Sécurité, transparence et normes ouvertes : notre engagement envers la visioconférence de niveau entreprise

Mise à jour : Le 2 avril 2020, le fournisseur de visioconférence Zoom a annoncé un gel des fonctionnalités de 90 jours afin d'identifier et de résoudre les problèmes de confidentialité et de sécurité qui ont été largement rapportés dans la presse. Lifesize offre actuellement six mois de service de visioconférence illimité et gratuit à tous les clients Zoom qui ont besoin d'une plateforme alternative.


La communication et la collaboration vidéo n'ont jamais été aussi importantes pour les organisations. L'époque où la vidéo sur le lieu de travail était une nouveauté est révolue ; il est maintenant non seulement attendu dans de nombreux cas, mais une technologie de base pour faire le travail. L'ère des communications vidéo est arrivée, inaugurant une vague de nouvelles méthodes de collaboration allant du contenu de qualité 4K aux tableaux blancs numériques et plus encore.

Sécurité, transparence et normes ouvertes : notre engagement envers la visioconférence de niveau entreprise

Chez Lifesize, nous entendons et voyons cela tous les jours à travers des conversations avec des clients actuels et potentiels, nos partenaires et nos collègues de notre écosystème. Bien sûr, la tendance n'est pas propre à Lifesize, comme l'illustrent d'innombrables rapports d'analystes et analyses de marché, qui indiquent tous l'essor rapide de la collaboration vidéo dans le monde.

Le cabinet d'analystes Frost & Sullivan projette vidéo conférence Le marché croîtra en moyenne de 12.1 % en glissement annuel de 2018 à 2023, ce qui représentera une industrie de 13.82 milliards de dollars au cours des cinq prochaines années. Pour une industrie en gestation depuis 30 ans pour maintenir cette trajectoire, cependant, il est impératif que nous nous attaquions collectivement à l'éléphant dans la pièce : la sécurité. Il est grand temps pour les fournisseurs de visioconférence d'adopter les critères fondamentaux que toutes les applications critiques de niveau entreprise sont censées fournir - et qu'ils le font en toute transparence.

Sécurité cloud : une prévision floue

Sécurité, transparence et normes ouvertes : notre engagement envers la visioconférence de niveau entreprise 

La sécurité de l'information est un peu comme l'assurance-vie - important, mais pas le sujet le plus animé à discuter.

Il est tentant de supposer que les technologies que nous utilisons dans nos vies professionnelles et personnelles sont sécurisées. Malheureusement, les violations de données ne sont que trop courantes et presque toutes les catégories de technologie – des médias sociaux aux jeux et au commerce de détail aux plateformes de communication – a été touché de mémoire récente. Ces dernières semaines, le Washington post a écrit un long exposé détaillant à quel point il est simple pour les pirates de compromettre des appareils « intelligents » en utilisant une technique appelée « credential stuffing », par laquelle les mauvais acteurs combinent des adresses e-mail et des mots de passe divulgués avec une automatisation simple pour accéder aux thermostats, caméras et plus encore. Au contraire, le volume considérable de données et de failles de sécurité a entraîné une culture de désensibilisation à leur impact.

Selon la Tendances 2019 de Gartner en matière de sécurité et de gestion des risques, l'adoption rapide des technologies cloud "épuise les équipes de sécurité", ce qui confère une part de responsabilité encore plus grande aux fournisseurs de cloud pour fournir des fonctionnalités de sécurité prêtes à l'emploi afin de protéger les clients et d'alléger le fardeau des professionnels de l'informatique chargés de gérer un nombre toujours croissant d'applications et de services. En ce qui concerne l'utilisation des applications logicielles en tant que service (SaaS), Gartner conseille aux clients de déterminer si les applications sont « gouvernées de manière appropriée et utilisées en toute sécurité ».

Dans une note de recherche de février 2019, l'analyste de Gartner Jay Heiser a écrit : « L'absence d'accord sur le rôle de l'entreprise responsable de la gouvernance du SaaS et l'absence relative de politique exigeant plus de spécificité autour de la « propriété » du SaaS ont contribué à masquer l'urgence du contrôle du SaaS. Le manque relatif de visibilité et de gestion de cette forme d'informatique de plus en plus omniprésente entraîne des défaillances en matière de sécurité et de conformité.

