Présentation de la sécurité de Webex

Les solutions Webex Meetings Suite facilitent la rencontre et la collaboration des employés internationaux et des équipes virtuelles en temps réel comme s’ils travaillaient dans la même salle. Les entreprises, les institutions et les agences gouvernementales du monde entier font confiance à Webex. Webex contribue à simplifier les processus commerciaux et à améliorer les résultats des équipes de vente, de marketing, de formation, de gestion de projet et d’assistance.

Pour toutes les organisations et leurs utilisateurs, la sécurité est une préoccupation fondamentale. La collaboration en ligne doit offrir plusieurs niveaux de sécurité, depuis la programmation des réunions à l’authentification des participants pour le partage de contenu.

Webex fournit un environnement sécurisé que vous pouvez configurer comme un lieu ouvert de collaboration. La compréhension des fonctions de sécurité en tant qu’administrateurs de site et utilisateurs finaux peut vous permettre d’adapter votre site Webex aux besoins de votre entreprise.

Pour plus d’informations, consultez le document technique sur la sécurité de Webex.

Meilleures pratiques pour les administrateurs de Webex

Une sécurité efficace commence par l’administration du site Webex, qui permet aux administrateurs de gérer et d’appliquer des politiques de sécurité pour les privilèges des organisateurs et des animateurs. Par exemple, un administrateur autorisé peut personnaliser les configurations de session pour désactiver la capacité d’un animateur à partager des applications ou à transférer des fichiers sur une base par site ou par utilisateur.

Nous vous recommandons vivement de limiter au maximum le nombre d’administrateurs. Moins d’administrateurs signifie moins d’opportunités d’erreurs de configuration du site.

Après avoir consulté les meilleures pratiques pour les administrateurs de site, assurez-vous de consulter les meilleures pratiques pour des réunions sécurisées pour les organisateurs.

Nous vous recommandons d’utiliser les fonctionnalités suivantes pour la protection de vos réunions :

Réunions Webex programmées

Les réunions Webex programmées sont le type de réunion que nous recommandons lorsque la sécurité est importante pour vous ou votre organisation. Les réunions programmées sont des réunions ponctuelles qui sont protégées par un mot de passe et disposent d’un large éventail de fonctions de sécurité dans les contrôles des fonctions de la réunion et des participants. En tant qu’administrateur, vous pouvez contrôler les fonctions de sécurité de toutes les réunions programmées sur votre site Webex. Les organisateurs peuvent également configurer la sécurité de la réunion, les options de la réunion et les privilèges des invités lorsqu’ils programment leur réunion.

Réunions en salle personnelle

Les salles personnelles Webex Meetings sont une forme de réunion Webex qui sont disponibles en permanence pour l’organisateur de la réunion. L’organisateur de la réunion active sa salle personnelle lorsqu’il la rejoint et la désactive lorsqu’il la quitte. Les salles personnelles Webex Meetings sont conçues pour offrir un moyen rapide et pratique aux participants de confiance de se rencontrer, et disposent donc d’un ensemble limité de fonctions de sécurité configurables. Si la sécurité de la réunion est votre principale préoccupation, nous vous recommandons d’utiliser les réunions Webex programmées, qui disposent d’un ensemble complet de fonctionnalités de sécurité configurables.

Les réunions en salle personnelle peuvent être activées ou désactivées pour tous les utilisateurs de votre site Webex. Si elles sont activées pour votre site Webex, elles peuvent être activées ou désactivées pour des utilisateurs individuels.

Pour activer les réunions en salle personnelle

1

Connectez-vous à l'Administration du site et allez à Configuration > Paramètres communs du site > Options

2

Dans la section Options du site, cochez Activer la salle personnelle (Lorsqu’elle est activée, vous pouvez l’activer ou la désactiver pour les utilisateurs individuels).

3

Sélectionnez Mettre à jour.

