> Mobilité > Teams : la confidentialité de vos réunions !

Teams : la confidentialité de vos réunions !

Mobilité - Par Laurent Teruin - Publié le 03 février 2023
email

Le travail à distance et le fait de se réunir systématiquement à travers Microsoft Teams n’empêchent pas de s’interroger sur les stratégies de confidentialité des réunions. Plusieurs entreprises mal préparées, voire trop permissives, en ont fait les frais.

Teams : la confidentialité de vos réunions !

Dans cet article, nous allons passer en revue tout ce que vous devriez savoir pour sécuriser vos réunions et autres webinaires.

L’accès externe

Par définition, une réunion Teams dans la plupart des cas, permet d’inviter n’importe quelle personne, qu’elle appartienne à l’entreprise ou pas. Dans ce scénario, on distinguera trois types de population :

  • les personnes externes,
  • les personnes invitées
  • les anonymes.

La première population est constituée de personnes d’une autre organisation qui utilisent Microsoft Teams depuis leurs tenants. Dans ce cas , vous êtes à peu près certains que la personne externe que vous avez invitée, est bien celle qui va participer à la réunion. Sauf usurpation de son compte bien sûr.

La seconde population est constituée de comptes appartenant à votre organisation mais qui vont être utilisés par des personnes extérieures à celle-ci et qui n’ont pas l’usage de Teams. Avec l’accès invité, votre organisation fournit un compte d’accès à ces personnes auprès de votre Azure Active Directory leur permettant de s’authentifier et, in fine, participer à la réunion. Là aussi, vous êtes à peu près sûr que c’est la bonne personne qui va se joindre à votre réunion.

La troisième population est composée de personnes anonymes qui vont pouvoir accéder à votre réunion sans pour cela s’authentifier. Autrement dit, toute personne qui possède le lien de la réunion va de facto pouvoir rentrer dans la réunion. Certes, vous pouvez, avec les stratégies bloquer ces dernières, mais force est de constater que cette fonctionnalité est très utilisée dans les entreprises, justement pour inviter des personnes totalement externes à l’entreprise. Il est donc difficile de totalement bannir cette possibilité.

Les stratégie de réunion et leurs options

La capture d’écran suivante illustre par conséquent une stratégie relativement permissive qui permet à n’importe qui de rejoindre une réunion mais qui limite malgré tout certaines fonctionnalités.

Une des premières choses à faire est de ne pas laisser la possibilité aux personnes non authentifiées de démarrer la réunion. Sans quoi, n’importe qui peut utiliser votre service de réunion. Le paramètre « Let anonymous people join a meeting » doit être positionné sur « On » mais le suivant,  « Let anonymous people start a meeting » sur « Off » impérativement

Concernant l’accès au rôle présentateur je vous conseille plutôt de laisser la valeur suivante « Organizers, but user can override » ce qui signifie que par défaut, seul l’organisateur possède le rôle présentateur mais que les utilisateurs peuvent éventuellement changer cette option lorsqu’ils organisent des réunions. Comment le font-ils ? Par le biais du bouton ci-dessous présent dans leur Outlook

ou par le biais du lien Hypertexte de la réunion qui vous amènera à cette page de configuration

Attention, si vous changez certaines options , ces changements ne vont s’appliquer que sur votre réunion et non sur vos futures réunions. Par défaut, pour chaque nouvelle réunion, le client Teams appliquera la stratégie de réunion décidée par l’administrateur.

Les 2 erreurs classiques

Erreur 1 : Si vous planifiez une réunion dont vous être l’organisateur et par conséquent l’unique présentateur et que vous décidez d’inviter des personnes extérieures qui devront patienter dans la salle d’attente, et qu’au dernier moment vous décidez de rejoindre cette réunion par le pont de conférence audio téléphonique sans authentification, alors…  vous serez vous aussi placé dans la salle d’attente. Sauf, si bien avant, vous avez pris le soin de prendre connaissance de votre code d’accès personnel en cliquant sur le lien suivant « Réinitialiser le code confidentiel ». ce que peu de personnes font.

