Contrôle de la conformité de la sécurité de Slack : Tout ce que vous devez savoir

Alors que de plus en plus d'entreprises se tournent vers des outils de collaboration en temps réel tels que Slack pour soutenir le flux de travail moderne, la sécurité et la conformité réglementaire constituent un domaine de préoccupation croissante pour les organes directeurs et les dirigeants. Ce billet couvre tout ce que les administrateurs d'espaces de travail doivent savoir sur le maintien de la conformité dans Slack et la sécurisation des données de leur entreprise afin de minimiser le risque d'amendes, de pénalités et d'autres mesures législatives.

Qu'est-ce que le contrôle de conformité ?

Le contrôle de conformité est le processus continu qui consiste à s'assurer qu'une organisation respecte les lois, les règlements et les politiques internes d'utilisation acceptable. Pour ce faire, les entreprises déploient une série de mesures pour suivre et évaluer l'activité des employés au sein des outils et des applications autorisés par le travail. Ces mesures visent à détecter les comportements non conformes ou risqués et à atténuer les risques d'amendes et de sanctions réglementaires. Un contrôle efficace de la conformité permet de réduire les risques, de maintenir des pratiques éthiques et de préserver la réputation de l'organisation.

Pourquoi le contrôle de conformité est-il essentiel pour les entreprises modernes ?

Aujourd'hui, une grande partie du travail s'effectue en ligne dans des outils basés sur le cloud et au sein d'équipes distribuées. Le contrôle de la conformité est donc plus important que jamais pour protéger les données sensibles manipulées par une entreprise. Ces données peuvent inclure des données réglementées telles que des informations de santé personnelles (PHI) et des données de l'industrie des cartes de paiement (PCI), ainsi que des informations de propriété intellectuelle et d'autres informations exclusives et confidentielles.

Dans le passé, ces informations sensibles et réglementées auraient été limitées à des solutions sur site telles que des dossiers papier ou des réseaux informatiques fermés, ce qui aurait réduit la nécessité d'un contrôle de conformité. Les informations circulant librement entre les appareils et les applications, les entreprises doivent déployer des solutions 24 heures sur 24 dans tous les lieux où travaillent leurs employés :

• Protéger les données et la vie privée
• Se prémunir contre les risques de cybersécurité
• Prévenir les infractions et les amendes qui en découlent
• Soutenir la culture d'entreprise

Quels sont les problèmes de conformité liés à l'utilisation de Slack ?

Slack est un outil de collaboration extrêmement populaire, mais il comporte des défis pour les responsables de la conformité. Il s'agit notamment de

• Partage de données sensibles: Les employés utilisent Slack pour accélérer le travail en partageant des informations et des fichiers confidentiels, qui sont ensuite conservés indéfiniment dans les instances payantes de Slack.
• eDiscovery et recherche: La recherche d'informations dans Slack peut s'avérer difficile, car les messages ont des paramètres de visibilité différents selon qu'ils sont envoyés dans des canaux publics, des canaux privés ou des messages directs.
• Complexité des données: Les ensembles de données générés par les plateformes de collaboration comme Slack sont énormes - chaque employé d'un lieu de travail moyen envoie 30 à 40 messages par jour, ce qui signifie que même de petites instances Slack peuvent contenir des millions de messages et de fichiers.
• Modifications et suppressions: Les utilisateurs de Slack (gardiens) conservent un contrôle total sur les messages qu'ils envoient et peuvent les modifier ou les supprimer à tout moment. Il est donc plus difficile pour les responsables de la conformité de comprendre quand des violations potentielles ont pu se produire.
• Intégrations tierces: Slack se connecte à des milliers d'applications et d'outils différents, dont chacun pourrait accroître les risques de sécurité des données en partageant des informations sensibles. Les administrateurs doivent s'assurer que les intégrations répondent aux mêmes normes de conformité que Slack.

Quels sont les contrôles de conformité natifs de Slack ?

Slack soutient les équipes de conformité et d'infosécurité en fournissant un certain nombre de fonctionnalités et de contrôles pour aider à gérer les informations sensibles dans les messages Slack. Tout d'abord, Slack est conforme à une série de normes mondiales de sécurité et de confidentialité, notamment ISO 27001, SOC 2, SOC 3, APEC PRP et APEC CBPR. En outre, Slack permet aux administrateurs d'utiliser son logiciel d'une manière conforme aux principales réglementations de conformité telles que GDPR, CCPA/CPRA, HIPAA, FINRA, FedRAMP et plus encore.

