Slack est-il sûr ? Comment rester en sécurité pendant que vous collaborez ?

Cliquez ici pour un résumé de cet article

Slack est-il sûr ? Résumé.

Chaque année, des millions d’utilisateurs échangent des messages et des fichiers sur Slack. Des entreprises de toutes les tailles l’utilisent pour faciliter la collaboration entre collègues, avec leurs clients et leurs fournisseurs.

Slack intègre de nombreuses mesures de sécurité professionnelles afin d’offrir un environnement sûr, y compris des certifications de sécurité ISO et SOC, des certificats de conformité HIPAA et FINRA et un solide programme de gestion des données conforme au RGPD.

Que ce soit au niveau de l’entreprise ou individuel, les utilisateurs peuvent prendre plusieurs mesures pour assurer la sécurité des données envoyées sur Slack :

1. Éviter de partager des données confidentielles, comme des mots de passe et des pratiques commerciales confidentielles.
2. Utiliser l’authentification à deux facteurs (2FA).
3. Mettre en place de solides protocoles d’accueil et de départ des salariés.
4. Former les employés à utiliser correctement Slack.
5. Utiliser des canaux pour gérer l’accès des utilisateurs externes.
6. Faire preuve de prudence quant aux intégrations d’applications tierces.
7. Apprendre à reconnaître les tentatives d’hameçonnage.
8. Installer un bon programme antivirus.

Consultez notre article complet ci-dessous pour en apprendre davantage sur la sécurité de Slack.

Tous les jours, ce sont plus de 8 millions de personnes qui échangent des messages, des fichiers et des images sur Slack. Depuis ses débuts en 2014, cet outil a été largement adopté, notamment par les PME, principalement grâce à sa facilité d’utilisation et de mise en place.

Les PME ne sont pas les seules à adorer Slack. Quand IBM a choisi Slack (article en anglais) comme messagerie instantanée et outil collaboratif pour ses plus de 350 000 salariés, cette décision a été largement perçue comme une victoire majeure dans la bataille qui l’oppose à Microsoft Teams.

Mais Slack est-il vraiment sûr ? Et que pouvez-vous faire pour garantir que la sécurité et la confidentialité des informations que vous envoyez ? Que vous soyez employeur ou salarié, nous allons vous dire tout ce qu’il faut savoir sur Slack et sa sécurité.

Problèmes de sécurité et de confidentialité de Slack

La confidentialité en ligne et la sécurité des données envoyées sur la plateforme sont des préoccupations légitimes, que vous utilisiez la version de bureau ou l’application mobile. Heureusement, Slack a mis en place des systèmes et politiques convenables pour protéger vos données.

Comment Slack gère-t-il les données ?

Slack n’hésite pas à multiplier les efforts pour sécuriser vos données. La société utilise une sécurité de qualité professionnelle afin de satisfaire les exigences de conformité mondiales et protéger les échanges d’informations.

Elle a décroché un éventail de certifications de sécurité, dont ISO/IEC 27001, 27017, 27018 et 27701, SOC 2, SOC 3, APEC for Processors et APEC for Controllers. En outre, Slack est conforme au HIPAA et au FINRA. L’entreprise a également mis en place un programme de mise en conformité avec le RGPD.

Slack chiffre les données stockées et en transit. Il propose également d’autres fonctionnalités de sécurité pour protéger vos données, comme l’authentification à deux facteurs (2FA), des sessions à durée limitée et la gestion des sessions. Le chiffrement de bout en bout ne fait toutefois pas partie des fonctionnalités proposées, car Slack souhaite offrir aux administrateurs la possibilité d’accéder aux communications à des fins professionnelles.

Comment Slack gère-t-il les menaces de sécurité ?

Outre les mesures de sécurité solides susmentionnées, Slack lutte contre la menace que représentent les cybercriminels grâce à son programme de chasse aux bugs (site en anglais). Cela signifie que n’importe qui peut signaler les vulnérabilités qu’il repère dans Slack et recevoir une prime. Slack peut ensuite s’efforcer de les corriger et de renforcer son logiciel. Le programme de chasse aux bugs encourage l’identification des failles de sécurités avant qu’elles ne soient exploitées.

De nombreuses vulnérabilités clés ont ainsi été identifiées et corrigées avant leur exploitation par des personnes malintentionnées. Depuis la mise en place de ce programme, Slack a distribué plus de 900 000 $ à des chercheurs en sécurité ayant signalé des failles potentielles de la plateforme.

Comment Slack traite-t-il les demandes gouvernementales ?

Selon sa politique de confidentialité, Slack ne communique pas volontairement des informations aux forces gouvernementales. Slack respectera cependant les requêtes découlant d’une procédure judiciaire valide. Cela signifie que la société stocke des données et les divulguera si elle y est tenue par la loi.

Mais qu’est-ce qui constitue une procédure judiciaire valide ? Cette phrase désigne toute partie prenante à un litige, ce qui inclut n’importe lequel de vos concurrents susceptibles de vous poursuivre juridiquement vous ou votre entreprise. Ils peuvent demander au tribunal de contraindre Slack à transmettre les informations contenues dans vos canaux Slack. Cela peut concerner des informations critiques que vous n’aimeriez pas voir entre les mains de la concurrence. Ce scénario catastrophe reste peu probable, mais pas impossible.