Erreur 2 : Si vous planifiez une réunion dont vous être l’organisateur et par conséquent l’unique présentateur et si vous ne pouvez pas y participer, seule les personnes de votre organisation pourront accéder à la réunion mais ne pourront rien partager. Quant aux personnes anonymes elles resteront cantonnées dans la salle d’attente.

Choisissez qui vous désirez faire rentrer

Le paramètre « Automatically admit people » est dans notre cas positionné sur « Invited Users Only » ce qui signifie que seules les personnes ayant la possibilité de s’authentifier vont être automatiquement admises à rentrer dans la réunion.

Personnellement je ne suis pas un grand adepte de ce mode de fonctionnement et je recommande souvent de positionner cette valeur sur « People in my Organization » pour des questions de confidentialité. Dans ce mode, les personnes extérieures à l’organisation patienteront dans une salle d’attente le temps que les personnes internes coordonnent leurs messages par exemple.

Il en va de même pour les personnes qui rejoignent la réunion avec leur téléphone portable via le pont de conférence téléphonique, et qui par définition ne sont pas authentifiées. Même traitement que les personnes extérieures, direction la salle d’attente.

Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Bloquez l’enregistrement des réunions

Comme vous le savez, les réunions Teams peuvent être enregistrées. C’est d’ailleurs une option que vous pouvez choisir de désactiver grâce à l’option « Cloud recording » . Notez que vous pouvez fixer désormais une date d’expiration de l’enregistrement. Passé cette date, l’enregistrement ne sera plus disponible. Pratique !

Voilà pour les réunions mais ce n’est pas encore tout à fait terminé.

La seconde partie concerne les webinaires, ces réunions organisées permettant d’inviter plus de 1000 utilisateurs simultanément et 1000 utilisateurs en plus sans interaction possible (audio et vidéo).

Avant de laisser la possibilité à tous vos utilisateurs d’organiser ces événements, vérifiez l’impact sur la bande passante internet, surtout si vos utilisateurs sont connectés sur les réseaux internes. Notez que le problème est identique avec les évènements en direct.

Les webinaires permettent par définition des accès anonymes à vos réunion. Certaines entreprises désactivent donc cette fonctionnalité pour la plupart des utilisateurs qui doivent alors en faire expressément la demande. Pour ce faire, positionnez l’option « Meeting registration » à Off comme le montre la figure suivante, l’option Webinaire disparaitra des clients Microsoft Teams.

Vous croyez en avoir terminé ? … pas tout à fait il reste encore les événements en directs

 

Evènements en direct ou Live Event

Les événements en direct permettent d’organiser des événements de plusieurs dizaines de milliers de personnes et tout cela avec des personnes non authentifiées (ou pas). Vous voyez où je veux en venir ?

Sachant qu’une personne regardant un évènement en direct consomme 1, 7 Mbs seconde en download depuis internet , si 300 personnes d’un même site font la même chose en même temps, la consommation de bande passante internet frôlera les 510 Mb/s.  Autant vous dire que les Live Event ou évènements en direct sont bien souvent désactivés pour la plupart des utilisateurs. D’autant plus que ceux-ci doivent être organisés et animés par des personnes expérimentées.

Là-aussi, soyez prudent car selon la stratégie en place (voir ci-dessous) les évènements en direct vont permettre (ou pas) la connexion de personnes anonymes. Quiconque possédant le lien de l’évènement en direct pourra y assister

Voilà, vous ne savez pas tout sur les réunions mais vous devriez en savoir un peu plus sur les bonnes options à positionner.

En attendant, je vous souhaite d’excellents meetings sur Teams !

 

Laurent Teruin | http://Workingtogether.fun

Publié dans Smart DSI N° 25

Mobilité - Par Laurent Teruin - Publié le 03 février 2023