Chiffrement et sécurité : Slack veut donner plus de choix à ses clients
Slack a annoncé plusieurs dispositifs pour renforcer la sécurité de son outil collaboratif, qui passe par une résidentialité des données au repos et de nouvelles options pour la gestion de clés de chiffrement.
Comme bon nombre d’outils de communication unifiée, Slack est sujet à de nombreuses attaques de cybersécurité sans oublier les possibles failles qui peuvent émailler les organes de cette plateforme.
Bien conscient du phénomène, et probablement en réaction des prises d’actions d’acteurs comme Zoom, l’éditeur a présenté un ensemble de mesures dont le but affiché est de renforcer sa sécurité.
En juin dernier, il avait lancé Slack Connect, une passerelle entre les instances Slack vers différentes entreprises. Seulement, ce pont pour connecter jusqu’à 20 sociétés ne bénéficiait pas d’une compatibilité avec Slack EKM (Enterprise Key Management), l’offre de gestion de clés dérivée d’AWS KMS (Key Management Service) disponible depuis mars 2019. Ce sera « bientôt » le cas.
Slack laisse le choix aux clients de gérer leurs clés de chiffrement…
De son côté, EKM bénéficiera bientôt de fonctionnalités Bring Your Own Key (BYOK) pour Connect, Workflow Builder (une solution de gestion de flux de travail). Les clients pourront également choisir où seront stockées leurs clés selon un principe de résidentialité des données.
Slack tient à rappeler que Connect doit offrir aux administrateurs les moyens pour contrôler les données partagées et les accès externes. De plus, l’identité des personnes qui postent des messages et des fichiers dans les canaux de communication serait vérifiée. De même, les entreprises pourront être validées avant d’intégrer un tel réseau. À cela s’ajoutent des mesures plus classiques, dont le respect des normes relatives à la rétention, à la perte de données et à leur recherche.
L’éditeur envisage également de laisser aux entreprises appliquer leurs propres politiques de partage de données avec des partenaires externes potentiellement connectés à leurs instances via Slack Connect.
… et leurs données au repos
La société américaine a surtout introduit la résidentialité des données à Paris, Londres, Montréal, Sydney, Francfort et Tokyo pour ses offres Slack Plus et Enterprise Grid. Les messages, les fichiers, les posts et les recherches peuvent être stockés au repos dans la région cloud choisie par le client, comme le propose en partie Zoom. Par ailleurs, ces données sont chiffrées par défaut. Si pour les nouveaux venus sur la plateforme, l’opération est transparente, les clients existants doivent le faire par eux-mêmes. À noter que Slack n’indique pas à l’heure où nous écrivons ses lignes, si les données en transit sont transférées aux États-Unis à un moment ou un autre. Les clés de chiffrement sont pour l’instant stockées outre-Atlantique dans les HSM (Hardware Security Module) mutualisés d’AWS.
Il n’est pas non plus fait mention de la décision de la Commission européenne de mettre fin au Privacy Shield et encore moins du sort des clauses contractuelles qui lient l’éditeur à ses clients. En effet, ses dernières sont également sur la sellette au regard de la décision de la CE.
Améliorer la gestion de la sécurité pour les activités critiques
Cela n’empêche pas Slack de renforcer ses mécanismes de gestion de la sécurité. Les développeurs de plateforme collaborative se préparent à introduire une fonctionnalité « barrière » afin de cloisonner les groupes entre eux. Dans un article de blog, l’éditeur donne l’exemple d’une banque d’investissement qui souhaiterait – pour des raisons légales notamment – séparer les traders des banquiers.
Il n’y aurait plus à configurer deux instances Slack, les administrateurs auraient tout le loisir de bloquer les interactions entre des groupes de collaborateurs pour les empêcher de partager des informations sensibles. Un tel système est notamment disponible dans Teams via des étiquettes de confidentialité et le dispositif sera renforcé le 31 août prochain. Les utilisateurs ne pourront plus voir « les équipes privées ».
Pour les administrateurs familiers de Splunk, l’éditeur lance Splunk app for Slack. Il s’agit d’une API pour récupérer les logs d’audits en provenance de l’outil de communication et les visualiser à travers des tableaux de bord préconstruits et potentiellement repérer des comportements suspicieux ou des intrusions.
Et comme de plus en plus de collaborateurs utilisent leurs propres ordinateurs et smartphones pour travailler, l’éditeur prévoit d’ajouter le support du MAM (Mobile Application Management) Microsoft Intune afin de renforcer la sécurité des données sur les appareils Android, iOS et Windows. D’autres MAM comme ceux de BlackBerry, MobileIron et Airwatch offrent les mêmes possibilités pour Slack.
Les principales améliorations de sécurité sont adressées aux acteurs gouvernementaux. Après avoir obtenu la certification FedRAMP en 2018, Slack bénéficie du statut « Moderate Authorized » qui lui permet de fournir ses outils et gérer des risques de cybersécurité auprès des agences gouvernementales américaines.
Il doit maintenant répondre à des obligations de gestion d’incidents et de vulnérabilités, de contrôle d’accès, d’aide à l’intégration des certifications type CIS, de maintien des services en activité en plus d’apporter un chiffrement des données en transit et au repos via EKM, qui respecte le standard FIPS 140-2 (parce que c’est la norme qui sous-tend AWS KMS).
Par ailleurs, Slack s’engage à respecter les certifications ISO 27001, 27017, 27018, SOC 2 Type 2 et SOC 3 ainsi que les lois telles que le RGPD, la FINRA et l’HIPAA.