Visioconférence sécurisée : l’exemple de l’État et les enseignements à en tirer

L’État a développé sa propre solution de visioconférence open source. Mais la DINUM a aussi sélectionné des alternatives européennes possibles, pour des usages bien encadrés. Une stratégie qui peut inspirer cinq bons conseils à tout DSI.

L’État a développé ses propres outils de visioconférence. Ils sont réservés à ses agents, mais cette démarche et les bonnes pratiques induites ne sont pas sans intérêt pour les organisations privées. Par ailleurs, en cette période d’utilisation intensive, la direction interministérielle du numérique (DINUM) a passé en revue des alternatives que les agents publics peuvent utiliser en complément de la visio maison. Une sélection qui, elle aussi, peut s’avérer intéressante pour les entreprises de tout secteur.

Voici donc cinq conseils issus de l’approche de l’État des outils de visioconférence.

I – Maîtriser le plus possible sa propre visio

Premier conseil : il vaut mieux maîtriser sa visioconférence lorsque l’on considère que les conversations (réunions) ou les présentations (webinars) ont une valeur stratégique. Ce conseil semble évident, mais nombre d’exemples montrent qu’il n’est souvent pas (assez) appliqué.

« L’État a choisi d’opérer sa propre solution, sur ses serveurs, pour apporter davantage de garanties sur la confidentialité des échanges », écrit la DINUM. « Certaines conférences peuvent être destinées à traiter des sujets sensibles (budget, ressources humaines, organisation…) ; il est donc apparu souhaitable que ces informations circulent sur des canaux de communication maîtrisés par l’État ».

Pour la maîtriser, la meilleure solution reste de la faire soi-même… Quand on en a les moyens et le temps, évidemment (cf. point II). Dans le cas contraire, une sélection rigoureuse est recommandée. Par « rigoureuse » (cf. point III), on entend une analyse qui prenne réellement en compte la question du droit qui s’applique aux conversations (CLOUD Act, Patriot Act, etc.) et celle du chiffrement (rappelons que dans beaucoup d’offres du marché, ce chiffrement n’est pas véritablement de bout en bout). Cette position se reflète dans la sélection de la DINUM totalement européenne (cf. point IV).

II – Faire sa visio soi-même avec l’open source (c’est possible)

 L’État ne considère pas la visio comme « critique, au sens continuité de l’action » publique, c’est-à-dire qu’« une interruption reste possible en cas d’incident ou d’opération de maintenance ». Mais le service est devenu tout de même suffisamment clef pour être disponible « 24/7/365 » (sic). D’où une implémentation maison.

Les offres de visio sont nombreuses. « Amazon Chime, Google Hangouts/Meet, Sametime (IBM), Skype Entreprise (Microsoft), WebEx (Cisco)… les solutions ne manquent pas pour couvrir la fonctionnalité de webconférence », liste la DINUM. On pourrait y ajouter le successeur de Skype (Teams), la nouvelle star du secteur Zoom, ou des acteurs plus historiques comme Lifesize ou Avaya.

« Les solutions ne manquent pas pour couvrir la fonctionnalité de webconférence [mais] l’État a choisi d’opérer sa propre solution, sur ses serveurs, pour apporter davantage de garanties sur la confidentialité des échanges. »
DINUM

Reste que le souci « d’apporter davantage de garanties sur la confidentialité », évoqué ci-dessus a débouché sur du fait-maison. Pas simple ? Certes, mais pas impossible non plus, grâce à la maturité grandissante de l’open source dans le domaine.

L’outil de l’administration (logiquement baptisé « Webconférence de l’État ») s’appuie lui-même sur le code open source d’origine française Jitsi. « [Cette] solution a été mise au point avec l’appui particulier de la DRAAF et des directions régionales de Bourgogne Franche-Comté. La DINSIC pilote au plan interministériel la gouvernance et les évolutions de cet outil en liaison étroite avec les ministères de la Transition écologique et solidaire, et de la Cohésion des territoires », précise la DINUM.

De nombreux tutoriels existent aujourd’hui pour déployer Jitsi sur différents hébergeurs français (OVH, Scaleway, etc.). On pourra également explorer les pistes BigBlueButton ou NextCloud Talk, une brique encore jeune, mais prometteuse du projet open source allemand NextCloud.

