Sécurité Slack : comment protéger vos données sensibles ?

Slack propose de nombreuses fonctionnalités de sécurité natives que les entreprises peuvent utiliser pour protéger leurs données et leurs utilisateurs. Cependant, pour tirer le meilleur parti de ces fonctionnalités, il faut souvent une configuration avancée et Slack Enterprise Grid. Même dans ce cas, des lacunes peuvent subsister, en particulier pour les organisations couvertes par des réglementations telles que HIPAA ou GDPR. Ce billet présente les caractéristiques et les risques de sécurité de Slack et explore comment vous pouvez mettre en œuvre une sécurité de niveau entreprise dans Slack.

Slack est-il sécurisé ? 

En tant qu'outil de collaboration d'entreprise, les employés peuvent être pardonnés de supposer que tout ce qu'ils tapent dans Slack est protégé et sécurisé. Slack propose un certain nombre de mesures de sécurité des données qui protègent les informations des utilisateurs contre l'exfiltration. Cependant, ces mesures peuvent ne pas être aussi complètes que les utilisateurs le supposent à première vue, et nombre d'entre elles nécessitent que les administrateurs de Slack les mettent en place de manière proactive.

Quelles données Slack conserve-t-il ?

L'analyse de millions de messages Slack réels permet de dresser un tableau inquiétant. Notre étude montre que l'environnement Slack moyen est un enchevêtrement d'angles morts, de risques cachés et de données sensibles. 

Quels sont les secteurs qui doivent être particulièrement prudents avec Slack pour des raisons de sécurité ?

Certaines organisations ont des exigences plus strictes que d'autres en matière de sécurité des données. Par exemple, ceux qui travaillent dans des secteurs très réglementés, tels que la finance ou la santé, doivent tenir compte des obligations qui leur incombent en vertu de législations telles que HIPAA et SEC 17a-4, afin de préserver les certifications de conformité.

En outre, le National Counterintelligence and Security Center (NCSC), l'Office of Economic Security and Emerging Technology (OESET) et des unités spéciales de l'Air Force et de la Navy ont récemment averti les entreprises technologiques qu'elles étaient confrontées à des risques accrus en matière de sécurité de l'information de la part d'acteurs étatiques étrangers, qui peuvent utiliser des outils d'entreprise tels que Slack pour exfiltrer des informations confidentielles.

Pour ces organisations, la meilleure pratique peut consister à restreindre l'accès à Slack aux adresses électroniques et aux appareils mobiles appartenant à l'entreprise. Dans tous les cas, la gestion des appareils doit faire partie intégrante de l'examen de la sécurité de Slack.

Types de données sensibles partagées sur Slack

Les messages de collaboration contiennent une quantité importante de données sensibles que les entreprises doivent protéger. Il s'agit d'informations réglementées telles que PII/PHI/PCI et d'informations non réglementées - mais précieuses - telles que la propriété intellectuelle et d'autres communications confidentielles.

• Informations d'identification personnelle (IIP)
• Informations personnelles sur la santé (ISP)
• Données du secteur des cartes de paiement (PCI)
• Propriété intellectuelle (PI)
• Fusions et acquisitions
• Toxicité, harcèlement et incitation à la haine 

La prolifération de ces informations dans l'environnement Slack pourrait conduire à une surveillance réglementaire intense et à des amendes et pénalités coûteuses. Les acteurs de la menace peuvent également utiliser des informations confidentielles pour mettre l'entreprise dans l'embarras ou lui faire perdre un avantage commercial. Les dernières études montrent que 12% des salariés emportent la propriété intellectuelle avec eux lorsqu'ils changent d'emploi. 

La raison pour laquelle tant de données sensibles sont stockées dans Slack est simple : les employés croient à tort qu'un outil approuvé par l'entreprise est un dépôt sécurisé pour toutes les données liées au travail. Le premier point d'échec de la sécurité de Slack est de ne pas former les employés sur ce qui constitue un partage d'informations approprié et inapproprié dans Slack. 

