Sécurité Slack : les meilleures pratiques pour protéger vos conversations professionnelles
Guide pratique pour sécuriser votre espace de travail Slack. Découvrez les différences entre DM et canaux, les risques du partage externe, la configuration 2FA, les contrôles admin et ce qu'il ne faut jamais partager sur Slack.
Sécurité Slack : les meilleures pratiques pour protéger vos conversations professionnelles
Slack et Microsoft Teams sont devenus le bureau numérique de millions d'équipes. Mais la commodité s'accompagne de risques — des données sensibles d'entreprise, des informations clients et des données personnelles transitent chaque jour par Slack. Un réglage mal configuré ou un message imprudent peut exposer votre organisation à des menaces bien réelles.
Voici comment sécuriser votre espace de travail Slack sans nuire à la productivité.
DM vs canaux : comprendre la différence de sécurité
La plupart des gens pensent que les DM Slack sont privés. Ce n'est pas tout à fait le cas.
| Fonctionnalité | DM | Canaux |
|---|---|---|
| Visibles par les admins ? | Oui (plans payants avec export de conformité) | Oui |
| Recherchables par les autres ? | Non | Canaux publics : Oui |
| Conservés après le départ ? | Oui | Oui |
| Exportables ? | Enterprise Grid : Oui | Oui (tous les plans) |
Point clé : Considérez chaque message Slack — DM ou canal — comme potentiellement lisible par votre employeur. Si vous ne le mettriez pas dans un email professionnel, ne le mettez pas dans Slack.
Les risques cachés du partage externe
Slack Connect permet de collaborer avec des personnes extérieures. C'est utile, mais cela crée des angles morts :
1. Canaux partagés avec des prestataires
Les partenaires externes dans un canal partagé voient l'historique des messages, les fichiers téléchargés et les documents épinglés. Si quelqu'un partage un document interne dans le mauvais canal, les externes le voient instantanément.
2. Partage de fichiers sans expiration
Les fichiers uploadés sur Slack n'expirent pas par défaut. Ce PDF de contrat partagé il y a six mois ? Toujours téléchargeable par quiconque dans le canal.
3. Accumulation de comptes invités
Les invités mono-canal et multi-canal s'accumulent avec le temps. Ce prestataire de 2024 a peut-être encore accès à votre espace de travail.
Solution : Planifiez des audits trimestriels des membres externes et comptes invités.
Configuration de l'authentification à deux facteurs (2FA)
Si votre espace de travail n'impose pas la 2FA, vous êtes à un mot de passe hameçonné d'une faille.
Comment activer la 2FA sur Slack
- Allez dans votre profil → Paramètres du compte
- Cliquez sur Authentification à deux facteurs → Configurer
- Choisissez votre méthode : application d'authentification (recommandé) ou SMS
- Sauvegardez les codes de secours dans un endroit sûr
Pour les admins : imposer la 2FA
Naviguez vers Paramètres et administration → Paramètres de l'espace de travail → Authentification et rendez la 2FA obligatoire pour tous les membres. Sans exception.
Astuce : Stockez vos codes de secours 2FA dans une note protégée par mot de passe sur LOCK.PUB. Bien plus sûr que de les envoyer par WhatsApp ou de faire une capture d'écran.
Paramètres admin essentiels
Si vous êtes admin Slack, configurez ces paramètres dès le premier jour :
| Paramètre | Recommandé | Pourquoi |
|---|---|---|
| Conservation des messages | Personnalisé (90 jours général, plus long pour conformité) | Limite l'exposition en cas de violation |
| Partage de fichiers externe | Restreint | Prévient les fuites accidentelles |
| Installation d'apps | Approbation admin requise | Bloque les intégrations non autorisées |
| Affichage email | Masqué pour les utilisateurs externes | Réduit les cibles de phishing |
| Création de canaux | Ouvert en interne, restreint pour Slack Connect | Contrôle la diffusion d'information |
| Durée de session | 30 jours maximum | Force la ré-authentification |
Gestion des permissions d'applications
Les apps Slack tierces sont un vecteur d'attaque majeur.