Certes, développer son outil n’est pas l’option la plus simple, mais elle tend tout de même à se démocratiser à mesure que la visio devient « une commodité ». Explorer cette piste n’est donc pas une aberration si vous disposez d’un minimum de ressources et de savoir-faire en interne.

III – Poser clairement des limites aux échanges possibles (quelle que soit la visio)

Mais attention, même avec ce fait maison à la confidentialité renforcée, la solution de webconférence de l’État n’est pas autorisée pour véhiculer des informations critiques.

« S’agissant de la confidentialité, vous pouvez utiliser la webconférence de l’État dans les mêmes cas où vous utilisez usuellement votre téléphone. Sauf indication contraire de votre hiérarchie, cela peut concerner toute information qui n’a pas de mention de protection explicite » pose clairement la DINUM aux agents publics. En revanche, pas question d’aborder des sujets et des documents « Diffusion restreinte » ni de type « Confidentiel médical ».

Un conseil de prudence qui n’est pas sans évoquer le refus du général François Lecointre, chef d’état-major des armées, le 22 avril 2020, face la commission de la défense de l’Assemblée nationale, de donner des informations importantes aux députés du fait que son audition se faisait sous Zoom.

III – Faire une analyse de risques, circonstanciée, mais globale

Il en découle qu’il faut différencier les flux d’informations et en faire une analyse de risques, totale et complète, pour déterminer les outils appropriés – et ceux qui ne le sont pas – en fonction des conversations.

« En fonction de la nature des données et des traitements, la législation associée est une chose qui est systématiquement regardée. »
Benoit DehaisDSI du Conseil Régional d’Occitanie

Une autre organisation publique, le Conseil Régional d’Occitanie, l’illustre très bien. « À chaque mise en place de nouveaux projets – comme l’ouverture d’un téléservice –, nous faisons une analyse de risques (technologique, de traitement, réglementaire, etc.). Cette analyse est menée avec les métiers, puis présentée à la direction générale afin de proposer le mode d’exploitation le plus adapté pour couvrir ce risque », explique au MagIT Benoit Dehais.

Dans cette analyse globale, les contraintes du droit qui pèsent sur certaines solutions cloud sont analysées de très près. « En fonction de la nature des données, des traitements et donc de la législation associée, c’est quelque chose qui est systématiquement regardé », confirme Benoit Dehais.

Pour les informations non critiques, la Région Occitanie peut parfaitement utiliser Office 365. Travailler avec la suite de Microsoft est possible « sur tout ce qui va être idéation, facilité d’appropriation, etc. », précise le DSI. En revanche, dans ce champ documentaire, tout le patrimoine informationnel ou qui présente un niveau non négligeable de sensibilité et de confidentialité est géré avec GoFast (solution open source et souveraine).

La criticité des propos tenus en réunion web fait, au passage, débat. On peut en effet considérer que tout ce qui est dit est potentiellement critique.

« La visio est utilisée pour les comités de direction, les réunions R&D, les réunions marketing et commerciales. Ce qui se dit dans une visioconférence est une information fraîche et stratégique », avertit Renaud Ghia, co-fondateur de la solution montpelliéraine labellisée par l’ANSSI Tixeo. « On pense à sécuriser les serveurs de fichiers, et l’asynchrone. Mais pas tout ce qui est synchrone. […] Le risque, c’est l’espionnage industriel. »

Pour toutes ses conversations et ses réunions, la Région Occitanie ne passe par exemple pas par Teams/Skype, mais par Rainbow (Alcatel-Lucent Entreprise) et par Starleaf (hébergé sur des serveurs en Île-de-France). « Nous faisons vraiment ce distinguo [dans les traitements] », insiste Benoit Dehais.

IV – Utiliser des solutions de visioconférences européennes (elles existent !)

Benoit Dehais souligne que dans de nombreux domaines IT (dont la visio) « de très bonnes solutions françaises et européennes existent ».