Les recherches d'Aware le confirment. Un client d'Aware a découvert 32 000 cas de données PCI/PII stockées dans des canaux Slack par des employés qui essayaient simplement de faire leur travail. 

Il ne suffit pas de coacher les employés. Pour protéger les données de l'entreprise contre l'exfiltration dans Slack, les entreprises doivent adopter une approche proactive de la gestion des menaces. Malheureusement, Slack ne déploie pas d'outils proactifs de sécurité des données en standard. Au lieu de cela, les entreprises doivent mettre en œuvre leurs propres contrôles de sécurité en utilisant des intégrations de sécurité des données de niveau entreprise et des applications tierces. 

Quelles sont les fonctions de sécurité intégrées de Slack ?

Cryptage des données dans Slack

Par défaut, Slack chiffre les données en transit et au repos. Cela signifie que les informations de Slack conservées dans des bases de données ou transmises sont protégées contre une exfiltration facile. Cependant, contrairement à d'autres applications de messagerie, Slack ne propose pas de chiffrement de bout en bout de ses données. Cela signifie que tout acteur de menace ayant accès au serveur Slack peut accéder à toutes les informations qu'il contient ou les exfiltrer. Cela pourrait également accroître la vulnérabilité de Slack aux malwares et à d'autres formes d'attaques. 

Le chiffrement de bout en bout est considéré comme l'étalon-or des politiques de sécurité des données, car les seules personnes qui peuvent accéder aux données sont l'expéditeur et le(s) destinataire(s) prévu(s), généralement en stockant les clés de chiffrement sur des appareils individuels plutôt qu'au niveau du serveur. 

chiffrement des données en transit (ou chiffrement des données en mouvement) 

chiffrement des données au repos (DARE) 

❌ Cryptage de bout en bout 

Gestion des clés d'entreprise de Slack 

Outre le chiffrement des données, Slack propose également d'autres outils de sécurité des données. Slack Enterprise Key Management (Slack EKM) permet aux entreprises d'intégrer leurs propres clés de chiffrement à leur environnement Slack. Les entreprises peuvent ainsi mieux contrôler la manière dont leurs données sont cryptées et les personnes qui peuvent y accéder grâce à des contrôles d'autorisation granulaires. Ces fonctions de vérification supplémentaires peuvent aider à lutter contre les attaques externes courantes, telles que les escroqueries par phishing, et à exclure les pirates dès qu'elles sont détectées. 

Journaux d'audit de Slack 

Si une entreprise a besoin d'effectuer des investigations judiciaires dans Slack, les journaux d'audit constituent un point de départ utile. Ces journaux enregistrent toutes les actions des utilisateurs dans Slack et permettent de créer des outils de surveillance personnalisés à l'aide de l'API des journaux d'audit. Cependant, les entreprises ne peuvent pas voir les messages que les employés envoient dans Slack et les journaux d'audit ne permettent pas de détecter les menaces de manière proactive. Cette fonctionnalité nécessite l'ajout d'une application Slack tierce pour la prévention des pertes de données (DLP) et/ou l'eDiscovery. 

Autres fonctions de sécurité des données de Slack 

Slack peut permettre aux utilisateurs de mieux contrôler qui accède à l'environnement et pour combien de temps, grâce à des outils de sécurité tels que les limites de session, l'authentification à deux facteurs, l' authentification multifactorielle et l'single sign-on (SSO). Ces paramètres peuvent rendre plus difficile l'accès des acteurs de la menace à un compte Slack d'entreprise et réduire le temps dont dispose un pirate pour agir. 

En résumé, Slack fournit un espace de travail sécurisé pour les entreprises en utilisant un chiffrement des données conforme aux normes de l'industrie en transit et au repos. Cependant, pour avoir une vision complète de ce qui se passe dans un environnement Slack d'entreprise, les sociétés doivent associer les capacités de sécurité natives de Slack à des plateformes de cybersécurité plus puissantes. 

Quels sont les différents problèmes de sécurité liés à Slack ? 