Le verrouillage des réunions Webex affecte le comportement d’entrée de la réunion pour tous les utilisateurs. Au démarrage de la réunion, les participants sont placés dans le lobby par défaut, jusqu'à ce que l'organisateur les admette.

Des paramètres de verrouillage de réunion distincts sont disponibles pour les réunions programmées et les réunions en salle personnelle sur votre site Webex.

Les commandes de verrouillage de la réunion permettent à un administrateur d’effectuer les opérations suivantes :

  • Verrouiller automatiquement la réunion 0, 5, 10, 15 ou 20 minutes après le démarrage de la réunion

  • Configurez le comportement d’entrée de la réunion lorsque la réunion est verrouillée :

    • Tout le monde attend dans le lobby jusqu’à ce que l’organisateur les admette

    • Personne ne peut rejoindre la réunion

Le paramètre par défaut lorsqu’une réunion est verrouillée est Tout le monde attend dans le hall jusqu’à ce que l’organisateur les admette.

En tant qu’administrateur, vous pouvez forcer les organisateurs de réunions à utiliser les paramètres de verrouillage par défaut du site, ou permettre à l’organisateur de configurer le nombre de minutes après le démarrage de la réunion pour qu’elle soit verrouillée. Nous vous recommandons d’appliquer le verrouillage automatique des réunions après une durée définie. Les organisateurs de réunions peuvent toujours utiliser les commandes de la réunion pour verrouiller et déverrouiller la réunion en cours.

1

Connectez-vous à l'Administration du site et accédez à Configuration > Paramètres communs > Sécurité.

2

Dans les sections Sécurité des réunions Webex et Sécurité des salles personnelles, activez Activer « Verrouiller automatiquement la réunion » après le démarrage de la réunion et choisissez le nombre de minutes dans le menu.

Si vous définissez le nombre de minutes sur 0, votre réunion est verrouillée au démarrage.

3

(Facultatif) Activez Autoriser les utilisateurs à modifier ces paramètres pour permettre aux utilisateurs de modifier les paramètres.

4

Sélectionnez Enregistrer.

Le lobby est activé par défaut pour toutes les réunions Webex. Avec ce paramètre par défaut, lorsqu’une réunion démarre et que la réunion est déverrouillée, tous les utilisateurs invités sont placés dans le lobby, jusqu’à ce que l’organisateur les admette.

Un utilisateur invité est classé dans les groupes d'utilisateurs suivants :

  • Utilisateurs non vérifiés — Utilisateurs qui ne se sont pas connectés et dont l'identité n'est pas authentifiée.

  • Utilisateurs externes vérifiés — Utilisateurs qui se sont connectés, mais qui appartiennent à une organisation externe.

Chaque groupe d'utilisateurs dispose de commandes de lobby séparées et indépendantes. La distinction entre les utilisateurs externes non vérifiés et vérifiés vous permet d’améliorer la sécurité des réunions en appliquant des contrôles d’entrée plus stricts pour les utilisateurs non vérifiés. Par exemple, les utilisateurs non vérifiés ne peuvent pas rejoindre la réunion alors que les utilisateurs externes vérifiés sont placés dans le lobby, ou les utilisateurs non vérifiés sont placés dans le lobby alors que les utilisateurs externes vérifiés peuvent rejoindre la réunion directement.

Avec le paramètre par défaut « Ils attendent dans le lobby jusqu’à ce que l’organisateur les admette », lorsque la réunion est déverrouillée, les utilisateurs de votre organisation qui se sont connectés avec un compte Webex en utilisant une licence organisateur ou invité contournent le lobby et rejoignent la réunion directement.

