Encore relativement anonyme il y a quelques années, Slack est aujourd’hui l’une des applications Cloud de collaboration en équipe les plus populaires au monde, avec plus de 10 millions d’utilisateurs actifs quotidiens et plus de 85 000 clients payants dans le monde. Pour de nombreuses entreprises, Slack est initialement utilisée sous forme de petits déploiements non autorisés (shadow IT) au sein de groupes de travail internes. À partir de là, l’utilisation de l’application grimpe généralement en flèche.

Les sociétés ignorent le plus souvent qu’elles permettent ainsi à des données sensibles de quitter l’entreprise et d’être stockées au sein de Slack. Elles se doivent de prendre des mesures concrètes pour s’assurer que leurs données sont utilisées et sécurisées correctement.

Quels sont alors les principaux obstacles ? Et surtout, comment est-il possible de les surmonter grâce à l’utilisation de solutions de sécurité modernes conçues pour le Cloud ?

Slack : accélérateur de productivité… et danger pour la sécurité des données

« Je te slack ça » est aujourd’hui une expression courante pour indiquer le partage d’informations via la plate-forme. Quotidiennement, des milliards de messages et de fichiers sont échangés. De façon indéniable, Slack permet d’améliorer la productivité des entreprises. Mais dans le même, il risque malheureusement d’ouvrir des brèches de sécurité. Les salariés peuvent partager un large éventail de fichiers potentiellement sensibles sur l’application, allant des diagrammes d’architecture et du code propriétaire aux données personnelles, ou encore des données financières, etc. Ces informations, si elles venaient à tomber entre de mauvaises mains, pourraient être extrêmement dommageables pour l’entreprise. Or, la plupart d’entre elles ne disposent pas des ressources nécessaires pour contrôler manuellement toutes les informations transitant par l’application. De plus, les administrateurs informatique ne disposent d’aucune visibilité directe sur les informations partagées via la messagerie directe de Slack. Ceci crée un risque évident pour la sécurité de l’entreprise.

A l’ère du Cloud, éduquer au lieu de sévir

Il est difficile d’imaginer la suppression d’un outil que les salariés se sont appropriés et qui procure gains de temps et de productivité ! C’est pourquoi les entreprises ont intérêt à revoir leur approche en matière de gestion de la sécurité. Mieux vaut éduquer les salariés que de sévir. Il existe bien sûr les bons gestes, ou bonnes pratiques simples à mettre en œuvre lorsque leurs employés utilisent des outils collaboratifs tels que Slack. Ainsi, à travers des formations régulières en matière de sécurité sur le Cloud, les entreprises peuvent sensibiliser leurs collaborateurs aux risques auxquels ils peuvent exposer l’intégrité de leurs données et de leur entreprise.

Les entreprises doivent également mieux communiquer sur la sensibilité des données qu’ils sont amenés à manipuler dans le cadre de leur travail, ainsi que sur les droits d’accès et de consultation des données internes accordés à leurs salariés. L’adoption d’une politique de mots de passe complexes, aussi utile qu’indispensable, fait parti des actions les plus simples à mettre en place.

De toute évidence, ces recommandations devraient également être renforcées par des outils pertinents de gestion et de suivi en matière de sécurité sur le Cloud. Encore plus dans le cas d’entreprises qui utilisent Slack comme principal outil de collaboration. De telles organisations nécessitent une solution offrant une visibilité complète et des niveaux de contrôle extrêmement granulaires. En d’autres termes, elles doivent être en mesure de surveiller et de gérer le flux de messages et de fichiers afin de pouvoir sécuriser les informations sensibles dans le Cloud.

Résoudre le problème de la sécurité nécessite-t-il un investissement conséquent ?

Pas nécessairement ! Un des moyens pour y parvenir consiste à utiliser une plateforme de type Cloud Access Security Broker (CASB). Ces solutions fournissent non seulement des contrôles robustes indiquant comment et quand les utilisateurs peuvent accéder à des applications telles que Slack, mais également une visibilité et un contrôle sur la manière dont les données sont partagées.