Pour assurer la conformité des entreprises, Slack propose des contrôles de résidence des données qui permettent aux administrateurs de choisir la région géographique où sont stockées leurs données au repos. Slack propose également un addendum sur le traitement des données, qui décrit les obligations et les exigences de Slack en vertu du GDPR, de la CCPA et d'autres législations similaires en ce qui concerne le traitement des données des utilisateurs. Collectivement, ces fonctionnalités peuvent aider les administrateurs de l'espace de travail à soutenir et à faire respecter la conformité dans Slack. Cependant, ils ne fournissent pas tous les contrôles nécessaires pour assurer la conformité dans l'environnement Slack.

La conformité au sein de Slack devrait être renforcée par des outils de conformité tiers qui peuvent surveiller les messages Slack en temps réel, soutenus par une formation régulière des employés pour limiter la divulgation accidentelle d'informations sensibles ou restreintes.

Comment Slack se protège-t-il contre le phishing et d'autres attaques ?

Sécuriser Slack contre les accès non autorisés d'utilisateurs tiers est essentiel pour protéger les données de l'entreprise qu'il contient. Voici quelques exemples de pertes de données et d'atteintes à la conformité qui se sont produites par l'intermédiaire de Slack :

• Des images de Grand Theft Auto VI ont été divulguées après le piratage de Slack de Rockstar Games.
• Le code source de FIFA 21 et d'autres données ont été dérobés à EA Games via une brèche dans Slack
• Un pirate informatique a eu accès à des données financières confidentielles et à des identifiants de compte d'Uber et l'a annoncé sur le site Slack de l'entreprise.

Slack prend des mesures pour empêcher les mauvais acteurs d'accéder aux espaces de travail professionnels, notamment en limitant les connexions aux comptes appartenant à l'entreprise et en contrôlant davantage l'accès via la gestion des clés de chiffrement. Pour plus de sécurité, Slack permet également l'authentification à deux facteurs, qui peut être appliquée à l'ensemble de l'espace de travail par les administrateurs. Même si le 2FA n'est pas obligatoire, les administrateurs et les propriétaires doivent utiliser le 2FA lorsqu'ils se connectent à leurs comptes. Les administrateurs peuvent également exiger une authentification single (SSO), en ajoutant une couche de sécurité supplémentaire avec un fournisseur d'identité (IDP) tel que Azure Active Directory (maintenant Microsoft Entra ID), Google Workspace (SAML), Okta ou OneLogin.

Outre les mesures de sécurité propres à Slack, les organisations peuvent connecter leur instance Slack à des applications tierces conçues pour réduire le risque d'attaques malveillantes. Les solutions disponibles comprennent des services DLP et CASB pour protéger les données et limiter l'accès, ainsi que des logiciels de surveillance et d'alerte en temps réel qui peuvent détecter les incidents d'initiés dès qu'ils se produisent.

Collectivement, ces mesures peuvent réduire la menace posée par les pirates et autres acteurs malveillants au sein de Slack, mais les employés devraient également être régulièrement formés sur la façon d'identifier les attaques de phishing (email) et de smishing (SMS) dès qu'elles se produisent. La violation d'Uber, par exemple, a été le résultat d'une attaque de fatigue MFA, où le pirate a envoyé à plusieurs reprises des demandes de connexion au dispositif 2FA de l'employé jusqu'à ce que l'employé en approuve finalement une.

4 étapes pour réduire les risques de sécurité et de conformité dans Slack

Étape 1 : Définir des directives claires pour Slack

Tout outil de travail doit faire l'objet d'une évaluation de sécurité avant d'être utilisé. L'établissement proactif de politiques d'utilisation acceptable peut aider les employés à comprendre comment utiliser un outil et quels sont les comportements à éviter. Cela peut réduire les activités non conformes et limiter l'exposition de l'organisation.

Étape 2 : Former les employés à une utilisation acceptable

Il ne sert à rien d'élaborer des politiques sans former les employés à leur application. N'enterrez pas les directives sur l'utilisation acceptable, mais faites de la formation et des rappels une partie intégrante de votre stratégie d'infosécurité et déployez un outil de modération de contenu capable de soutenir et d'accompagner les employés en temps réel.

Étape 3 : Établir des politiques de conservation des données

La conservation des données est un élément majeur de la conformité réglementaire. La durée de conservation des informations par les entreprises et la facilité d'accès à ces informations sont des dispositions clés de réglementations telles que HIPAA, FINRA et GDPR. Les entreprises doivent disposer d'un plan pour instaurer et appliquer des exigences de conservation dans Slack.

Étape 4 : Activer la surveillance en temps réel de Slack

Utilisez un outil capable de surveiller et d'analyser les messages Slack en temps réel pour détecter les activités non conformes et risquées dès qu'elles se produisent et prendre des mesures correctives pour réduire l'exposition au risque dans Slack.