Il reste à voir où les organisations vont atterrir pour savoir qui est finalement responsable de l'application et de la gouvernance de la sécurité du cloud. Cependant, il est clair que les fournisseurs devraient être beaucoup plus proactifs dans la communication des pratiques et des fonctionnalités de sécurité pour aider les acheteurs et les clients à comprendre ce qu'ils obtiennent pour leurs investissements et ce à quoi ils doivent s'attendre en fonction des exigences de sécurité et de la tolérance au risque de leur organisation.

Communications sécurisées : la vérité tacite sur la vidéo

En raison de l'adoption rapide des politiques d'apport de votre propre appareil (BYOD) et de la tendance des responsables métier à sélectionner des applications qui ne sont pas gérées par l'informatique, de nombreuses organisations ont désormais du mal à rester simplement au courant des applications qui sont utilisées. d'utiliser, sans parler des implications sur la sécurité de l'information.

Dans une étude menée par Frost & Sullivan auprès de décideurs informatiques pour comprendre pourquoi les organisations choisissent de pas utiliser des services cloud, les préoccupations concernant l'accès non autorisé aux données étaient le principal obstacle à l'adoption.

Sécurité, transparence et normes ouvertes : notre engagement envers la visioconférence de niveau entreprise  

Dans les visioconférences, la sécurité est souvent une réflexion après coup. Avec autant d'attention portée à la protection des données PII, des dossiers de santé, des finances et plus encore, il est facile pour les organisations d'oublier les données transmises lors des réunions et entre les employés, les partenaires et les clients à l'intérieur et à l'extérieur de l'entreprise. Après tout, les visioconférences ne sont guère aussi tentantes qu'une base de données remplie de dossiers clients sensibles, n'est-ce pas ?

Malheureusement, cette perception a conduit à la complaisance, ce qui fait que les RSSI et les décideurs informatiques omettent trop souvent de rendre compte des données partagées et de savoir qui est en fin de compte responsable de leur protection. Pour compliquer le problème, la sécurité des visioconférences présente de multiples facettes, obligeant les organisations à réfléchir à un certain nombre d'aspects clés de leur infrastructure et de leur gouvernance, notamment la manière dont les données sont transmises et stockées, les contrôles d'accès, les politiques d'authentification, Conformité HIPAAet plus encore.

À bien des égards, les services de communication représentent le « dernier kilomètre » de la sécurité de l'information.

Personne ne veut penser au scénario hypothétique d'une personne interceptant des informations sensibles ou espionnant une réunion vidéo. Cependant, le volume croissant de violations de données, «Attaques de l'homme du milieu et les menaces de sécurité illustrent le fait que les organisations doivent examiner attentivement si les préréglages de sécurité des fournisseurs de communication vidéo sont adéquats pour les données transmises via leurs services.

Notre engagement envers la sécurité, la transparence et l'ouverture

En 2014, Lifesize a lancé un projet pluriannuel visant à réorganiser entièrement notre service de visioconférence dans le cloud pour plus de sécurité et de fiabilité.

Ingénierie pour la transparence

Un élément essentiel de cela est le protocole Web Real-Time Communication (WebRTC), qui offre aux clients transparence et tranquillité d'esprit quant au fonctionnement du service. Nous avons reconstruit notre plateforme sur WebRTC pour plusieurs raisons. 

Premièrement, nous voulons que la visioconférence soit accessible à tous. Pour ce faire, WebRTC était un choix évident et de loin le mécanisme le plus fiable, éprouvé et performant pour offrir une expérience de visioconférence cohérente sur tous les systèmes d'exploitation, appareils et navigateurs pris en charge par Lifesize. Depuis que nous avons annoncé la prise en charge de WebRTC en 2015, il a beaucoup mûri ; aujourd'hui presque tous les principaux navigateurs prennent en charge WebRTC de manière native.

Deuxièmement, nous croyons fermement que l'ouverture est bonne pour les clients. Comme pour toutes les technologies open source, WebRTC a été construit (et continue d'être amélioré) dans le public, avec des contributions de milliers d'ingénieurs et d'entreprises leaders du secteur comme Apple, Google, Mozilla, Microsoft et d'autres. Bien que les logiciels open source ne soient pas plus sécurisés par définition, il a été prouvé que le code régulièrement inspecté et testé par plusieurs entités se traduit par des technologies plus robustes et sécurisées.

