Windows 10 :

Concernant la faille de sécurité relative à Windows 10, elle est liée à un contexte d’utilisation très spécifique, qui n’est pas exploitable dans un contexte d’entreprise, les paramètres de sécurité empêchant l’exploitation de cette faille. ZOOM a par ailleurs corrigé cette faille dès le 1er avril 2020.

Il convient de rappeler que l’existence de failles de sécurité n’est pas exclusive de la solution ZOOM mais affecte de manière récurrente la plupart des solutions informatiques. Dans le cadre des solutions de conférence, la solution Webex a par exemple fait l’objet d’une faille critique en début 2020 permettant à une personne de rejoindre une réunion à laquelle il n’était pas convié 🙁https://www.theregister.co.uk/2020/01/27/cisco_webex_bug_let_anyone_join_a_passwordprotected_meeting/).

Analyse de risque :

La sécurité des conférences zoom résident en partie sur la manière dont l’organisateur organise la réunion et les paramètres par défaut de la solution.

L’usage de ZOOM est ok sous certaines conditions qui sont toutes réunies.

Il n’y a pas de raison de ne pas utiliser zoom chez AXA IM avec ces conditions. L’application de ces mesures permet l’organisation de meeting ZOOM de manière sécurisée.

Mesures :

  • Avoir la version business de la solution [ok]
  • Mettre à disposition un guide utilisateur avec les recommandations ci-dessous [première version disponible]
  • Pour monter un meeting confidentiel

o   Mettre en place une salle d’attente permettant d’identifier les utilisateurs qui se connectent [disponible]

o   Forcer le chiffrement de bout en bout [disponible]

o   Mettre un mot de passe aux meetings [disponible]

o   Utiliser un identificateur de meeting aléatoire [disponible]

o   Ne pas enregistrer sa sessions sur le cloud [disponible]

o   Désactiver l’enregistrement des présentations [disponible]

o   Désactiver le démarrage des meetings sans l’organisateur [disponible]

o   Pas de chat (sauf accord de compliance)

  • Si le meeting ne partage d’information confidentielles

o   Les mots de passe sont optionnels

o   Salle d’attente optionnelle

o   La réunion peut démarrer sans l’organisateur

  • Recommendations transverses

o   Le partage de fichier a été bloqué chez AXA IM

o   Mettre à jour le client zoom tous les mois ou à chaque vulnérabilité critique

o   Mettre un timer de session inactive

o   Utilisez votre adresse email axa-im. N’utilisez pas votre mot de passe interne axa-im

[/restrict]

image_print