L’organisateur de la réunion peut voir une liste des invités en attente dans le lobby. Lorsque les utilisateurs sont placés dans le lobby d’une réunion, ils sont classés en trois groupes pour simplifier le filtrage des utilisateurs et les choix d’admission à la réunion :

  • utilisateurs internes (utilisateurs authentifiés dans votre organisation)

  • utilisateurs externes (utilisateurs authentifiés dans des organisations externes)

  • utilisateurs non vérifiés (utilisateurs qui ne se sont pas connectés et qui ne sont pas authentifiés)

Les utilisateurs authentifiés internes et externes se sont connectés et ont vérifié leur identité. L’identité des utilisateurs non vérifiés (utilisateurs qui ne se sont pas connectés) ne peut pas être considérée comme vraie car ils n’ont pas été authentifiés.

Les utilisateurs peuvent être admis à la réunion ou supprimés du lobby individuellement ou en groupe.

Commandes du lobby Webex Meeting

Pour plus d’informations sur les commandes du lobby, voir Savoir qui vous autorisez à rejoindre à votre réunion Webex.

Pour modifier les paramètres du lobby pour les réunions programmées et les réunions en salle personnelle

1

Connectez-vous Administration du site, puis allez à Configuration et > Paramètres communs du site > Options.

2

Dans la section Sécurité de Webex Meetings et Sécurité de la salle personnelle sous la section Lorsqu'une réunion est déverrouillée, sélectionnez l'une des options suivantes pour les utilisateurs non vérifiés et les utilisateurs externes vérifiés :

  • Ils peuvent rejoindre la réunion - Désactive le lobby de votre réunion, permettant à tous les utilisateurs de rejoindre directement votre réunion. Webex ne peut pas désactiver le lobby, car il rend votre réunion vulnérable aux invités indésirables qui rejoignent votre réunion et qui sont exposé à une fraude.

  • Ils attendent dans le lobby jusqu’à ce que l’organisateur les admette - (Paramètre par défaut) Cette option correspond au niveau de sécurité minimum recommandé. Les participants authentifiés de votre organisation rejoignent directement la réunion, tandis que les invités attendent dans le lobby. Les organisateurs peuvent admettre les invités qui sont des participants légitimes et refuser l’entrée aux invités qui ne le sont pas.

  • Ils ne peuvent pas rejoindre la réunion - Seuls les invités qui ont un compte utilisateur sur votre site et qui se sont connectés peuvent participer à la réunion. Ce paramètre rend vos réunions « internes uniquement », ce qui signifie qu’elles sont disponibles uniquement pour les utilisateurs de votre organisation.

3

Sélectionnez Mettre à jour.

Nous vous recommandons d’appliquer l’exigence de mot de passe aux utilisateurs qui rejoignent les réunions programmées à partir de systèmes de téléconférence ou de visioconférence. Le système génère automatiquement un mot de passe numérique à huit chiffres pour les participants du système de téléconférence et visioconférence et l’ajoute à l’invitation à la réunion. Cette mesure garantit que seules les personnes ayant une invitation peuvent rejoindre la réunion lorsqu’elles utilisent un système de téléconférence ou de visioconférence.

1

Connectez-vous à Administration du site et accédez à Configuration > Paramètres communs du site > Options.

2

Dans la section Webex :

  • Allez à la section Webex Meetings et cochez Appliquer le mot de passe de la réunion lors de la participation par téléphone. Ce paramètre s’applique également à Webex Webinars.

  • Allez dans la section Réunions Webex, et cochez la case Exiger le mot de passe de la réunion lors de la participation par système de visioconférence. Ce paramètre s’applique également à Webex Webinars.

  • Allez dans la section Webex Events et cochez Exiger le mot de passe de l’événement en rejoignant la réunion par téléphone. Ce paramètre s’applique àEvents (classique).

  • Allez à la section Webex Training et cochez Exiger le mot de passe de la formation en rejoignant la formation par téléphone.

Si l’une de ces options n’est pas disponible, contactez le service d’assistance Webex pour l’activer.

3

Sélectionnez Mettre à jour.

Nous vous recommandons d’empêcher les participants de rejoindre à la réunion avant l’organisateur, sauf si vous comprenez parfaitement le risque de sécurité et que vous avez besoin de cette fonctionnalité.

