E-mails : deuxième comparaison entre les meilleurs logiciels de chiffrement
Scarfone Cybersecurity a passé en revue pour TechTarget/LeMagIT les meilleurs produits du marché pour le chiffrement des e-mails. De quoi aider les entreprises à déterminer lesquels leur conviennent le mieux.
Après avoir abordé les différentes solutions phares du marché du chiffrement d'emails et les premiers éléments de comparaison dans la première partie de ce dossier, voici les autres facteurs à prendre en compte.
Puissance du chiffrement
L'algorithme qui fait actuellement l'unanimité en matière de chiffrement est AES (Advanced Encryption Standard). AES utilise une clé de 128 bits au minimum, mais la plupart des fournisseurs ont doté leurs produits de clés de 256 bits pour une cryptographie renforcée. Sur le long terme, plus la clé est longue, plus le chiffrement est résistant aux attaques en force.
Tous les produits de deuxième génération examinés dans le cadre de cet article prennent en charge AES ; les produits DataMotion acceptent à la fois AES et Triple Data Encryption Standard (3DES).
Cependant, si 3DES est inclus à des fins de compatibilité amont, l'algorithme AES est plus robuste ; il est donc recommandé de configurer les produits DataMotion pour AES.
Cryptzone Secured eMail, ProofPoint Email Encryption et Trend Micro Email Encryption revendiquent eux haut et fort l'utilisation de clés AES 256 bits.
Les autres fournisseurs, en revanche, n'indiquent pas la longueur de leurs clés. Ces informations devraient pourtant être rendues publiques, car elles permettent aux clients potentiels de comparer efficacement les produits de ces fournisseurs sur ce point. S'il est possible de se contenter de clés 128 bits à court terme, les clés de 256 bits sont d'ores et déjà préférables et s'avéreront indispensables à l'avenir.
Le produit de première génération, Symantec Desktop Email Encryption, s'appuie sur les protocoles OpenPGP et Secure/Multipurpose Internet Mail Extensions (S/MIME). Ces protocoles reposent eux-mêmes sur des normes internationales respectées, ce qui prouve la solidité de leur chiffrement, mais leur convivialité se situe bien en-deçà de celle des produits de deuxième génération.
Sécurité des pièces jointes
En premier lieu, tout produit de sécurité de messagerie digne de ce nom doit être capable de chiffrer les fichiers joints aux courriers. Tout manquement à cette règle est rédhibitoire en ce qui concerne l'évaluation des différents logiciels. Les produits cités dans cet article prennent tous en charge le chiffrement des pièces jointes.
Cependant, plusieurs produits de deuxième génération proposent d'autres options de sécurité des fichiers en plus de ce chiffrement.
L'une est la prise en charge des pièces jointes volumineuses, au-delà de ce que les systèmes de messagerie eux-mêmes prennent normalement en charge ; à cet effet, le destinataire reçoit un lien vers une interface Web permettant de récupérer la pièce jointe, au lieu de la recevoir directement avec le message.
Certains produits prennent en charge les transferts de fichiers volumineux en natif : DataMotion SecureMail Gateway accepte des transferts de 100 Mo, et Cryptzone Secured eMail des transferts de 200 Mo, dans les deux cas de façon native.
DataMotion et Voltage SecureMail (Enterprise Edition) proposent des produits complémentaires qui leur permettent de gérer des transferts de fichiers encore plus volumineux. Si une organisation a besoin de transférer de gros fichiers en toute sécurité, en particulier à des destinataires externes, il peut être intéressant de le faire via un logiciel de chiffrement des e-mails.
Et aussi
Certains produits de deuxième génération proposent également de « prolonger » le chiffrement d'un fichier une fois que celui-ci a été téléchargé et ne fait plus partie d'un message électronique.
Aucun des produits n'offre cette possibilité en natif, mais Cryptzone Secured eMail, DataMotion SecureMail Gateway et Voltage SecureMail (Enterprise Edition) vendent des logiciels complémentaires qui le font. De nouveau, si une organisation souhaite « prolonger » le chiffrement de ses fichiers, cette fonctionnalité peut être un atout.
Prise en charge des appareils mobiles
Etant donné l'usage de plus en plus répandu des appareils mobiles (smartphones, tablettes) dans un contexte professionnel, il est indispensable que la technologie du chiffrement manuel soit accessible à partir de ces appareils.
Par bonheur, tous les produits de deuxième génération proposent une interface Web accessible via le navigateur d'un appareil mobile, ainsi que des applications pour les plateformes mobiles les plus courantes (iOS, Android, Blackberry, etc.).
Il est recommandé aux entreprises de tester ces interfaces mobiles au cours du processus d'évaluation, afin de s'assurer qu'elles fonctionnent correctement et sont suffisamment exploitables pour leur environnement mobile.
Chiffrement fondé sur des règles et sur l'identité
Le chiffrement fondé sur des règles signifie simplement que les décisions de chiffrement sont prises automatiquement en fonction de stratégies d'entreprise, par exemple le chiffrement de tous les e-mails contenant des numéros de carte de crédit ou de tous les e-mails envoyés par les ressources humaines.
Les produits de deuxième génération actuels intègrent ce type de chiffrement. Par définition, tout logiciel qui accepte des stratégies d'entreprise pour le chiffrement utilise un chiffrement fondé sur des règles. C'est systématique pour tous les produits de deuxième génération.
Le chiffrement fondé sur l'identité implique la génération automatique de clés en fonction d'une caractéristique du destinataire, généralement son adresse électronique.
Certains produits, en particulier Trend Micro Email Encryption et Voltage SecureMail (Enterprise Edition), prennent en charge des normes internationales de chiffrement fondé sur l'identité. D'autres fournisseurs ne précisent pas leur méthode de traitement des clés, se contentant d'indiquer qu'ils les génèrent et les traitent dynamiquement en arrière-plan.
Honnêtement, il faudrait vraiment chercher la petite bête pour inclure ces détails dans une évaluation. L'absence de prise en charge formelle du chiffrement fondé sur l'identité ne devrait en aucune façon remettre en cause la validité d'un produit évalué.
Reste toutefois à vérifier si les destinataires doivent s'enregistrer, fournir un mot de passe ou indiquer d'autres informations d'identification pour déchiffrer un message électronique. Or, ce genre de fonctionnalités se retrouve plus fréquemment dans les produits de chiffrement fondé sur l'identité, tels que Trend Micro Email Encryption, parce qu'il leur faut un moyen de transmettre une clé privée au destinataire.
Cela dit, la plupart des produits de deuxième génération comportent des options d'authentification des destinataires, sans quoi il suffirait à quiconque intercepterait un e-mail de suivre le lien hypertexte pour accéder aux ressources chiffrées.