Lorsqu'il s'agit de protéger les environnements Slack des entreprises contre l'exfiltration de données, il y a plusieurs types de menaces à prendre en compte. Chacune d'entre elles nécessite sa propre stratégie de gestion proactive. 

Menaces pour la sécurité de la plateforme Slack 

Les risques de sécurité au sein même de Slack peuvent menacer la sécurité des données de l'entreprise en permettant aux pirates de pénétrer dans l'environnement Slack du lieu de travail. L'exfiltration de données Slack par des pirates informatiques a fait les gros titres grâce à la faille d'Uber, où les messages Slack ont été explicitement ciblés et volés par le pirate. 

Pourquoi des pirates informatiques voleraient-ils les données de Slack ? Comme l'a révélé la recherche Aware, les écosystèmes Slack peuvent être remplis d'informations confidentielles et de secrets d'entreprise. Même si le pirate n'utilise jamais ces informations, cela peut coûter à l'entreprise un montant important en amendes et en pénalités. 

Selon une étude menée par IBM en 2022 , le coût moyen d'une violation d'enregistrement s'élevait à 164 dollars. Lorsque 1 message sur 166 dans Slack contient des informations confidentielles, cela signifie que chaque nouveau message tapé dans votre environnement Slack ajoute un dollar au coût total de votre exposition au risque - et seulement 5 000 employés enverront 30 millions de messages Slack chaque année. 

Menaces d'initiés sur Slack 

L'autre préoccupation des entreprises modernes lorsqu'elles utilisent Slack, ou tout autre outil de collaboration, concerne les menaces d'initiés. L'institut Ponemon a constaté que les menaces d'origine interne continuent d'augmenter et que le coût pour les entreprises n'a jamais été aussi élevé. Il faut en moyenne 85 jours à une organisation pour identifier et contenir une menace interne, ce qui représente un coût de 15,38 millions de dollars par incident. 

Les menaces internes résultent d'une négligence ou d'une intention malveillante. La majorité des menaces ne sont pas intentionnelles. La négligence est à l'origine de 56% de tous les incidents liés à des menaces internes, généralement parce que les employés ont partagé des informations sensibles par le biais des mauvais canaux. Les violations de la conformité par le partage d'informations PII/PCI dans les canaux Slack sont un excellent exemple de menace interne causée par la négligence. 

Les initiés malveillants sont plus rares, mais ils causent beaucoup plus de tort à l'entreprise. Parce qu'ils ont été invités dans l'espace de travail, ils peuvent être plus difficiles à détecter et savoir où chercher des informations précieuses. Et comme Slack permet des canaux privés et des messages directs et se synchronise sur plusieurs appareils, un initié malveillant peut également utiliser Slack pour s'envoyer des informations confidentielles et y accéder plus tard à partir d'un appareil privé, en contournant les pare-feux et autres contrôles de sécurité des données. 

• Un initié malveillant exfiltre en moyenne 80 000 documents professionnels. 
• Il faut en moyenne 284 jours pour identifier et contenir les attaques d'initiés malveillants. 
• Le coût moyen d'une violation malveillante de données est de 4,18 millions de dollars. 

Source : IBM 

Risques liés à l'intégration de tiers

L'une des principales caractéristiques de Slack est sa capacité à s'intégrer à d'autres applications, mais cela peut également créer une faille dans la sécurité. Slack ne se porte pas garant de la sécurité des applications répertoriées dans son annuaire, et il incombe donc aux organisations d'évaluer les applications avec lesquelles elles se connectent. Des applications mal configurées peuvent entraîner une fuite de données.

De nombreuses applications tierces nécessitent également la possibilité de lire/écrire des messages, d'accéder à des fichiers pour les partager ou de créer de nouveaux canaux. Ces autorisations ouvrent Slack à des vulnérabilités qui peuvent conduire à l'exfiltration de données. Il existe un risque supplémentaire de malware avec des applications tierces non approuvées.

