Avec plus de la moitié des entreprises du CAC40 comptées parmi les clients de Slack, la sécurité des données joue un rôle central, à minima pour des questions d’espionnage économique.

L’ISO/CEI 27001 pour les systèmes de management de la sécurité de l’information, l’ISO/CEI 27017 pour les contrôles de sécurité pour la gestion et l’utilisation de services cloud, l’ISO/CEI 27018 pour la protection des informations personnelles, Cloud Security Alliance, contrôles opérationnels et de conformité… Slack ne lésine pas sur les normes internationales pour démontrer son expertise en matière de sécurité.

Par défaut, pour tous ses clients, Slack chiffre par des clés les données qu’elles soient en transit ou stockées. En fonction des forfaits, la protection peut être accentuée. C’est le cas du forfait Entreprise Grid qui permet un chiffrement personnalisé des données grâce à l’utilisation par le client de ses propres clés.

Le stockage des données en Europe n’est pas systématique

Les données de Slack sont hébergées dans le cloud d’Amazon, AWS. Bien entendu, toutes les données hébergées sur AWS sont chiffrées. Dans l’éventualité où Amazon voudrait les consulter, il faudrait d’abord qu’il les déchiffre, ce qui serait complexe, mais pas impossible. Toutefois, la consultation des données par Amazon ne serait absolument pas dans l’intérêt de l’entreprise de Jeff Bezos, qui à travers son service de cloud vend la garantie que les données seront protégées.

Pour choisir l’endroit où sont stockées les données, un forfait Entreprise Grid ou Plus est requis. En outre, c’est au client que revient la responsabilité de faire la demande de configuration de la résidence des données au service commercial. Sans cette demande, elles sont automatiquement hébergées aux États-Unis. Si un client souhaite changer l’emplacement de stockage de ses données, seules les nouvelles seront hébergées dans la région choisie. Les données déjà existantes resteront conservées aux États-Unis.

En 2021, une option de migration de données contrôlée par Slack devrait voir le jour ainsi qu’un nouveau programme de sécurité additionnel. Ce programme devrait permettre une visualisation ergonomique de la sécurité de l’application.

Slack au plus prêt de ses clients

Slack propose des certifications sur l’implémentation et le développement d’applications au sein de sa plateforme. De manière générale, les certifications Slack ont pour but d’aider les entreprises à avoir une utilisation efficace. Plus précisément, elles permettent d’adapter les fonctionnalités ainsi que les paramètres de Slack à des besoins définis. Slack accompagne également ses clients dans le développement de leurs applications à intégrer à son service de messagerie. Ces certifications payantes peuvent s’obtenir depuis n’importe quel pays et donc depuis la France.

En mai 2020, Slack a apporté aux photos téléchargées une modification d’apparence anodine : la métadonnée de localisation a été enlevée. L’objectif est pourtant simple à comprendre, si la métadonnée de localisation n’existe plus elle ne peut plus être transmise. Donc, si un client de Slack fait l’objet d’une enquête et que la police, ou une autre institution, demande l’accès à la donnée Slack pourra répondre de bonne foi “non”. Cette vision de la sécurité se veut très rassurante pour les clients, mais pose de sérieuses questions quant à la souveraineté des institutions.

Le défi de garantir une sécurité tout en proposant de l’intégration d’application

Toutes les applications présentent sur Slack doivent respecter les conditions générales prévues par l’entreprise de messagerie. Les applications tierces accèdent aux données émises dans Slack que si elles sont nécessaires à leur fonctionnement. Pour veiller à la bonne sécurité des données, chaque application du magasin Slack est soumise à une évaluation basique. Celle-ci comprend, entre autres, une lecture attentive des conditions générales, et une vérification de la sécurité du programme. Aussi, le protocole de Websockets permet de contourner les pare-feu d’une entreprise pour proposer une intégration d’application en toute sécurité. Grâce à une API, tout le monde peut utiliser le socket mode.

Schéma du fonctionnement du socket mode

Schéma : Slack

D’autre part, Slack exerce ponctuellement des “security testing” pour contrôler d’une manière plus approfondie la sécurité d’une application. « Toutes les applications ne sont pas testées, seules les plus risquées le sont », explique la Chief Security Officer (CSO) de Slack, Larkin Ryder. Les security testing concernent particulièrement les applications qui lisent des données, à titre d’exemple, une application météo ne sera prioritaire sur ce contrôle.

Certaines applications du magasin de Slack peuvent au contraire servir à renforcer la sécurité. Dans un article, Le Monde Informatique conseille 10 applications de sécurité pour Slack. L’application Avanan serait particulièrement efficace contre les malwares. Avanan filtre les URL et bloque les contenus provenant d’un site qui ne respecte pas la politique de Slack. En ce qui concerne la protection des données, le même article conseille McAfee Skyhigh for Slack. La CSO de Slack ne recommande pas d’application en particulier, elle estime que « cela dépend vraiment [des besoins] ».