Comment Mimecast Aware permet la conformité en temps réel pour Slack

Mimecast Aware permet aux administrateurs d'établir et d'appliquer facilement la conformité et l'utilisation acceptable dans Slack. La plateforme alimentée par l'IA de Mimecast Aware a été conçue pour réduire les risques et extraire de la valeur des données de collaboration des employés dans Slack et d'autres outils en utilisant un traitement du langage naturel (NLP) exclusif qui fait ressortir plus d'événements avec moins de faux positifs.

Seul fournisseur de Slack approuvé pour la prévention des pertes de données et l'eDiscovery, Mimecast Aware offre une surveillance et un contrôle holistiques des données Slack, répondant ainsi aux besoins des équipes de sécurité, de conformité et d'infosec. Mimecast Aware se connecte à Slack via l'API pour capturer un enregistrement complet de tous les messages, y compris les révisions et les suppressions, et les stocke dans une archive prête à la recherche infusée avec des métadonnées AI/ML pour une découverte plus rapide et une meilleure analyse contextuelle du qui, quoi, où, quand, comment et pourquoi des incidents de sécurité.

Les automatismes intelligents prennent des mesures immédiates dès qu'une non-conformité ou un risque pour les données est détecté, en tombant sur des messages à examiner ou en formant automatiquement les employés aux politiques d'utilisation acceptable afin de minimiser les violations futures. Les politiques de conservation bidirectionnelles s'appliquent de la même manière aux données en place et aux données Slack archivées, ce qui signifie que les administrateurs peuvent se conformer aux exigences réglementaires et aux politiques internes de manière contrôlée et défendable, avec l'appui de journaux d'audit complets.

Grâce à Mimecast Aware, les entreprises peuvent rapidement et facilement faire respecter la conformité et l'utilisation acceptable sur Slack et d'autres outils de collaboration à partir d'un tableau de bord centralisé conçu et construit pour répondre aux complexités uniques de cet ensemble de données.

FAQ sur le contrôle de conformité de Slack

Slack est-il conforme à la loi HIPAA ?

Bien que Slack ne soit pas conforme à la loi HIPAA, il peut être utilisé de manière à soutenir et à renforcer la conformité à la loi HIPAA. En savoir plus sur la conformité HIPAA dans Slack.

Slack est-il conforme au GDPR ?

Le GDPR, et les législations connexes telles que CCPA/CPRA, PIPEDA, et LGPD, décrivent comment les entreprises traitent les données des individus, y compris les employés. Slack fournit aux administrateurs des contrôles et des paramètres qui aident à soutenir ces législations dans les espaces de travail de l'entreprise. En savoir plus sur la conformité au GDPR dans Slack.

Slack est-il conforme à la norme NIST 800-171 ?

La norme NIST SP 800-171 décrit les procédures que les organisations non fédérales doivent suivre lorsqu'elles traitent des informations non classifiées contrôlées (CUI). Slack est certifié NIST 800-171.

Slack est-il conforme à la norme CJIS ?

La politique de sécurité des services d'information de la justice pénale (Criminal Justice Information Services Security Policy - CJIS) s'applique à toutes les organisations qui accèdent ou traitent des données de la justice pénale telles que des données biométriques, des historiques de cas et des données d'incidents. Il est largement utilisé par les premiers intervenants et les agences connexes. Slack est certifié conforme à la norme CJIS.

Slack est-il approuvé pour une utilisation par le ministère de la Défense ?

Les agences gouvernementales et du DoD peuvent utiliser GovSlack, une version sécurisée et conforme de Slack conçue pour une utilisation gouvernementale. GovSlack est conforme aux normes FedRAMP High, DoD SRG IL4 et FIPS 140-2.

Slack dispose-t-il d'un cryptage AES 256 bits ?

Slack offre une gamme de fonctions de sécurité et de cryptage, en fonction du niveau du plan Slack et des paramètres de l'administrateur. Il s'agit notamment des protocoles TLS 1.2, du chiffrement AES256, de l'algorithme d'échange de clés ECDHE_RSA et des signatures SHA2 lorsqu'elles sont prises en charge.

Comment Slack se conforme-t-il au Conseil des normes de sécurité PCI ?

Bien que Slack ne soit pas un fournisseur de services certifié PCI, il offre des fonctions de sécurité que les administrateurs peuvent mettre en œuvre pour protéger les données PCI dans Slack dans le cadre d'une stratégie de conformité plus large. Slack a également rempli le questionnaire d'auto-évaluation A (SAQ-A) de la norme de sécurité des données de l'industrie des cartes de paiement.

Quelle est la différence entre Slack et Slack Enterprise Grid ?

Slack Enterprise Grid est un niveau d'adhésion à Slack qui permet de prendre un contrôle plus granulaire d'une instance Slack afin d'appliquer des politiques de sécurité des données et de conformité. Les utilisateurs de l'Enterprise Grid peuvent également connecter leur instance Slack à des outils et applications tiers de conformité, de DLP, d'eDiscovery et d'autres outils et applications de sécurité via l'API.