1 - Côté SSI (Sécurité des Systèmes d’Information), cette communication :

Le FSSI - Service de défense et de sécurité (SDS) du haut fonctionnaire de défense et de sécurité (HFDS) du MENJS-MESRI, rappelle que l’entreprise Zoom relève d’une juridiction américaine (siège social en Californie).
Les conditions générales de service précisent que seule cette juridiction est compétente pour le service. Dans cette mesure, les informations traitées par les services « Zoom » relèvent du Cloud Act, du Freedom Act et de l’application de la section 702 de l’amendement FISA (Foreign Intelligence Surveillance Amendement).
Dès lors, il n’est pas envisageable que des données relatives à la souveraineté de l’État, à la gestion de crise, à la protection du patrimoine scientifique et technique soient traitées dans cette application.
Il est également nécessaire de rappeler au sujet de Zoom une liste non exhaustive de points d’attention en matière de maîtrise de l’information :

a. Les données sont collectées dès lors qu’il y a interaction avec les services Zoom et sont stockées aux États-Unis ou dans le monde entier ; l’utilisation de la solution engendre un transfert de données à caractère personnel hors de l’UE ;
b. Zoom peut, conformément à ses conditions générales de service, s’intéresser au contenu des conférences et aux données personnelles des utilisateurs afin d’améliorer leur service, d’identifier les centres d’intérêt des utilisateurs, d’enregistrer des séquences, et ce à des fins de prospection commerciales ;
c. Des études portant sur la solution ont prouvé que des informations relatives à l’utilisation sur des terminaux iOS (iPhone et iPad) de la solution étaient transférées sur les infrastructures portées par Facebook, et ce même si aucun compte Facebook n’était utilisé pour s’identifier ;
d. Zoom dispose d’une fonctionnalité de « surveillance d’attention » […] qui s’apparente à une collecte qui peut être rapidement problématique sur nos environnements ;
e. Zoom a effectué une inscription dans une demande de labellisation auprès de l’ANSSI, mais cette démarche n’est en rien une garantie du niveau de sécurité de la solution, seul le résultat de l’évaluation de la solution par les services de l’ANSSI sera recevable ;
f. Le chiffrement des conversations reste optionnel, et même activé, n’est pas conforme aux attentes pour véhiculer de l’information relevant de l’II901 ou de la PPST.
Il est donc bien évidemment exclu de faire circuler de l’information sensible sur ces solutions de visioconférence et il a été explicitement demandé de ne pas installer l’application sur des machines sur lesquelles les identifiants professionnels sont amenés à circuler ou à être utilisés.

2 - Côté Organismes de Recherche, exemple d’échange récent :

Le Ministère de tutelle a donné une consigne très claire sur le recours aux solutions de cloud public dans la communauté ESR, en particulier pour la protection des données de la recherche, dont les AQSSI ont été destinataires.
Il s’agit de la note HFDS N°2020-0362 « Modalité de souscription à des offres de services informatiques en nuage », datée du 21 juillet 2020, qui a été transmise à l’ensemble des AQSSI MENJS MESRI (recteurs de région académique, recteurs d’académie, présidents et DG d’établissements de l’ESR, présidents et DG d’organismes de recherche) qui s’applique parfaitement au cas spécifique Zoom, et qui avait d’ailleurs été anticipée à travers des échanges sur les listes RSSI de l’ESR.

3 - Côté Universités, exemple de recommandation d’un établissement, envoyé le 4 décembre 2020 :

En mars 2020, le Haut Préfet de Défense et de Sécurité a alerté les chefs d'établissement d'enseignement supérieur et de recherche sur l'accentuation des risques cyber dans le contexte sanitaire Covid-19, liés notamment à l'usage des outils de visioconférence.
Par email du 29 mai 2020, la Direction Générale des Services communiquait sur la mise en place d'une souscription globale pour donner accès à tous les personnels de l'université au service de visioconférence ZOOM.
Aujourd'hui, je me dois de vous rappeler l'interdiction à l'échelle de l'université d'utiliser l'outil Zoom pour les échanges « sensibles» au sens de la protection du patrimoine scientifique et technique.

Pour vous connecter et ou creer votre compte zoom ENSAIT,

Dirigez-vous sur la page :https://ensait-fr.zoom.us

Cliquez sur

Vous devez vous authentifier avec votre login et mot de passe ENSAIT et votre compte ZOOM sera créé automatiquement

Ensuite pour vous authentifier dans l’application ZOOM vous devez choisir « se connecter avec SSO »:

Puis indiquer le domaine ensait-fr

Et enfin vous authentifier avec votre login et mots de passe ENSAIT

Cliquez sur

Vous devez vous authentifier avec votre login et mot de passe ENSAIT.
et votre compte ZOOM sera rattacher au compte de l’ENSAIT
(vous avez dû recevoir un mail « Your email domain has been claimed »)

Ensuite pour vous authentifier dans l’application ZOOM vous pouvez choisir « se connecter avec SSO » ou vous connecter avec votre identifiant zoom déjà connus:

Si vous choisissez « se connecter avec SSO » vous devez indiquer le domaine ensait-fr

Et enfin vous authentifier avec votre login et mots de passe ENSAIT

la licence basique vous permet l'organisation de réuions avec la participation de 300 personnes au maximum à une réunion limitée à 40 minutes. Une fois cette limite atteinte, tous les participants sont exclus de la réunion.

L'ENSAIT dispose de 100 licences Éducation, qui vous permet l'organisation de réuions de 300 personnes au maximum sans limite de durée.

ces licences sont attibuées automatiquement à tous les enseignants, si vous désirez une licence (dans la limite des disponibilités), une foi votre compte crée merci d'envoyer un mail au CRIA cria@ensait.fr?subject=demande de licence zoom