- Auditez les apps existantes chaque trimestre
- Supprimez les intégrations inutilisées immédiatement
- Exigez l'approbation admin pour les nouvelles installations
- Vérifiez les portées OAuth — cette app de sondage a-t-elle vraiment besoin de lire tous les messages ?
Ce qu'il ne faut jamais partager sur Slack
Ce n'est pas de la paranoïa — c'est du bon sens :
- Mots de passe ou clés API — Utilisez un gestionnaire de mots de passe
- Numéros de carte bancaire — Même partiels
- Numéros de sécurité sociale ou pièces d'identité — Uniquement via des canaux chiffrés
- Données clients non chiffrées — Surtout en cas d'obligations RGPD
- Informations salariales ou RH — Utilisez les systèmes RH officiels
- Documents juridiques — Peuvent perdre leur protection de confidentialité dans Slack
Un meilleur moyen de partager des informations sensibles
Au lieu de coller des identifiants directement dans Slack, utilisez un lien protégé par mot de passe. Créez-en un sur LOCK.PUB :
- Écrivez les informations sensibles dans une note sécurisée
- Définissez un mot de passe
- Partagez le lien LOCK.PUB dans Slack
- Envoyez le mot de passe par un autre canal (WhatsApp, appel téléphonique)
Les informations sont chiffrées et accessibles uniquement avec le mot de passe. Bien plus sûr qu'un message en clair dans l'historique Slack.
Check-list sécurité
À vérifier chaque trimestre :
- Tous les membres ont activé la 2FA
- Comptes invités et externes audités et nettoyés
- Permissions d'apps vérifiées, intégrations inutiles supprimées
- Politiques de conservation configurées correctement
- Restrictions de partage de fichiers pour les canaux sensibles
- Équipe formée sur ce qu'il ne faut pas partager
- SSO configuré (plans Enterprise)
Que faire si votre compte Slack est compromis
- Changez immédiatement votre mot de passe et révoquez toutes les sessions actives
- Prévenez votre admin — il peut forcer la déconnexion de tous les appareils
- Vérifiez les apps connectées — révoquez les tokens OAuth inconnus
- Examinez les messages récents — recherchez ceux que vous n'avez pas envoyés
- Activez la 2FA si ce n'est pas encore fait
Conclusion
Slack est conçu pour la rapidité, pas pour la confidentialité. Les paramètres par défaut privilégient la collaboration plutôt que la sécurité, ce qui signifie que c'est à vous et à votre équipe d'administration de combler les lacunes.
Prenez 15 minutes aujourd'hui pour examiner vos paramètres d'espace de travail, activer la 2FA et établir des directives claires sur ce qui peut et ne peut pas être partagé dans Slack.
Pour les informations sensibles que vous devez absolument communiquer à un collègue, contournez Slack et utilisez un lien protégé par mot de passe.
Mots-clés
À lire aussi
Guide du tableau secret : créez un canevas partagé protégé par mot de passe
Découvrez comment créer un tableau de dessin sécurisé protégé par mot de passe avec la fonction de tableau secret de LOCK.PUB, pour dessiner seul ou à plusieurs et partager vos dessins en toute sécurité.
Liens proteges par mot de passe : Le guide complet pour partager du contenu en toute securite
Decouvrez comment creer des liens proteges par mot de passe et partager du contenu en toute securite. Ce guide complet couvre tout sur le verrouillage de liens, la creation d'URLs protegees et le partage securise.
Comment partager en toute sécurité la clé de votre portefeuille Ethereum (MetaMask, etc.)
Découvrez comment stocker et partager en toute sécurité vos clés privées Ethereum, phrases de récupération et clés MetaMask. Protégez vos positions DeFi, NFTs et actifs en staking.
Créez votre lien protégé par mot de passe maintenant
Créez gratuitement des liens protégés, des notes secrètes et des chats chiffrés.
Commencer Gratuitement