Lors de notre dernier entretien avec Geoff Belknap, le directeur de la sécurité de Slack, nous lui avions demandé ce qui l’empêchait de dormir. Sa réponse avait été immédiate : proposer le produit le plus sûr possible et protéger les données des clients. « Je me sers de tout ce qui m’empêche de dormir et de tout ce qui empêche nos clients de dormir pour élaborer des plans, réfléchir à des indicateurs et renforcer la notion de responsabilité », avait-il ajouté.
Ainsi, dans le cadre de notre engagement permanent pour la protection des données de nos clients, nous lançons la gestion des clés de chiffrement Slack Enterprise (Slack EKM), une fonctionnalité complémentaire d’Enterprise Grid qui vous permet à vous, le client, d’utiliser vos propres clés de chiffrement dans Slack afin d’avoir une visibilité et un contrôle parfaits sur vos données.
Nous avons demandé à M. Belknap de nous expliquer ce que cela signifie pour nos clients les plus soucieux de leur sécurité.
Qu’est-ce que la gestion des clés de chiffrement Slack Enterprise ?
Geoff Belknap : Slack chiffre déjà vos données pendant leur trafic et leur stockage. Mais Slack EKM offre un niveau supplémentaire de protection permettant à nos clients, et plus particulièrement ceux dont le secteur est très réglementé, de partager des conversations, des données et des fichiers dans Slack tout en restant conforme à des normes d’atténuation des risques.
Slack EKM se distingue par deux caractéristiques bien distinctes. Tout d’abord, en permettant aux clients d’utiliser leurs propres clés de chiffrement (qui sont ensuite gérées dans AWS KMS d’Amazon), les clients bénéficient de davantage de contrôle et de visibilité sur leurs données les plus sensibles.
Mais ce qui différencie véritablement notre système, c’est qu’en cas d’incident, par exemple, les administrateurs peuvent choisir de bloquer l’accès de manière extrêmement ciblée plutôt que de bloquer l’accès à l’ensemble du produit. Grâce à ce contrôle ciblé, les équipes peuvent continuer de travailler pendant que les administrateurs évaluent les risques.
Pourquoi proposons-nous Slack EKM ?
GB : Les organisations soucieuses de leur sécurité et qui travaillent dans des secteurs très réglementés, comme les services financiers, la santé et le secteur public, n’ont généralement pas beaucoup de choix dans les outils de collaboration qu’ils peuvent utiliser. C’est pourquoi nous souhaitions concevoir une expérience qui répondrait à leurs besoins spécifiques en matière de sécurité.
Qu’est-ce que nos clients doivent absolument savoir sur Slack EKM ?
GB : C’est vous, notre client, qui avez le contrôle total sur vos clés de chiffrement. C’est vous qui décidez si vous souhaitez les bloquer et de la date de blocage. Non seulement vous pouvez contrôler l’accès de façon très précise, mais vous pouvez également savoir comment les données sont utilisées. Les journaux d’activité détaillés disponibles dans AWS KMS d’Amazon indiquent précisément la date et le point d’accès à vos données.
Si un client ou un administrateur bloque l’accès, cela empêche-t-il les collaborateurs d’utiliser Slack et ses fonctionnalités ?
GB : Nous avons conçu Slack EKM pour limiter les perturbations. Contrairement à d’autres solutions, avec la nôtre, ce n’est pas « tout ou rien ». Vous pouvez bloquer l’accès de façon très précise.
Les clients peuvent par exemple choisir de bloquer l’accès aux données à certaines heures de la journée et dans certains canaux. Ainsi, en cas de problème, vous n’êtes pas tenu(e) d’arrêter complètement Slack et d’empêcher toutes les équipes et tous les départements d’accéder à l’outil. Vous pouvez bien sûr le faire si vous le souhaitez, mais avec cette solution, il est beaucoup plus facile de sécuriser vos données sans restreindre l’accès aux fonctionnalités dont les collaborateurs ont besoin pour travailler au quotidien.
Quelles précautions les clients Slack peuvent-ils prendre pour protéger leurs données ?
GB : Que vous travailliez dans une gigantesque multinationale ou que vous collaboriez avec une seule autre personne dans un espace de travail Slack gratuit, vous ne devez jamais perdre de vue les principes de base suivants :
- N’invitez que des personnes que vous connaissez à rejoindre votre espace de travail Slack.
- Faites preuve de discernement quant aux applis que vous utilisez et aux utilisateurs qui sont autorisés à les ajouter.
- Consultez régulièrement vos journaux d’accès Slack pour pouvoir repérer d’éventuels comportements suspects. Par exemple, Slack vous prévient si l’une de vos clés API a été exposée. Slack vous avertit également lorsque les utilisateurs se connectent à partir d’une nouvelle adresse IP. Exploitez ces informations pour protéger les utilisateurs et prendre les bonnes décisions en matière de sécurité.
Quel est l’aspect le plus difficile du rôle de directeur de la sécurité de Slack ?
GB : Le poste de directeur de la sécurité est difficile, mais j’ai beaucoup de chance de l’occuper chez Slack. À tous les niveaux de l’entreprise, la sécurité est considérée comme une partie intégrante de la réussite de Slack et de celle de nos clients.