L’importance du chiffrement des e-mails en entreprise

L’experte Karen Scarfone explique comment les logiciels de chiffrement des e-mails protègent les messages et les pièces jointes de la malveillance.

Les logiciels de chiffrement des messages électroniques sont une technologie de sécurité spécialisée pour protéger la confidentialité et l’intégrité des courriels et de leurs pièces jointes, en transit comme au repos. Bien que cette technologie soit disponible depuis plusieurs décennies, les outils actuels ont considérablement amélioré son utilisabilité.

Le chiffrement des e-mails vise à limiter le risque lié aux tentatives d’interceptions. Par défaut, les e-mails sont généralement non protégés par des protocoles tels que SSL/TLS, et sont transmis en texte clair sur des réseaux locaux et Internet. En conséquence, le contenu de message et leurs pièces joints peuvent être interceptés et lu par un attaquant en cours de transit entre émetteur et destinataire – sans parler des messages archivés sur un serveur. Cela crée des problèmes évidents pour la transmission de données sensibles, y compris entre deux personnes d’une même organisation. Il suffit d’un hôte infecté par un logiciel malveillant pour permettre l’interception d’e-mails et l’exfiltration d’informations sensibles.

Chiffrement

En réponse à ces risques, les organisations déploient des logiciels de chiffrement pour protéger messages et pièces jointes les plus sensibles avant leur envoi. A charge pour le destinataire de déchiffrer le message.

Historiquement, le chiffrement du courrier électronique s’est avéré complexe pour les utilisateurs finaux. La gestion des clés de chiffrement a également montré sa complexité. Des produits ont donc émergé pour simplifier ces processus – le chiffrement étant souvent effectué en tâche de fond.

Il existe plusieurs formes de produits et services pour le chiffrement du courrier électronique : Sendinc et JumbleMe, en mode Web, Hushmail, Countermail et Meomailbox, pour l’hébergement de serveurs d’e-mail sécurisés, ou les clients de messagerie intégrant des capacités de chiffrement. De son côté Microsoft propose un service de chiffrement de mails à Office 365 depuis 2013.

L’architecture d’un logiciel de chiffrement d’e-mail

Il n’existe pas d’architecture standard pour les produits de chiffrement d’e-mail. Le plus souvent, toutefois, le cœur du produit est une passerelle chargée de faire respecter les politiques de chiffrement. Celles-ci sont définies par l’organisation utilisatrice et permettent de déterminer quels e-mails doivent être chiffrés et dans quelles circonstances – comme chiffrer automatiquement tout message contenant des informations personnelles identifiables.

Certains produits embarquent un client de chiffrement à installer sur les postes de travail des utilisateurs. Ce logiciel client peut soit faire appliquer des règles de chiffrement définies par l’entreprise ou laisser le choix à l’utilisateur, voire les deux. Ce logiciel protège en outre les e-mails dès le poste utilisateur, réduisant les risques d’interception sur le réseau auquel il est connecté.

Généralement, toutefois, il n’est pas nécessaire d’installer de logiciel client sur les appareils des destinataires : une interface Web leur permet de consulter les messages chiffrés, hébergée dans le centre de calcul de l’entreprise utilisatrice ou sur les infrastructures de l’éditeur du produit de chiffrement.

Les environnements adaptés au chiffrement

Les logiciels de chiffrement s’adressent généralement aux environnements qui hébergent leurs propres services de messagerie. Dès lors, les organisations qui externalisent leur messagerie électronique, comme de nombreuses TPE, ne peuvent probablement pas utiliser les logiciels évoqués ici et devraient se tourner vers leur prestataire de service et demander quelles options de chiffrement il supporte.

Pour le reste, toute organisation hébergeant ses propres services d’e-mail est largement susceptible de tirer profit de logiciels de chiffrement. Presque toutes les entreprises transmettent des données sensibles par e-mail, au moins de temps à autre. L’occasion de divulgation de données involontaires susceptibles de coûter bien plus à l’entreprise qu’une solution de chiffrement d’e-mail.

Surtout, les organisations évoluant dans un environnement fortement réglementé peuvent tout simplement n’avoir d’autre choix que de recourir à un outil de chiffrement de leurs e-mails afin de se conformer à la réglementation en vigueur.

Les coûts des outils de chiffrement

La popularité des logiciels de chiffrement est souvent liée à des coûts de mise en œuvre considérablement inférieurs à ceux d’alternatives. Un logiciel de chiffrement des e-mails ne nécessite par exemple pas d’infrastructure à clé publique (PKI) ; hors une telle infrastructure peut être très onéreuse à mettre en place et à maintenir.

En outre, puisque le logiciel de chiffrement des e-mails fonctionne principalement en tâche de fond, la formation des utilisateurs est souvent inutile. En cas de chiffrement sur le poste utilisateur, la formation peut généralement se limiter à 15 à 30 minutes.

Dès lors, le principal coût est celui des licences, typiquement calculé par utilisateur, assorti des coûts de maintenance logicielle. Des coûts supplémentaires peuvent être induits par le recours à un client logiciel sur le poste utilisateur.

Conclusion

Un logiciel de chiffrement d’e-mail est là pour protéger les messages et les pièces jointes des regards indiscrets. Ces logiciels deviennent de plus en plus invisibles pour les expéditeurs et très simples d’utilisation pour les destinataires. La plupart des produits fonctionnent en chiffrant automatiquement les messages sortants au niveau de la passerelle et en transmettant au destinataire un lien où collecter et déchiffrer le message qui lui destinés.

Finalement, il existe donc un moyen d’envoyer de manière asynchrone des données sensibles à ses clients, partenaires et autres de manière protégée. Toutes les entreprises, au regard du contexte d'espionnage de plus en plus présent, devraient aujourd’hui s’y intéresser.

Adapté de l’anglais par la rédaction.

Pour approfondir sur Backup