Quelle sécurité informatique lors de l'usage de logiciels libres?

Bonjour,

j’ai conscience que la formulation de la question est un peu, beaucoup large, donc je précise le contexte. Dans le cadre des formations avec Koweb, nous rencontrons des acteurs, en l’occurrence des collectivités, qui ont choisi Microsoft Teams pour garantir une bonne sécurité, que ce soit en terme de données ou de risque de piratage des systèmes. Il s’avère que Teams n’est pas des plus fluides et des plus accessibles pour plusieurs usages collaboratifs, dont la visio, surtout que pour garantir un haut niveau de sécurité, il est souvent nécessaire de créer des comptes ou de donner des accès personnalisés, personne par personne (d’après ce client). Certaines personnes souhaitent donc utiliser des outils externes, et en particulier des logiciels libres, ne serait-ce que des Pads, des Scrumblr ou des Jitsi. Elles me posent alors la question des risques informatiques qu’elles encourent en utilisant ce type d’outils depuis leur poste de travail professionnel. Je pousse aussi la question jusqu’à des outils plus complets comme Nextcloud. @lolozere @pHneutre @pierreok Merci pour vos lumières, au moins sur les éléments essentiels car je crois savoir que ce sujet est à la fois spécifique et subtil. L’intention est bien sûr de pouvoir lever des freins d’usage du libre qui ne se justifieraient pas.

Je ne suis pas trop expert de ces questions mais je pense qu’il faut différencier deux sujets :

  • Confidentialité : dans quelle mesure les informations qui transitent par l’outil peuvent être captées
  • Sécurité : est-ce que l’outil est protégé d’attaques permettant d’aspirer ou corrompre les données (notamment pour demander une « rançon »).

Pour protéger l’outil, dans le cas d’un logiciel libre, il faut choisir un hébergeur qui s’engage à veiller aux mises à jour de sécurité. Il doit aussi sauvegarder régulièrement les données dans des espaces inattaquables. Le bonus, est qu’il aie un service de vigilance pour détection des attaques. Des opérateurs comme Microsoft sont au taquet là dessus car ce sont des cibles prioritaires. Les outils des collectivités aussi je pense. Faut donc trouver le bon hébergeur.

Pour ce qui concerne la confidentialité, si la sécurité est assurée c’est déjà un point. Ensuite, on peut aborder à mon avis ce point selon 4 angles :

  1. Le lieu d’hébergement des données : Data Center en Europe ou ailleurs ? Il faut mieux qu’il soit en France pour bénéficier des lois de protection de données assez fortes dans notre pays.
  2. La confiance dans l’hébergeur : est-ce qu’il garantit un contrôle et une traçabilité sur les accès aux données que leur collaborateur pourraient faire ? Il existe des certifications ou normes dans ce domaine. Si on prend par exemple la page suivante de la plateforme Trello : Trello Trust Center: Security, Legal & Privacy Information | Trello on peut en découvrir certaines.
  3. Les utilisateurs-trices : ce sont souvent eux les premiers responsables d’une fuite de données car ils ne mettent pas au bon endroit une donnée (ou qu’ils la partagent de la mauvaise façon). Ou alors ils se font avoir par du hameçonnage.
  4. Les informations : lesquelles ont besoin de protection et lesquelles non (avec toutes les nuances que cela peut comporter).

Pour revenir au concret d’utiliser des outils libres comme Pads, des Scrumblr ou des Jitsi, au sein de collectivités, voici mon point de vue : ce sont des outils faits pour travailler à plusieurs dans l’instant ou sur une courte durée. Ce sont des outils par défaut ouverts (les liens vers les réunions ou les documents sont publiques donc tout le monde peut y avoir accès).

  • Jitsi : tant que la visioconférence n’est pas enregistrée par l’instance, que le lien de la visio ne peut se deviner facilement, qu’il soit différent à chaque visio et qu’il n’est communiqué qu’aux personnes concernées : feu vert pour moi. Personne d’autre ne pourra aller dans la visio et aucune trace n’est laissée.
  • Pad (Etherpad) et Scrumblr : deux approches possibiles.
    1. Soit informer les utilisateurs-trices de ne mettre aucune information confidentielle et de ne pas y déposer des sujets touchy
    2. Soit choisir des instances qui ne conservent qu’un temps le données et former les personnes à 1/ diffuser les URL qu’aux personnes concernées, 2/ et qu’il faut penser à faire des exports / synthèses sur le cloud sécurisé de l’organisation.

Dans tous les cas, pour ces usages, pas besoin de sortir l’artillerie lourde sur le volet sécurité sauf si on n’est sur des travaux collaboratifs hyper sensibles car les personnes engagées ont des hauts niveaux d’informations (genre les ministres :slight_smile: mais dans ce cas on leur met un outil spécial et renforcé pour eux-elles !)

Pour Nextcloud, il faut par contre, vraiment faire attention au côté sécurité et au point 1 et 2 sur la confidentialité car on n’est sur des données durables et donc l’information sensible va s’accumuler. La formation des personnes sera aussi importante pour apprendre à partager correctement (bonne organisation des documents et bonne maitrise de la fonction de partage).

2 « J'aime »