JRB - Fotolia
Hillary Clinton : illustration du paradoxe de la sécurité des emails
Quel est l’un des points majeurs sur lesquels les républicains appuient pour déstabiliser Hillary Clinton ? Son courrier électronique ! Les faits récents sont une illustration de la difficulté rencontrée aujourd’hui pour sécuriser un des actifs les plus sensibles des entreprises : la messagerie.
Deux affaires animent actuellement les débats. La première concerne les messages qu'Hillary Clinton a émis et reçus en utilisant un serveur privé dans le cadre de ses fonctions de secrétaire d’état en outrepassant les règles de sécurité de son ministère. La deuxième est celle qui concerne son parti, où des milliers d’emails ont été volés puis mis sur la place publique. Les services de renseignement russes sont pointés du doigt, même si l’attribution reste encore incertaine. Toujours est-il que les messages publiés ont entrainé la démission de la présidente du parti et une déstabilisation de la campagne de la candidate démocrate. Ces affaires sont loin d'être finies, Trump a même appelé les pirates, d'après lui sur le ton de l'ironie, à publier d'autres messages s'ils les avaient !
Le paradoxe de la sécurité des emails : partout, tout le temps mais avec quelle sécurité ?
Ces cas mettent en lumière le paradoxe de la sécurité des emails. Aujourd’hui, dans les messageries électroniques vous retrouvez toute la valeur de l'entreprise : les contrats, les annonces d'innovations, les négociations en cours, les tractations sur les ressources humaines, des extraits de bases clients ou financières, les communiqués de presse sous embargo... Quasiment tout le patrimoine informationnel le plus sensible de l'entreprise ! Et parfois aussi des messages plus « acerbes » qui, en cas de divulgation, peuvent déstabiliser la structure comme l’a durement vécu Sony Pictures.
Le paradoxe est qu'en même temps les utilisateurs, à tous les niveaux, et souvent à juste titre, souhaitent une messagerie accessible facilement (sans trop de mots de passe ou d'authentification complexe...) et depuis tous les terminaux (ordinateur, webmail, smartphone pro et perso, tablettes, etc.). Il y a très peu d'actifs dans les entreprises qui soient aussi critiques et en même temps autant ouvert à l'extérieur !
Pour couvrir ces besoins tout en réduisant les coûts, les organisations ont majoritairement entamé des processus de migration dans le cloud des grands acteurs anglo-saxons. Mais on oublie que ces derniers peuvent être contraint juridiquement de livrer des données sans prévenir leurs clients, et ce même s’ils s’y opposent !
De plus, la messagerie, c’est aussi un service souvent très peu contrôlé. Puisqu’il n'y pas de changement fonctionnel fréquent, et qu’elle existe depuis longtemps, la messagerie ne fait que très rarement l'objet d'audit de sécurité.
Et lors de la réponse à un incident, on oublie même parfois qu'elle peut être une cible de choix pour les cybercriminels. Lors d'une affaire que nous avons traitée, les attaquants avaient mis en place des délégations d'accès à des boites de VIPs pour accéder à leurs messages sans être repérés.
Des solutions existantes mais à combiner judicieusement
Mais que faire dans ce contexte ? Les solutions, heureusement, ne manquent pas. Mais il faut savoir les combiner judicieusement pour allier un niveau de protection correct et un usage simple.
Premier axe de réponse : la protection. Il s'agit tout d'abord de vérifier par quels canaux la messagerie est accédée et avec quelle authentification. Suivant les populations et les équipements, des mesures de sécurité et de contrôle peuvent être déployées. Les solutions MDM ou conteneur permettent par exemple de s’assurer d’un niveau minimum de conformité d’une machine avant de lui permettre d’accéder aux données.
Le second axe : détecter et contrôler. La mise en place de solution prévention des fuites de données (DLP) permet d'alerter en cas de fuite potentielle, mais aussi de sensibiliser en temps réel les utilisateurs à la criticité des données qu'ils manipulent avec des alertes à l’envoi d’email. A regarder aussi la solution de la startup CheckRecipient qui vérifie grâce à du machine learning si l’on envoie le bon message à la bonne personne. D’autres solutions, comme celle d’IDECSI, peuvent réaliser des analyses des journaux d’accès et détecter des comportements anormaux. Pour le contrôle, il faut prévoir a minima un audit annuel de la messagerie, pas uniquement sur son infrastructure mais aussi sous l’angle fonctionnel (délégation, nombre et localisation des administrateurs, sécurité des périphériques accédant, etc.).
Le 3eme axe : déployer de nouveaux outils ou solutions pour protéger les messages les plus sensibles. Le plus courant, et le plus efficace, consiste à déployer des solutions de sur-chiffrement de type s/mime pour que le contenu des emails reste inaccessible aux administrateurs et à l'hébergeur. Cette technique fonctionne aujourd'hui bien en interne, même si elle est encore difficile à déployer avec des tiers et sur les smartphones. Attention cependant à bien former les utilisateurs sur qui reposera, en définitive, l'efficacité de cette mesure.
Concernant le chiffrement, des produits additionnels se lancent sur ce créneau (par exemple ceux de la startup Galaxkey). En termes d’architecture, pour réduire certains risques, il peut être utile d'avoir des serveurs en local (plutôt que dans le cloud) pour les utilisateurs VIP ou sensibles locaux.
En fait, les moyens de sécurisation ne manquent pas ! Même si aucun pris individuellement ne résout intégralement le paradoxe, une bonne combinaison de solutions peut réduire les risques. Pour éviter de voir ses emails finir sur la place publique.
Gérôme Billois est senior manager au sein de la practice Risk Management et Sécurité de l’information de Wavestone (ex-Solucom). Il également est membre du conseil d’administration du CLUSIF et du comité ISO JTC1/SC27 responsable de la standardisation pour la sécurité de l’information, et l'un des membres fondateurs du Club27001, une association dédiée à la promotion du standard ISO 27001. Il est certifié CISA, CISSP et ISO 27001 PA.