Pour limiter ce risque, les entreprises doivent mettre en place des politiques strictes d'approbation des applications tierces lorsqu'elles les intègrent à Slack, notamment en limitant les autorisations des applications au minimum requis et en surveillant les activités suspectes des applications intégrées.

Phishing

Les escroqueries par Phishing ciblent des outils de collaboration populaires tels que Slack et Teams, car ces plateformes permettent à des tiers de s'intégrer à leurs canaux. Les attaquants se font passer pour des utilisateurs de Slack pour envoyer des invitations à des discussions de groupe, puis incitent les utilisateurs à télécharger des charges utiles de malware dans les systèmes des entreprises victimes.

Cela s'est produit à plusieurs reprises dans Teams, qui partage cette vulnérabilité avec Slack. Le problème avec les escroqueries par phishing est de former les employés à les reconnaître. Lorsqu'elles semblent provenir de plateformes approuvées par l'entreprise, elles sont plus difficiles à repérer.

Permettre l'accès à des utilisateurs externes

Slack Connect permet aux employés de travailler en collaboration avec des personnes extérieures à l'organisation. Toutefois, l'ouverture de la plateforme à ces utilisateurs représente un risque pour la sécurité des entreprises à plusieurs égards. La première est une simple question d'accès. L'une des meilleures pratiques consiste à accorder aux contractants et aux autres utilisateurs externes les autorisations minimales requises pour mener à bien le projet. Le suivi de leur activité est également essentiel, car les utilisateurs de Slack peuvent modifier leur photo de profil et leur nom pour donner l'impression d'être un autre utilisateur au sein de l'organisation. Les acteurs malveillants peuvent infiltrer une organisation de cette manière s'ils ont l'intention de nuire.

Les utilisateurs externes apportent leurs propres appareils, qui constituent un autre point de vulnérabilité de Slack. La mise en place de contrôles stricts et la surveillance de l'utilisation des applications par les employés pendant qu'ils travaillent sur le projet sont des éléments clés du maintien de la sécurité des données. Une fois la mission terminée, le déprovisionnement rapide de l'accès peut réduire encore davantage le risque de violation des données.

Meilleures pratiques pour améliorer la sécurité de Slack

Alors, que peuvent faire les entreprises pour atténuer les risques de menaces de sécurité de la plateforme Slack ? Pour détecter et contenir les IIP et empêcher l'exfiltration de données depuis Slack, les équipes de sécurité doivent : 