Envisagez de désactiver les options de participation avant l’organisateur sur votre site, en particulier pour les réunions répertoriées. Sinon, des participants externes pourraient exploiter les réunions programmées à leurs propres fins, à l’insu de l’organisateur et sans son consentement.

De même, si vous autorisez les invités à rejoindre la réunion avant l'organisateur, envisagez de ne pas les laisser rejoindre l'audio avant l'organisateur. Si votre réunion est listée sur votre site ou si elle n'est pas protégée par un mot de passe, les utilisateurs non autorisés peuvent éventuellement obtenir l'accès et passer des appels coûteux sans que l'organisateur ne le sache ou sans son consentement.

Pour les réunions Conférence personnelle (Réunions PCN), nous vous recommandons de désactiver l'option de rejoindre l'audio avant l'organisateur. L’organisateur doit composer le numéro d’accès Webex pour le pont audio, puis saisir le code d’accès et le code PIN de l’organisateur, avant que les participants puissent rejoindre la réunion.

1

Connectez-vous à Administration du site et accédez à Configuration > Paramètres communs du site > Options.

2

Pour empêcher les invités de rejoindre la réunion avant l'organisateur, décochez les cases suivantes :

  • Autoriser les participants ou les Co-animateurs à rejoindre le groupe avant l’organisateur (Meetings, Training et Events)

  • Le premier participant à rejoindre la conférence sera l’animateur (Meetings)

    Ce paramètre s’applique également à Webex Webinars.

  • Autoriser les participants à rejoindre la conférence audio (Meetings)

    Ce paramètre s’applique également à Webex Webinars.

  • Autoriser les participants ou les coanimateurs à rejoindre la conférence audio (Training)

  • Autoriser les participants ou les coanimateurs à rejoindre la conférence audio (Events)

    Ce paramètre s’applique àEvents (classique).

  • Autoriser un invité à rejoindre la partie audio de la conférence personnelle avant l’organisateur

3

Sélectionnez Mettre à jour.

En plus de l’utilisation des fonctions de lobby et de verrouillage des réunions pour les réunions dans une salle personnelle, vous pouvez utiliser la fonction CAPTCHA pour détecter et bloquer les attaquants qui utilisent des robots et des scripts pour accéder frauduleusement à vos réunions dans une salle personnelle. Lorsqu’elle est activée, la fonction CAPTCHA s’applique aux invités qui rejoignent votre réunion en salle personnelle.

Un utilisateur invité est défini comme suit :

  • non connecté (l’identité n’est pas authentifiée)

  • connecté, mais appartient à une organisation externe

1

Connectez-vous Administration du site, puis allez à Configuration et > Paramètres communs du site > Options.

2

Dans la section Sécurité de la salle personnelle, cochez la case à côté de Afficher les CAPTCHA les invités entrent dans la salle personnelle d’un organisateur.

3

Sélectionnez Mettre à jour.

La fraude par rappel téléphonique peut se produire lorsque quelqu’un rejoint l’une de vos réunions et utilise le rappel pour appeler des numéros de téléphone suspects de différents pays, ce qui coûte de l’argent à votre organisation. Ces numéros de téléphone peuvent venir de n’importe où dans le monde. Cependant, nous avons observé qu’un pourcentage plus élevé de fraude provient des emplacements suivants :

  • Belgique

  • Costa Rica

  • Équateur

  • Égypte

  • Ethiopie

  • France

  • Moldova

  • Niger

  • Panama

  • Philippines

  • Portugal

  • Arabie Saoudite

  • Afrique du Sud

  • Sri Lanka

  • Taïwan

  • Turquie

  • Ukraine

  • Émirats arabes unis

  • Royaume Uni

  • Vietnam

Pour faciliter la réduction de la fraude, nous vous recommandons de ne pas permettre l’accès à certains pays dans la liste des pays avec rappel Webex autorisés. Par exemple, vous pouvez ajouter les pays avec lesquels vous n’avez pas travaillé, ou à partir duquel vous avez reçu des appels frauduleux ou en clients.