La mise en œuvre de ce type de solution ne requiert ni une installation ni une configuration complexe. Elle offre aux organisations, indépendamment de leur taille, et même si elles ne possèdent pas de services informatiques, les bénéfices d’une plateforme de sécurité moderne sans devoir investir lourdement ni recourir à des compétences dont elle peut ne pas disposer en interne.

Les principales solutions du marché permettent aux organisations de voir les données sensibles qui sont partagées, qui les partage, quel type de données et où elles ont déjà été partagées. Cette notion d’historique est essentielle pour revenir sur une brèche éventuelle afin de la colmater et d’éviter qu’elle ne se reproduise. Et pour s’assurer que les données sensibles ne tombent entre de mauvaises mains, les organisations peuvent définir des stratégies qui leur permettent de masquer automatiquement lesdites données dans les messages et les fichiers Slack en fonction des besoins.

Enfin, les plateformes de sécurité Cloud offrent plusieurs autres fonctionnalités additionnelles indispensables pour sécuriser l’utilisation d’un logiciel comme Slack et protéger les données de l’entreprise. L’authentification multi-facteurs (MFA) vérifie l’identité de l’utilisateur au-delà de la simple utilisation d’un mot de passe, la prévention des pertes de données (DLP) étend divers niveaux d’accès aux données pour les utilisateurs en fonction de leurs besoins et privilèges, et la protection avancée contre les menaces (ATP) empêche les logiciels malveillants de proliférer à travers le Cloud.

Comment fonctionne une plateforme de sécurité cloud ?

En s’intégrant à l’API (interface de programmation d’application) de Slack et au trafic utilisateur, la plateforme CASB peut analyser automatiquement l’ensemble du déploiement Slack d’une entreprise à travers l’ensemble de ses équipes et de ses canaux. Elle permet d’appliquer des règles en temps réel qui sécurisent le comportement des utilisateurs, même sur les canaux privés et les messages. Ainsi, les données sensibles sont surveillées, tandis que le partage à haut risque peut être rapidement identifié et automatiquement atténué. Cela permet aux équipes chargées de la sécurité informatique de gagner beaucoup de temps et de protéger les données efficacement.

Les principaux CASB fonctionnent également sans agent. Ainsi, les entreprises peuvent atteindre le niveau souhaité de visibilité et de contrôle des données dans Slack sans avoir à installer d’agents sur chaque périphérique utilisé. Cela peut être particulièrement intéressant dans les grandes entreprises comptant des milliers d’employés, car l’installation d’agents sur tous les périphériques utilisés pour accéder aux données de l’entreprise peut s’avérer extrêmement complexe du point de vue logistique, sans parler des mises à jour logicielles régulières à déployer individuellement pour chaque périphérique.

Protéger les données professionnelles et la vie privée

Les solutions sans agent montrent tout leur intérêt dans les environnements BYOD (Bring Your Own Device) où les salariés sont autorisés à travailler à partir de leurs terminaux personnels et ne veulent rien installer sur eux, pour protéger leur vie privée. Comme les outils basés sur des agents capturent tout le trafic sur les périphériques sur lesquels ils sont installés (qu’ils soient professionnels ou personnels), les employés ont tendance à se montrer réticents. Une plateforme de cyber sans agent, dotée d’un ensemble complet de fonctionnalités, s’avère essentiel pour assurer une sécurité Slack intégrale et déployable qui respecte la confidentialité aussi bien personnelle que professionnelle de l’utilisateur.

Face à la popularité croissante de Slack de nombreuses entreprises ne savent toujours pas comment gérer au mieux la sécurité des données, notamment du point de vue de l’utilisateur final. Heureusement, il existe des solutions modernes qui permettent aux entreprises d’obtenir une cyber sécurité robuste dans le Cloud, ce qui signifie qu’elles peuvent tirer parti en toute confiance des avantages de Slack en termes de productivité, ainsi que de toute autre application web devenue stratégique.
___________________

Par Anurag Kahol, CTO chez Bitglass