• Mettez en place des mesures de protection de l'accès : Suivez les meilleures pratiques pour contrôler qui peut accéder à l'espace de travail Slack en instituant des garanties de contrôle d'accès telles que le SSO ou Slack EKM.
• Supprimez les données sensibles de Slack : Mettez en place des politiques de conservation proactives pour identifier et supprimer les informations compromettantes de Slack afin qu'elles ne puissent jamais être exfiltrées par un pirate.
• Contrôlez la conformité : Établissez des politiques basées sur des règles qui recherchent des RegEx et des mots-clés en temps quasi réel pour une conformité permanente.
• Créez une culture de la protection des données : Formez fréquemment les employés sur ce qui est ou n'est pas une information appropriée à partager dans Slack et renforcez la formation avec un coaching automatisé en temps réel lorsque des violations de la politique sont détectées.
• Créez un journal d'audit avec sauvegarde : Conservez une archive immuable des conversations des utilisateurs de Slack, y compris les révisions et les suppressions, afin de toujours avoir une vue d'ensemble.
• Disposez des bons outils pour le travail : Déployez un programme de recherche fédérée capable de remonter rapidement à la surface des messages Slack et de les filtrer en fonction de plusieurs paramètres afin d'augmenter leur pertinence et d'accélérer l'eDiscovery.
• Comprenez vos vulnérabilités : Utilisez l'analyse de l'IA avec le traitement du langage naturel pour identifier la toxicité et les sentiments négatifs qui peuvent indiquer des zones de risque accru.
• Utilisez l'identification à deux facteurs : En demandant aux utilisateurs de vérifier leur connexion, vous vous assurez qu'un pirate ne peut pas accéder à l'environnement de travail, même si le mot de passe de l'utilisateur est compromis.
• Utilisez la vérification de l'adresse électronique et du domaine : La vérification des adresses électroniques et des domaines avant d'accorder aux utilisateurs l'accès aux espaces de travail est un autre moyen de confirmer leur identité. Il est particulièrement utile pour lutter contre les attaques de phishing.
• Mettez en œuvre la sécurité de l'authentification single : demandez aux utilisateurs de vérifier leur connexion par le biais d'un fournisseur d'identité centralisé comme Azure Active Directory ou Okta. Il n'est donc plus nécessaire de jongler avec les mots de passe, ce que les employés préfèrent.
• Fournissez des comptes d'invités Slack : Lorsque vous travaillez avec des entrepreneurs externes ou des partenaires temporaires, l'accès invité permet aux administrateurs de contrôler facilement les autorisations. Il est également facile de retirer la disposition lorsque le projet est terminé.
• Limitez la durée des sessions : Déconnectez automatiquement les utilisateurs inactifs de Slack, afin que les interfaces Slack non surveillées soient moins susceptibles d'être accessibles aux utilisateurs non autorisés.
• Désactivez les anciens comptes : Examinez régulièrement les comptes pour vous assurer que la liste des utilisateurs actuels est à jour. La révocation de l'accès aux comptes dormants réduit le risque d'accès non autorisé à ceux qui ne devraient plus l'avoir.
• Limitez les bots et les applications Slack : vérifiez soigneusement les tiers ayant accès à Slack. N'accordez l'accès qu'aux personnes de confiance et aux améliorations nécessaires, et réexaminez régulièrement leurs autorisations. 

Dans tous les espaces de travail Slack, les administrateurs doivent mettre en place une formation solide des employés aux pratiques de sécurité afin de faire respecter les normes de sécurité de l'organisation. Les employés sont à la fois le plus grand risque et le plus grand atout de tout programme de sécurité et sont en première ligne pour protéger les données dans Slack.

Comment Mimecast Aware renforce la sécurité de Slack pour protéger vos données

• Contrôles de confidentialité et de conformité intégrés pour Slack
• Recherche fédérée puissante de données de conversation en contexte
• Contrôle granulaire des données en fonction du rôle, du groupe, du canal, du lieu, etc.
• Respect de la conformité et analyse comportementale en temps réel 

La plateforme d'intelligence économique de Mimecast est une solution de conformité et de sécurité de pointe pour Slack et GovSlack. Mimecast Aware permet aux entreprises de protéger les données sensibles et restreintes dans Slack et d'atténuer les principaux risques dans les ensembles de données de collaboration. 

Grâce à l'intégration de Mimecast Aware pour Slack, les entreprises peuvent éviter des amendes et des pénalités coûteuses en mettant en place un respect de la conformité et une modération en temps réel qui protègent les données dans l'environnement Slack.

C'est précisément ce qu'a fait ce client du programme Aware. Avec des employés saisonniers qui sont moins familiers avec les violations du Fair Credit Reporting Act, cette entreprise de technologie avait besoin d'une solution qui couvrait Slack en même temps que sa conformité existante en matière de messagerie électronique. Aware les a aidés à développer des politiques et des alertes en temps réel pour les partages d'informations confidentielles dans Slack. Les alertes automatisées leur font gagner du temps et réduisent le risque d'amendes et de mesures réglementaires.

Utilisez l'intelligence artificielle et l'apprentissage automatique, associés au meilleur traitement du langage naturel, pour détecter les violations de politiques en temps quasi réel. Abordez les problèmes de sécurité sous tous les angles en automatisant la suppression du partage d'informations non autorisées, en notifiant les parties prenantes et en encadrant les employés dès qu'une violation est détectée. Et devenez proactif en matière de détection des menaces et de conformité des données en déployant des outils révolutionnaires d'analyse des sentiments qui identifient les poches de négativité ou de toxicité au sein de l'entreprise.