1

Connectez-vous Administration du site de l’équipe, puis allez à Configuration > Paramètres communs du site > Paramètres audio.

2

Dans la section Pays de rappel webex autorisés, cochez ou décochez la case correspondante pour un pays ou une région pour l’activer ou le désactiver.

Vous devez laisser au moins un pays ou une région activé pour le rappel.

3

Lorsque vous avez terminé d’effectuer des modifications, cliquez sur Enregistrer.

Vos modifications peuvent prendre jusqu’à 30 minutes pour être mises à jour dans l’application.

Même les titres des réunions peuvent révéler des informations sensibles. Par exemple, une réunion intitulée « Discuter de l’acquisition de la société A » peut avoir des répercussions financières, si elle est révélée à l’avance. La création de réunions non listées permet de préserver la sécurité des informations sensibles.

Pour les réunions listées, le sujet de la réunion et d’autres détails s’affichent sur votre site Webex pour que les utilisateurs authentifiés, ainsi que les utilisateurs non authentifiés et les invités puissent les voir. Nous vous recommandons de marquer toutes les réunions comme étant non listées, à moins que votre organisation n’ait un besoin commercial spécifique d’afficher publiquement les titres et les informations des réunions.

1

Connectez-vous à Administration du site de l’équipe et accédez à Configuration > Paramètres communs du site > Options.

2

Sous Options de sécurité dans la section Webex :

  • Allez à la section Webex Meetings et cochez Toutes les réunions doivent être non listées. Ce paramètre s’applique également à Webex Webinars.

  • Allez dans la section Webex Events et cochez Tous les événements doivent être non listés. Ce paramètre s’applique àEvents (classique).

  • Allez à la section Webex Training et cochez Toutes les sessions doivent être non listées.

3

Sélectionnez Mettre à jour.

Vous pouvez personnaliser les types de session pour contrôler les partage de contenu et autres fonctionnalités Webex, telles que les transferts de fichiers. Pour plus d’informations, voir Créer des types de session personnalisés pour Cisco Webex site, en Administration du site.

Si vous autorisez les partage de contenu au niveau du site, les organisateurs de réunions peuvent choisir d’autoriser tous les participants à partager. Si vous n’activez pas l’option, vous pouvez attribuer le rôle d’animateur pour sélectionner les participants ou les invités. Pour en savoir plus, voir Autoriser les participants à partager au cours des réunions.

Si votre organisation travaille avec des informations sensibles, nous vous recommandons d’exiger que tous les utilisateurs aient un compte sur votre site Webex. Lorsque cette option est activée, Webex demande à tous les organisateurs et participants de fournir leurs informations d’identification lorsqu’ils rejoignent une réunion, un événement ou une session de formation.

En outre, nous vous recommandons de demander aux participants de s’identifier lorsqu’ils se connectent à partir d’un téléphone. Cette exigence permet d’éviter qu’une personne ne rejoigne la réunion ou la session de formation sans les informations d’authentification appropriées.

Les participants qui rejoignent la réunion à l’aide de l’application Webex doivent s’authentifier. Webex ne les invite donc pas à s’authentifier lorsqu’ils se connectent à l’audio. Cette restriction a donc un impact sur les utilisateurs qui rejoignent la réunion uniquement par téléphone.

Vous pouvez également envisager d’empêcher les systèmes de visioconférence de se connecter à une réunion où les participants doivent s’identifier. Pour plus d’informations, voir Réunions programmées : appliquer le mot de passe de la réunion lorsque les participants rejoignent la réunion par téléphone ou par visioconférence.

N’oubliez pas que l’utilisation de cette option limite votre réunion, événement ou session aux participants internes (utilisateurs disposant d’un compte sur votre site Webex). Cette option est un excellent moyen de sécuriser vos réunions, mais elle peut être limitative si l’organisateur a besoin d’un invité externe.