La DINUM a d’ailleurs sorti une sélection d’options utilisables par les agents publics ; en tout cas le temps de la crise liée au Covid-19 (« l’outil des agents de l’État par défaut est la Webconférence de l’État ; la possibilité d’utilisation ou non des autres outils après la crise n’est pas garantie et fera l’objet d’une réévaluation », souligne la direction interministérielle).

Une première version de cette sélection a été sortie en avril. Elle était assez proche de notre « Guide Pratique pour une visioconférence ultra-sécurisée ». On y trouvait cinq alternatives, trois françaises et deux européennes : Tixeo (labellisé par l’ANSSI) et Rainbow d’Alcatel-Lucent Entreprise (en cours de validation par l’ANSSI), ainsi que le Parisien Livestorm Meet, le Britannique Starleaf et le Norvégien Whereby.

Tableau des outils de visioconférence autorisés pour les agents publics
Tableau des outils de visioconférence autorisés pour les agents publics

Une nouvelle sélection est sortie début décembre avec l’arrivée du Français Private Discuss dans cette liste. Quelques évaluations ont également évolué par rapport à la première version (comme les notes de « simplicité pour les participants » de Rainbow, de Livestorm ou de Starleaf).

Cette sélection, validée par les services de l’État, est aussi parfaitement adaptée pour le privé. On pourra y ajouter d’autres noms de l’IT souveraine comme le Jitisi de Jamespot sur Outscale, les Bretons d’Apizee, ou encore les Bordelais de Tamashare ou BigBlueButton sur Scaleway en fonction des besoins (TPE/PME, ultrasécurisé ou non, très participatif ou pas).

La liste de la DINUM n’est par ailleurs pas la seule. D’autres entités publiques peuvent être une source d’information très riche (même s’il manque encore des référentiels clairs pour « l’IT locale »). La CNIL allemande par exemple (la Datenschutz) a sorti une sélection, le 3 juillet, dans laquelle elle met des cartons jaunes et quelques cartons rouges à pratiquement tous les éditeurs américains – éditeurs qui ne seraient pas si conformes que cela au RGPD.

Elle plébiscitait comme solution au problème des alternatives locales comme l’outil Sichere-Videokonferenz, le Jitsi clef en main de Netway.de ou le BigBlueButton managé par le prestataire spécialisé Werk21.de. Et la Datenschutz donnait, elle aussi, un blanc sein au français Tixeo.

V – Limiter les visioconférences à 40 minutes (« trop de visio, tue la visio »)

Au-delà du choix des outils, la DINUM a publié des bonnes pratiques à appliquer pendant les webconférences et pour le télétravail. Des pratiques là aussi réutilisables et transposables dans toute organisation.

La DINUM répète à plusieurs reprises qu’une conférence numérique demande encore plus d’organisation qu’une réunion physique. Et comme elle exige également un surplus d’attention, elle génère plus de fatigue.

Conséquence : l’État recommande à ses agents de désigner un animateur à chaque réunion (« qui se chargera de fluidifier les échanges et […] d’éviter les prises de paroles simultanées »), d’utiliser la fonction « lever la main » ou le tchat pour signaler le souhait d’intervenir, d’être concis dans ses propos, et surtout de limiter les réunions à 40 minutes avec une pause minimum de 5 à 10 minimum entre deux conférences.

Des conseils de bon sens ? Peut-être. Mais des évidences que l’on ne répétera jamais assez si l’on en croit les retours du terrain.

Plus de bonnes pratiques autour de la visioconférence sur LeMagIT :

Vidéoconférence : avoir l’air plus « pro » depuis chez soi

Des règles simples peuvent transformer radicalement votre apparence lors de vos réunions vidéo. Et si vous ajoutez quelques équipements peu coûteux, vous aurez un air encore plus professionnel.

Visioconférence : conseils pour améliorer simplement la sécurité de vos réunions

L’adoption rapide et massive de la visioconférence pose des questions de sécurité importantes. Ces quelques bonnes pratiques vous permettront d’assurer la confidentialité des échanges.

Quatre conseils pour sécuriser le travail à distance

Travailler à distance, oui… mais sans compromettre la sécurité de l’entreprise. Voici quatre conseils aux DSI pour éviter d’ouvrir des failles avec le télétravail.

Pour approfondir sur Outils collaboratifs