De la sécurité de l’e-mail et de l’échange de données

Constance

15 janvier 2020
Sécurité de l'e-mail et des données confidentielles

Bien que malmené par les applications de messagerie instantanée (Whatsapp, Messenger…) et de messagerie collaborative (Slack, Teams…), l’e-mail reste au centre de notre communication professionnelle. Ceci pose tout naturellement la question de sa sécurité : quelle protection pour les données échangées par e-mail ? Et quelles protections pour l’échange de données confidentielles volumineuses ?

Il faut comprendre tout d’abord qu’à l’instar de nombreux piliers de l’internet, la sécurité n’a pas été au cœur des préoccupations des inventeurs de l’e-mail. On pourrait ainsi le comparer à une carte postale, dont le message est librement accessible…

Par ailleurs, les solutions proposées ici concernent la sécurité de l’e-mail et de l’échange des données confidentielles de l’entreprise. Avant de les sélectionner et de les mettre en œuvre, il est donc important d’en valider le principe : idéalement avec un correspondant cybersécurité lorsqu’il y en a un, sinon auprès du responsable informatique ou du management.

Comment protéger les e-mails ?

La solution idéale est le chiffrement, procédé grâce auquel on rend la compréhension de l’e-mail impossible à toute personne qui n’a pas la clé de déchiffrement. Le message est en effet verrouillé par un algorithme composé d’un très grand nombre d’opérations arithmétiques extrêmement difficiles à recomposer. La mauvaise nouvelle est qu’il n’existe pas aujourd’hui de standard universel et que la gestion des clés de chiffrement demande un peu de rigueur.

Chiffrer les messages au sein de votre organisation

Il existe des solutions de chiffrement de bout-en-bout comme PGP (Pretty Good Privacy), un logiciel libre mais toutefois pas très simple à installer. On peut aussi s’appuyer sur une offre clés en main, comme la solution suisse ProtonMail.

Chiffrer les messages en dehors de votre organisation

Des outils comme PGP ou ProtonMail sont là aussi particulièrement indiqués, bien que dans ce cas l’ergonomie pour les correspondants externes ne soit pas idéale : échange de clés laborieux, envoi différé via les serveurs du prestataire…

Comment protéger les documents échangés par e-mail ?

Lorsqu’il n’existe aucune solution dédiée dans l’entreprise, ou qu’elle n’est pas utilisable par le destinataire, il ne reste plus que le pragmatisme :

  • Utilisez Winzip ou un produit équivalent de compression de fichiers, en choisissant une option de type « cryptage » ou « mot de passe ».
  • Choisissez un mot de passe long et complexe (incluant des caractères spéciaux).
  • Envoyez par e-mail le Zip ainsi chiffré.
  • Transmettez le mot de passe par un canal séparé (téléphone, SMS…).
  • Utilisez un mot de passe différent à chaque nouvel envoi.

Comment protéger les documents trop volumineux pour un e-mail ?

Des outils dédiés existent comme LockTransfer ou TransferNow, des solutions françaises sécurisées : une interface Web permet de téléverser le fichier qui ne sera remis qu’à son ou ses destinataires légitimes via une seconde interface Web. L’outil garantit alors le chiffrement des fichiers, en filtre l’accès et en assure la destruction finale.

Attention : des outils gratuits comme WeTransfer, Dropbox, Google Drive, etc. ne sont pas particulièrement sécurisés et sont installés sur le territoire américain, donc les données sont accessibles aux autorités locales…

Quelques pièges à éviter

  • Si votre organisation dispose d’outils dédiés, utilisez-les.
  • N’utilisez pas votre messagerie personnelle : évitez de mélanger les usages professionnels et personnels.
  • N’adoptez pas un nouvel outil de votre propre initiative : parlez-en d’abord à vos collègues et à votre management pour éviter la multiplication des outils.
  • Evitez d’utiliser des clés USB : elles ont tendance à être égarées ou peuvent contenir des programmes malveillants.
  • Utilisez de nouveaux mots de passe à chaque envoi : ce n’est pas grave s’ils sont difficiles à retenir, ils ne sont pas destinés à être réutilisés.

Evaluer facilement la protection des données avec OPPENS

OPPENS.fr aide les entreprises de toute taille et de tout secteur, les associations et les collectivités à se protéger des cyber-risques. Avec une évaluation simple, en ligne et gratuite de sa cybersécurité, avec du conseil personnalisé, avec une sélection de produits et services éprouvés de cybersécurité, chaque organisation peut développer une vraie politique de sécurité, à son rythme et selon ses moyens. Par exemple, sur la sécurité de l’e-mail et de l’échange de données confidentielles. Ainsi, pour savoir si vos données sont bien protégées, lancez l’autodiagnostic Protection des données et laissez-vous guider par OPPENS.

La Société Générale a créé Oppens, la solution de sécurité informatique pour les entreprises : formation, entraînement au phishing, audit …

Entraînement continu pour un suivi régulier

Oppens a créé une solution unique d'entraînement des salariés pour une vigilance de haut niveau, qui fait rentrer la cybersécurité dans votre culture d'entreprise.

Simulation de phishing

L'erreur est humaine ... et coûte chère ? Choisissez les simulations de phishing Oppens pour mieux évaluer et sensibiliser vos collaborateurs.