Chiffrement d’E-mails : première comparaison entre les meilleures solutions
Scarfone Cybersecurity a passé en revue pour TechTarget/LeMagIT les meilleurs produits du marché pour le chiffrement des e-mails. De quoi aider les entreprises à déterminer lesquels leur conviennent le mieux.
Un logiciel de chiffrement des e-mails, comme son nom l'indique, permet de chiffrer les messages électroniques et leurs pièces jointes lors de leur transmission d'un émetteur à un destinataire, dans le but de protéger leur contenu de toute divulgation non autorisée.
Ce logiciel peut fonctionner automatiquement, en chiffrant les messages selon leur contenu, le type des pièces jointes ou d'autres attributs. Il peut également fonctionner manuellement, auquel cas l'utilisateur doit choisir une option de chiffrement pour chaque message qu'il souhaite protéger.
Le chiffrement des courriers électroniques ne date pas d'hier et donne lieu à de nombreux cas d'utilisation en entreprise.
Deux générations de logiciels de chiffrements
La première génération de produits est fondée sur l'infrastructure à clés publiques (PKI, Public Key Infrastructure), qui peut s'avérer extrêmement coûteuse à configurer et à administrer.
Ces logiciels souffrent également d'un manque de convivialité, car ils exigent un échange de clés manuel pour l'envoi des e-mails, notamment aux destinataires extérieurs à l'organisation. Les utilisateurs devant procéder à ces échanges envoient souvent les mauvaises clés ou sont confrontés à des destinataires qui ne possèdent pas de clés et ne peuvent donc recevoir aucun message tant qu'ils n'ont pas appris à générer ces clés.
Les produits de chiffrement des e-mails de deuxième génération, bien plus usités aujourd'hui que les précédents, ne sont pas fondées sur l'infrastructure PKI. Ils génèrent des clés dynamiquement et assurent toute la gestion ou presque en arrière-plan. Le présent article porte principalement sur ces produits de deuxième génération.
Les produits principaux
Les logiciels retenus pour évaluation sont les suivants :
- Cryptzone Secured eMail
- DataMotion SecureMail Desktop
- DataMotion SecureMail Gateway
- ProofPoint Email Encryption
- Trend Micro Email Encryption
- Voltage SecureMail (Enterprise Edition)
En outre, cet article se penche sur un produit de première génération : Symantec Desktop Email Encryption.
Le choix du produit de chiffrement le mieux adapté à une entreprise peut constituer un véritable dilemme, surtout quand les fournisseurs emploient un jargon du type « chiffrement basé sur l'identité ».
Prise en charge des utilisateurs internes et/ou externes
Le parcours typique d'un e-mail entre son expéditeur et son destinataire se décompose comme suit :
- du client de messagerie de l'expéditeur au serveur de messagerie de l'expéditeur,
- du serveur de messagerie de l'expéditeur au serveur de messagerie du destinataire
- et du serveur de messagerie du destinataire au client de messagerie du destinataire
En principe, les mécanismes de chiffrement sont différents selon que les messages sont envoyés à des destinataires externes ou internes, car le premier cas exige le recours à des serveurs de messagerie externes au lieu de serveurs internes uniquement.
Sur le sujet
La deuxième génération de logiciels de chiffrement prend en charge les utilisateurs aussi bien internes qu'externes, mais la nature et le niveau de cette prise en charge varie considérablement selon les produits.
Ainsi, Cryptzone Secured eMail ne propose qu'un chiffrement manuel (à la demande expresse de l'expéditeur) plutôt qu'un chiffrement automatique (appliqué systématiquement par la passerelle en fonction de règles définies par l'entreprise). En revanche, Trend Micro Email Encryption et Voltage SecureMail (Enterprise Edition) offrent tous deux des options de chiffrement manuel et automatique pour les utilisateurs internes et externes.
Or, l'une des décisions les plus importantes à prendre avant d'évaluer les différents produits porte sur la nécessité d'un chiffrement automatique et/ou manuel pour les utilisateurs externes et/ou internes.
Les produits qui offrent toutes ces fonctionnalités peuvent se révéler parfaitement adaptés ou, au contraire, complètement disproportionnés. Il faut prendre en compte à la fois les besoins actuels et futurs de l'entreprise, et envisager dans quelle mesure les services de chiffrement pourront remplacer d'autres services d'entreprise, comme le transfert automatique de fichiers sécurisé.
Intégration à l'infrastructure de messagerie existante
Autre critère déterminant, l'intégration du produit de chiffrement à l'infrastructure de messagerie d'une entreprise, tant au niveau des clients que des serveurs.
En règle générale, l'interopérabilité des serveurs de messagerie ne pose problème qu'avec les produits de première génération, tels que Symantec Desktop Email Encryption, qui ne prend en charge que Microsoft Exchange et Lotus Domino Server. Les produits de deuxième génération fonctionnent généralement sous forme d'appliances ou de services Cloud, indépendamment du serveur de messagerie de l'entreprise. Seul Cryptzone Secured eMail, qui se compose uniquement d'un client, déroge à cette règle.
L'évaluation des clients de messagerie pris en charge est compliquée car souvent elle ne se justifie même pas. En effet, si une entreprise opte pour un chiffrement automatique au niveau du serveur plutôt qu'un chiffrement manuel sur le client, la prise en charge de ce dernier importe peu. Mais si la question du chiffrement se pose au niveau du client, cette information est évidemment très importante.
Tous les fournisseurs sont compatibles avec Microsoft Outlook ; d'ailleurs, c'est le seul client reconnu par Trend Micro Email Encryption et Voltage SecureMail (Enterprise Edition).
DataMotion SecureMail Desktop prend en charge Microsoft Outlook et Lotus Notes. Cryptzone Secured eMail est le logiciel qui reconnaît le plus grand nombre de clients : Microsoft Outlook, Mozilla Thunderbird, Lotus Notes et Apple Mail. (Remarque : cet article traitant essentiellement des clients pour ordinateurs de bureau/portables, il ne couvre pas la prise en charge des opérations mobiles et des services de messagerie Cloud tels que Google Apps et Microsoft Office 365.)
Attention à ne pas choisir un produit de chiffrement qui obligerait les utilisateurs à changer de client de messagerie, ce qui ne manquerait pas d'engendrer désagréments et frustration.
La deuxième partie de cette comparaison abordera les algorithmes de chiffrement, la sécurité des pièces jointes, et la compatibilité avec les mobiles et les tablettes.