En règle générale, l’idée que les échanges internes à votre entreprise puissent être consultés par d’autres n’a rien d’exaltant, même si cela peut être nécessaire dans certains cas. Chaque année, Slack publie un rapport de transparence qui résume toutes les divulgations liées à des demandes de renseignements par voie judiciaire valides. Bien que le nombre de divulgations soit réduit, des données confidentielles ont tout de même été partagées.

Vos échanges sur Slack sont-ils confidentiels ?

Au niveau de l’employé, vous êtes peut-être moins concerné par la vulnérabilité des données confidentielles de votre entreprise et davantage par la confidentialité de vos données personnelles dans Slack.

Comme avec la plupart des outils professionnels, il convient de partir de l’hypothèse suivante : tout ce que vous faites est enregistré et consultable par votre supérieur, le sien ou le service RH. Slack ne fait pas exception.

Vous pouvez toutefois facilement vérifier quelles données sont enregistrées par votre organisation et comment. Marche à suivre :

1. Dans votre application de bureau, rendez-vous dans votre profil, puis cliquez sur Plus et Paramètres du compte. Vous êtes alors redirigé vers une page Web de Slack.
2. Cliquez sur À propos de cet espace de travail sur le côté gauche de l’écran (vous devrez peut-être ouvrir le Menu avant).
3. Cliquez sur Conservation et exportations.
4. Sous À quelles données les administrateurs ont-ils accès ? vous trouverez une description des données récupérables.
5. Vous pouvez suivre le lien En savoir plus pour consulter toutes les options disponibles en matière d’enregistrement et de récupération des données.

La différence entre canaux publics, canaux privés, et messages directs est particulièrement importante ici. Les administrateurs peuvent uniquement exporter les données issues des canaux publics ouverts, tandis que vos messages directs et les canaux privés verrouillés ne peuvent être partagés hors des participants à ces conversations. Gardez cependant à l’esprit qu’il est toujours facile de prendre des captures d’écran, même des messages privés.

En règle générale, il est recommandé d’éviter d’envoyer par écrit ce que vous n’aimeriez pas voir rendu public. Il est toujours préférable de garder les commentaires désobligeants sur votre supérieur ou les remarques sur un client pour votre sortie entre collègues au bar du coin après le travail.

Comment rester en sécurité sur Slack ?

Malgré ses mesures de sécurité, Slack reste un service basé sur le cloud. Ainsi, il reste vulnérable face à des cybercriminels déterminés. Voici huit moyens de maximiser votre sécurité et de répondre à vos préoccupations en matière de respect de la vie privée.

1. Ne partagez pas d’informations confidentielles

Ne communiquez jamais de mots de passe ou d’autres informations confidentielles ou privées sur Slack. Cela comprend l’envoi de fichiers contenant des informations critiques concernant l’entreprise ou les clients.

Si vous avez besoin des informations de connexion d’un collègue, envisagez d’utiliser une application de gestion des mots de passe. 1Password propose une option intéressante pour les équipes qui partagent des mots de passe. Les autres informations confidentielles et privées devraient être transmises à l’aide de canaux internes plus sécurisés, moins facilement consultables par les pirates ou susceptibles d’être compromis par une décision de justice.

2. Exigez le recours à l’authentification à deux facteurs (2FA)

Il est toujours préférable d’utiliser l’authentification à deux facteurs (2FA) pour sécuriser une connexion. Lorsque vous utilisez la 2FA, vous pouvez vous connecter à Slack à l’aide de votre mot de passe et un code de vérification que vous recevez sur votre téléphone. Avec cette authentification multifacteurs il est très difficile d’accéder à Slack en disposant uniquement des identifiants d’un compte.

Sur Slack, cette 2FA peut être configurée via une application d’authentification ou des SMS en suivant les étapes suivantes :

1. Rendez-vous dans votre profil, puis cliquez sur « Plus » et ouvrez les « Paramètres du compte ».
2. Cliquez sur « développer » à côté de « Authentification à deux facteurs » puis sur « Configurer l’authentification à deux facteurs ».
3. Saisissez votre mot de passe et cliquez sur « Confirmez le mot de passe ».
4. Choisissez « Utiliser une application » ou « SMS » selon vos préférences.
5. Suivez les instructions pour connecter votre application (via un code QR) ou numéro de téléphone.
6. Renseignez le code reçu par SMS ou l’application, puis appuyez sur « Vérifier le code ». Vous pouvez maintenant vous connecter à l’aide de la 2FA.

Gardez à l’esprit que l’activation de cette vérification en deux étapes concerne uniquement un seul compte utilisateur. Si vous souhaitez instaurer cela à l’échelle de votre entreprise, veillez à ce que tous vos employés activent cette option.

Pour les entreprises qui utilisent déjà un protocole d’authentification unique, la 2FA peut également être utilisée comme mesure de sécurité supplémentaire.