1

Connectez-vous à Administration du site et accédez à Configuration > Paramètres communs du site > Options.

2

Dans la section Webex, cochez Exiger une connexion avant l’accès au site (Webex Meetings, Webex Events, Webex Training).

3

Pour exiger une connexion, lorsque vous rejoignez une réunion ou une session de formation par téléphone, cochez les cases suivantes :

  • Sous la section Webex Meetings, cochez Exiger que les utilisateurs aient un compte lorsqu’ils rejoignent la réunion par téléphone.

  • Sous la section Webex Training , cochez Exiger que les utilisateurs aient un compte lorsqu'ils rejoignent la réunion par téléphone.

Lorsque ces cases sont cochées et que l’organisateur exige une identification, les invités doivent s’identifier à partir de leur téléphone. Lorsque cette case est cochée et que l’organisateur demande une connexion, les participants doivent se connecter à partir de leur téléphone.

4

Sélectionnez Mettre à jour.

Masquer les liens des réunions et des événements au cours des réunions peut éviter que les participants n’invitent les invités indésirables en rendant les liens moins pratiques à copier et à partager. Cela n’empêche pas les invités de copier et de partager les liens de réunion à partir de leurs courriers électroniques d’invitation.

1

Connectez-vous à l’Administration Webex et allez à Configuration et > communs du site > Options.

2

Faites défiler vers le bas jusqu’à Options > autre et cochez Masquer le lien de la réunion à partir de l’affichage des invités au cours des réunions (Meetings et Events).

Cette option n’est pas cochée par défaut.

Lorsqu’elle est masquée, l’option Copier le lien de la réunion s’affiche grisée pour les invités dans la fenêtre Infos sur la réunion , le menu Plus d’options et le menu Réunion . Les organisateurs peuvent toujours partager les liens de réunion dans les réunions.

Par défaut, tous les utilisateurs de MacOS peuvent utiliser des caméras virtuelles tierces. Les caméras virtuelles tierces nécessitent webex pour charger leurs bibliothèques et autoriser l’accès à la caméra. Cette exigence garantit que les caméras virtuelles héritent de toutes les permissions que vous accordez aux participants, telles que la capture d’écran et le micro. Si vous désactivez l’utilisation de caméras virtuelles tierces pour votre site, seul Webex peut accéder à ces permissions.

Pour augmenter la sécurité des réunions sur votre site, vous pouvez empêcher le chargement des caméras virtuelles de tierces parties dans Webex Meetings.

Vous trouverez les paramètres suivants dans Webex Administration du site : Configuration > Paramètres communs du site > Options > Options de sécurité.

Les options marquées d’un astérisque (*) sont disponibles uniquement pour les sites gérés dans Administration du site dont l’authentification unique (SSO)'est pas activée.

Gestion du compte

  • *Verrouiller un compte après un nombre configurable d’échec de tentatives de connexion

  • Désactiver un compte après un nombre configurable de jours inactifs

Inscription à un compte

  • *Ajoutez une CAPTCHA de sécurité dans le formulaire d’inscription qui nécessite que les nouveaux utilisateurs tapent les lettres ou les chiffres d’une image déformée qui s’affiche à l’écran

  • *Demander la confirmation de l’adresse électronique des nouveaux comptes

Gestion du mot de passe du compte utilisateur

  • Exiger des règles spécifiques pour le format, la longueur et la réutilisation du mot de passe

  • Créer une liste de mots de passe interdits (par exemple, « mot de passe »)

/Vieillissement des mots de

  • *Forcer les utilisateurs à changer leur mot de passe à intervalles réguliers

  • Configurer un intervalle de temps minimum lorsque les utilisateurs peuvent changer leur mot de passe

Exiger des mots de passe forts pour les réunions (y compris les mots de passe d’inscription et des coanimateurs)

  • Exiger des règles spécifiques pour le format, la longueur et la réutilisation du mot de passe

  • Créer une liste de mots de passe interdits (par exemple, « mot de passe »)