Grâce au WebRTC, Lifesize est en mesure d'offrir une expérience fiable, cohérente et sécurisée à ses clients, sans ambiguïté quant à la manière dont cette expérience est conçue. Bien que nous aspirions à gagner la confiance de chaque client, nous attendons et encourageons pleinement qu'ils posent des questions sur le fonctionnement de notre service, comme ils le devraient avec n'importe quelle application ou fournisseur de services.

Sécuriser le dernier kilomètre

Aujourd'hui, notre cloud fonctionne sur Amazon Web Services (AWS), qui offre une multitude d'avantages supplémentaires en matière de sécurité, notamment des pare-feux réseau de premier ordre, des contrôles de conformité et Disponibilité garantie à 99.9% livrés via des centres de données hautement sécurisés dans le monde entier.

De plus, Lifesize garantit une visioconférence sécurisée pour nos clients en superposant :

  • Chiffrement par défaut: 100 % des communications sur la plate-forme Lifesize sont sécurisées par un cryptage AES (Advanced Encryption Standard) 128 bits de classe entreprise pour les médias et un cryptage TLS (Transport Layer Security) pour la signalisation. Par défaut, la connexion de chaque client Lifesize est chiffrée à l'aide de clés de chiffrement à usage unique. De plus, étant donné que Lifesize a été entièrement conçu à l'aide de WebRTC, qui impose des connexions sécurisées, chaque appel, que ce soit via nos applications natives ou des applications Web basées sur un navigateur, est sécurisé sans exception.
  • Stockage sécurisé des données : L'enregistrement et la lecture des réunions Lifesize sont cryptés à l'aide d'AES 128 bits pendant le transit et d'AES 256 bits pendant le stockage. Les mots de passe des utilisateurs sont toujours cryptés et aucun mot de passe en texte brut n'est stocké dans le cloud.
  • Authentification sécurisée : Lifesize s'intègre et prend en charge les principaux fournisseurs d'authentification unique (SSO), notamment Okta, Microsoft Azure® Active Directory, OneLogin et Ping Identity, permettant aux administrateurs informatiques de configurer facilement les autorisations des utilisateurs et d'appliquer les exigences d'actualisation et de complexité des mots de passe, réduisant ainsi les chances de succès. credential stuffing ou d'autres méthodes d'attaque axées sur l'utilisateur final.
  • Sécurité des réunions : Les salles de réunion virtuelles Lifesize (VMR) peuvent être sécurisées, nécessitant un mot de passe pour accéder à une réunion. Les modérateurs de réunion peuvent également accéder facilement à une liste complète des participants et supprimer des personnes, en cas de besoin. Les clients ont également la possibilité d'utiliser des réunions uniques « jetables » pour empêcher les invités non autorisés de rejoindre les réunions en utilisant les détails d'une invitation précédente.
  • Traversée pare-feu/NAT : Notre architecture maintient les systèmes de salle Lifesize et les logiciels clients en toute sécurité derrière les pare-feu existants et gère la traversée du pare-feu via nos nœuds d'appel mondiaux. Ainsi, nous n'exigeons pas l'ouverture de ports de pare-feu entrants depuis Internet, et il n'y a pas non plus besoin d'adressage IP public statique ou de configurations compliquées de NAT statique et de pare-feu de redirection de port. Les organisations peuvent maintenir leur périmètre de sécurité existant et protéger les utilisateurs et les appareils contre les appels SIP et H.323 nuisibles qui sont courants sur l'Internet ouvert.

En quête de sécurité, de transparence et d'ouverture

La sécurité et ses compagnons constituent un défi complexe et en constante évolution pour les organisations, grandes et petites, mais cela devrait être une priorité absolue. Les décideurs informatiques et les chefs d'entreprise doivent prendre le temps d'évaluer les profils de risque de leurs fournisseurs et de comprendre si chacun de leurs outils de communication, qu'il soit ou non géré de manière centralisée par l'informatique, est conçu et configuré pour protéger les données sensibles.

Malheureusement, de nombreux fournisseurs de services exigent que les utilisateurs acceptent les fonctionnalités de sécurité de base plutôt que de se conformer aux normes d'entreprise. Si les fournisseurs ne donnent pas la priorité à la sécurité, à la transparence et à l'ouverture par défaut, les entreprises seraient bien avisées de déterminer si leurs communications et données privées sont en danger.