web-dev-qa-db-fra.com

Dans quelle mesure Slack est-il sécurisé pour les informations sensibles par rapport à d'autres alternatives comme Mattermost?

Notre entreprise envisage les avantages de passer de Slack à Mattermost.

L'un des arguments est que "les informations sensibles devraient être plus sécurisées car elles sont stockées sur nos serveurs".

Mais en est-il ainsi?

Mattermost est open-source et les vulnérabilités peuvent être trouvées et exploitées à tout moment. Même si Slack stocke des informations sur leurs serveurs, la probabilité qu'un attaquant exploite exactement vos données est plus faible, car il devrait les trouver, les évaluer et les juger utiles. Et dans le cas d'un piratage de serveur à l'échelle de Slack, il serait connu et il resterait du temps pour contrôler les dommages.

Slack a également toutes les incitations à maintenir la sécurité au plus haut niveau pour assurer le succès et la réputation de leur entreprise.

Alors qu'un serveur Mattermost privé pourrait être moins protégé et tomber en prie pour une attaque ciblée, auquel cas l'attaquant serait en mesure d'exploiter les informations immédiatement et de ne pas laisser de temps pour contrôler les dégâts.

P.S. Ce n'est pas un double en soi de la question Open Source vs Closed Source Systems . Citant la première réponse à la question en double: "Pour raisonner à ce sujet, vous devez limiter la discussion à un projet spécifique.". Il s'agit d'une question concernant deux projets spécifiques.

5
Harijs Deksnis

Il y a quelques points supplémentaires qui méritent d'être mentionnés:

Contre

  • Vous devez faire confiance à l'équipe Slack car elle a accès à tous vos messages et conversations
  • Vous devez vérifier que les anciens employés ou les tiers n'ont pas accès à vos chats Slack (vous avez besoin d'un robot supplémentaire)
  • Les serveurs Slack sont disponibles à partir de n'importe quel appareil, y compris les paramètres de sécurité que vous ne pouvez pas contrôler (par exemple, les appareils hors MDM). Vous ne pouvez pas utiliser de protection supplémentaire à cet endroit (VPN d'entreprise, etc.)
  • Dans le cas de Slack, vous ne pouvez pas appliquer la force de mot de passe et la politique de rotation, vous ne pouvez pas lier Slack avec, par exemple, votre système d'authentification Active Directory d'entreprise. Si vos données sont compromises, il sera difficile d'enquêter sur l'incident car vous n'avez aucun journal, etc.
  • Il n'y a pas de version Slack Enterprise disponible pour le moment

Avantages

  • Le mou peut être moins cher à installer et à entretenir
  • Il y a une garantie que de nouvelles versions apparaîtront et que les développeurs ne supprimeront pas la prise en charge du projet (cela arrive parfois dans le monde open source)
  • Vous bénéficierez du support technique de l'équipe Slack
  • Il est possible que la version Enterprise apparaisse et comporte des fonctionnalités de sécurité d'entreprise.

À mon avis, Slack est meilleur pour les petites équipes et les startups, mais dans le cas des grandes entreprises, vous feriez mieux de choisir quelque chose sur lequel vous avez le contrôle. Quoi qu'il en soit, cela dépend de vous - évaluez simplement les risques et découvrez ce que vous pouvez et ne pouvez pas accepter dans votre situation.

Mise à jour: Comme il est remarqué dans les commentaires, le point 2 de Avantages est assez discutable - rappelez-vous simplement l'histoire autour de Google Reader.

3
CaptainRR