3. Configurez un système pour gérer l’intégration et le départ des salariés

Pour les grandes entreprises, le suivi des salariés ayant accès à Slack représente un défi. Pour éviter que des individus ne travaillant plus pour l’entreprise conservent un accès et que les nouveaux salariés puissent accéder en temps voulu aux données, il est essentiel de disposer un processus documenté concernant l’accès à Slack.

Veillez à ce qu’un membre de votre organisation soit responsable d’accorder et de réfuter l’accès à Slack à chaque évolution des effectifs.

En gardant une bonne maîtrise des accès à Slack, les employeurs évitent les risques que d’anciens salariés utilisent cette plateforme de manières inappropriées.

4. Formez les utilisateurs à utiliser correctement Slack

Les entreprises qui utilisent Slack à des fins de collaboration devraient prendre le temps de vérifier que tous leurs salariés comprennent les politiques d’utilisation de cette plateforme. Une des solutions est d’appliquer les politiques de sécurité en vigueur pour vos courriels professionnels à Slack.

Cela demande toutefois plus d’efforts que de simplement les écrire noir sur blanc quelque part. Les entreprises devraient intégrer une formation dédiée à Slack dans le processus d’intégration des salariés. Elles devraient également proposer périodiquement des sessions de remise à niveau pour veiller à ce que les informations dispensées restent gravées dans l’esprit de leurs employés.

5. Utilisez des canaux afin de gérer les accès des utilisateurs externes

Si vous collaborez avec des clients ou des fournisseurs sur Slack, limitez l’accès aux informations de votre entreprise en créant des canaux. Vous pouvez utiliser Slack Connect pour les inviter et contrôler les données auxquelles ils peuvent accéder.

Veillez à connaître précisément les canaux privés et publics accessibles par des tiers. Une fois le projet mené à bien, supprimez le canal et l’accès externe disparaîtra.

6. Faites preuve de prudence avec les intégrations d’applications tierces

Slack propose des intégrations avec de nombreuses applications, dont Google Drive et Dropbox. Cela peut s’avérer pratique, mais n’est pas dénué de risques. Avec chaque application tierce connectée à Slack, les risques de vulnérabilités augmentent. Le niveau de sécurité global de Slack est donc égal à celui de l’application liée la moins fiable.

Bien qu’en règle générale la plupart des intégrations les plus populaires soient sûres, il est prudent de limiter au maximum de telles connexions. Les administrateurs devraient être les seuls à approuver de telles intégrations. Cela limite la probabilité que des employés ajoutent des applications tierces risquées de leur propre initiative.

7. Prenez garde aux tentatives d’hameçonnage

Tout comme les courriels, Slack n’est pas à l’abri des attaques par hameçonnage. En 2017, des pirates ont envoyé de faux messages Slackbot à un groupe de passionnés de cryptomonnaies sur Slack. Ces messages les renvoyaient vers un site internet frauduleux demandant des informations financières. Les messages directs sur Slack font également partie des méthodes d’hameçonnage les plus en vogue pour piéger les utilisateurs non avertis de la plateforme.

La plupart des internautes savent comment reconnaître des tentatives d’hameçonnage lorsqu’elles arrivent dans leur boîte de réception, mais les messages directs dangereux reçus sur des outils plus récents, comme Slack, éveillent moins leurs soupçons. Les pirates exploitent ce niveau de méfiance plus faible pour piéger les utilisateurs et les inciter à divulguer des informations confidentielles. Connaître les astuces utilisées à des fins d’hameçonnage permet déjà de réduire les risques.

8. Utilisez un bon programme antivirus

Chaque fois que vous vous connectez au net, il y a un risque que votre appareil soit infecté par des programmes malveillants. C’est également le cas avec Slack. Il est bien trop facile de cliquer accidentellement sur un lien douteux ou, pour un salarié, d’ouvrir une pièce jointe suspecte. Lorsque cela arrive, les chances que du contenu malveillant finisse sur un ordinateur ou sur le serveur d’une organisation sont grandes. Une protection antivirus solide identifie ces menaces et agit rapidement afin de les éradiquer avant qu’ils ne génèrent des problèmes plus importants.

Pour découvrir comment un programme antivirus peut vous aider à rester en sécurité en ligne et trouver celui qui est le plus adapté à vos besoins, consultez notre liste des meilleurs logiciels antivirus de 2022.

Conclusion

Slack est un outil extrêmement populaire en matière de communication instantanée et de collaboration. Les atouts de Slack s’accompagnent toutefois de risques de sécurité.

Pour les entreprises et les individus utilisant cette plateforme, il est essentiel de faire preuve de vigilance quant aux menaces de sécurité et aux mesures à prendre pour les minimiser. Abstenez-vous d’envoyer des informations confidentielles sur Slack. Utilisez l’authentification à deux facteurs (2FA) pour renforcer la sécurité de connexion. Gardez un contrôle strict des personnes ayant accès à Slack.

Des mesures de sécurité basiques combinées aux protocoles de sécurité rigoureux de Slack rendent la plateforme sûre et en font un outil de collaboration et de communication performant.