fabioberti.it - stock.adobe.com
Pourquoi une politique de sécurité de l’e-mail est indispensable
Les entreprises ont besoin d’une politique de sécurité complète pour protéger leur messagerie électronique des cyberdélinquants et des usages inappropriés des utilisateurs.
Le courrier électronique reste le moyen de communication privilégié de la plupart des entreprises, malgré les progrès des outils de collaboration d’entreprise, tels que la voix sur IP, la vidéoconférence, ou encore la messagerie instantanée. Les pirates continueront donc à cibler le courrier électronique, avec du phishing ou des pourriels malicieux. Des menaces telles qu’Emotet le rappellent régulièrement.
Examinons de plus près l’objectif d’une politique de sécurité du courrier électronique et ce qu’elle doit contenir, avant de nous pencher sur la manière d’en créer une et de la mettre en œuvre dans son entreprise.
Pourquoi avez-vous besoin d’une politique de sécurité du courrier électronique ?
Le courrier électronique existe depuis des décennies, mais les utilisateurs ont tendance à prendre de mauvaises habitudes avec cette technologie familière en raison d’un manque de compréhension des risques encourus ou d’un sentiment que « ça ne m’arrivera pas ». Dans un cas comme dans l’autre, les utilisateurs du courrier électronique doivent être conscients des dangers potentiels, des risques économiques et de propriété intellectuelle pour l’organisation, ainsi que des directives spécifiques qui régissent la manière dont le courrier électronique de l’entreprise doit ou ne doit pas être utilisé.
Les entreprises doivent considérer la politique de sécurité du courrier électronique comme une mesure importante de prévention des risques. La politique doit être élaborée de manière à être informative et concise, mais suffisamment détaillée pour que les employés comprennent leurs responsabilités, et afin de dissiper tout faux sentiment de sécurité qu’ils auraient pu avoir auparavant concernant l’utilisation du courrier électronique.
Que doit contenir une politique de sécurité du courrier électronique ?
Une politique de sécurité de la messagerie électronique doit être rédigée de manière à ce que la plupart des employés, qu’ils soient ou non technophiles, puissent comprendre son objectif, leurs responsabilités en tant qu’utilisateurs, et à qui s’adresser en cas de questions ou de problèmes. Plus précisément, une politique doit comporter les sept sections suivantes :
- un aperçu de l’objectif et de la portée de la politique ;
- des informations concernant la propriété légale du contenu des courriels et les attentes en matière de confidentialité ;
- des détails sur les politiques de l’entreprise en matière de conservation et de sauvegarde des courriels ;
- les attentes de l’entreprise concernant l’utilisation ou la mauvaise utilisation du système de messagerie par les employés/utilisateurs ;
- un contenu informatif sur la sécurité du courrier électronique, y compris les menaces potentielles – logiciels malveillants, hameçonnage, etc. – et les comportements qui entraînent des risques de vol/perte de données pour l’entreprise ;
- des conseils sur la meilleure façon de protéger l’utilisateur et l’entreprise contre les menaces à la sécurité du courrier électronique ; et
- les moyens par lesquels les utilisateurs d’e-mails peuvent trouver plus d’informations sur la sécurité des e-mails et les personnes à contacter pour toute question à ce sujet.
Élaborer une politique de sécurité du courrier électronique, étape par étape
Chaque entreprise – et la culture qui lui est associée – est unique, mais la politique de sécurité du courrier électronique doit être identique dans tous les cas. La raison en est simple : les technologies utilisées et les menaces qui les accompagnent sont similaires, quels que soient la taille, le secteur d’activité ou le niveau de maturité de l’entreprise. Cependant, les différences dans la rédaction d’une politique varient en fonction du public auquel elle s’adresse. Le processus suivant peut donc vous aider à élaborer une politique de sécurité de la messagerie à partir de zéro :
- Commencez par un modèle de politique de sécurité existant. Par exemple, l’institut SANS propose une multitude de modèles de politiques de sécurité, y compris des modèles spécifiques à la conservation et à la sécurité des e-mails, qui décrivent l’utilisation correcte des e-mails dans les environnements d’entreprise.
- Modifiez-le modèle. Sur la base d’une compréhension de la culture, de la taille et du niveau de maturité de l’entreprise, les rédacteurs de politiques peuvent modifier le(s) modèle(s) pour répondre aux besoins de l’organisation, tout en ajustant le message dans le but d’avoir le plus grand impact possible sur l’utilisateur final.
- Vérifiez que les technologies et les configurations de la sécurité de la messagerie respectent les normes de la politique définie. Il existe un grand nombre d’outils de sécurité du courrier électronique qui peuvent être intégrés pour aider à protéger les utilisateurs contre les menaces, notamment les filtres anti-spam, les bacs à sable, les outils de détection des maliciels, etc. Ces outils doivent être mis en œuvre conformément à la politique écrite.
- Établir un processus de validation par les utilisateurs. Il faut prévoir un moyen de s’assurer que les employés/utilisateurs ont lu et accepté les directives d’utilisation décrites au sein de la politique de messagerie. En général, cela prend la forme d’une signature obligatoire à la fin de la politique, ainsi que la possibilité de suivre les sessions de formation continue sur la sécurité des e-mails.
- Développer des procédures de formation et de réponse aux incidents. Des procédures doivent être mises en place pour aider à faire respecter l’utilisation correcte du courrier électronique et pour être en mesure de répondre rapidement aux questions des utilisateurs ou aux incidents.
Mettre en œuvre sa politique sécurité du courrier électronique
Selon le niveau de maturité d’une entreprise, la mise en œuvre de la politique de sécurité du courrier électronique varie considérablement. Les entreprises plus établies auront plus de facilité à faire comprendre aux utilisateurs leurs exigences en matière d’utilisation du courrier électronique, car ils ont probablement lu et accepté des politiques d’utilisation comparable pour d’autres ressources mises à leur disposition par l’entreprise.
Les entreprises plus récentes, qui ont une mentalité de start-up, devront probablement être plus prudentes et passer plus de temps à renforcer les directives de la politique. L’exigence d’une formation fréquente et obligatoire à la sécurité du courrier électronique s’est avérée efficace dans ces types d’environnements professionnels où les utilisateurs ne respectent pas toujours strictement les politiques, si tant est qu’elles existent.