Slack indique avoir reçu 7000 nouvelles demandes d'abonnement à un compte payant du 1er février au 18 mars. C’est 40 % de plus qu’il y a un an. L’entreprise a affirmé avoir 12 millions d'utilisatrices et d’utilisateurs actifs en octobre 2019. Mais combien d’entre eux ont conscience des risques et ont mis en place des procédures afin de renforcer la protection des données ?
Pandémie de covid-19 oblige, des entreprises ont (re)découvert des plateformes d’outils collaboratifs comme Teams, Slack ou d’autres un peu moins connues comme Spike et Fleep.
Comme Teams de Microsoft, Slack a vu le nombre d’inscrits augmenter très fortement depuis quelques semaines. Les collaborateurs se sont approprié cet outil qui procure des gains de temps et de productivité !
Mais les entreprises ont-elles conscience de tous les risques ? La plupart d’entre elles ne disposent pas des ressources nécessaires pour contrôler manuellement toutes les informations transitant par l'application.
Pourtant, en 2015, Slack a subi un piratage informatique, durant lequel de nombreuses données utilisateur ont été volées. Depuis, l’entreprise a amélioré ses normes de sécurité et introduit l’authentification à deux facteurs.
Violation massive
Plus récemment, le 14 novembre 2019, Evan Custodio (un expert en sécurité web) avait signalé le bug à Slack via le programme de bug bounty HackerOne de Slack. Il a touché 6500 dollars pour la découverte de cette faille de sécurité (corrigée en 24 h) qui permettait aux pirates d'automatiser la prise de contrôle de comptes arbitraires après avoir volé des cookies de session en utilisant une attaque de détournement HTTP Request Smuggling CL.TE sur https://slackb.com/.
Cette faille « pouvait conduire à une violation massive d'une majorité des données des clients », selon Evan Custodio. Cet exemple montre que Slack doit être utilisé avec précaution.
Or, Slack est initialement utilisée sous forme de petits déploiements non autorisés (shadow IT) au sein de groupes de travail internes… Les organisations ignorent le plus souvent qu’elles permettent ainsi à des données sensibles de quitter le périmètre du SI et d'être stockées au sein de Slack.
De façon indéniable, Slack permet d’améliorer la productivité des entreprises. Mais dans le même, il risque malheureusement d’ouvrir des brèches de sécurité. Les entreprises se doivent de prendre des mesures concrètes pour s'assurer que leurs données sont utilisées et sécurisées correctement.
Les entreprises ont intérêt à revoir leur approche en matière de gestion de la sécurité. Mieux vaut éduquer les salariés que de sévir. Il existe bien sûr les bons gestes, ou bonnes pratiques simples à mettre en œuvre lorsque leurs employés utilisent des outils collaboratifs tels que Slack.
Surveiller les flux
« À travers des formations régulières en matière de sécurité sur le Cloud, les entreprises peuvent sensibiliser leurs collaborateurs aux risques auxquels ils peuvent exposer l’intégrité de leurs données et de leur entreprise », explique Anurag Kahol, CTO chez Bitglass.
Les entreprises doivent également mieux communiquer sur la sensibilité des données qu’ils sont amenés à manipuler dans le cadre de leur travail, ainsi que sur les droits d’accès et de consultation des données internes accordés à leurs salariés. L’adoption d’une politique de mots de passe complexes, aussi utile qu’indispensable, fait partie des actions les plus simples à mettre en place.
De toute évidence, ces recommandations devraient également être renforcées par des outils pertinents de gestion et de suivi en matière de sécurité sur le Cloud.
Encore plus dans le cas d’entreprises qui utilisent Slack comme principal outil de collaboration. De telles organisations nécessitent une solution offrant une visibilité complète et des niveaux de contrôle extrêmement granulaires.
En d'autres termes, elles doivent être en mesure de surveiller et de gérer le flux de messages et de fichiers afin de pouvoir sécuriser les informations sensibles dans le Cloud.
Un des moyens pour y parvenir consiste à utiliser une plateforme de type Cloud Access Security Broker (CASB). Ces solutions fournissent non seulement des contrôles robustes indiquant comment et quand les utilisateurs peuvent accéder à des applications telles que Slack, mais également une visibilité et un contrôle sur la manière dont les données sont partagées.