Le chiffrement des courriels est très recherché comme produit et fonctionnalité de nos jours. Cela n’est pas seulement dû à des préoccupations en matière de protection de la vie privée et à la suspicion générale quant à l’emplacement de nos renseignements sur le Web, mais aussi à cause de la sensibilisation accrue aux exigences réglementaires croissantes imposées aux entreprises pour transmettre des renseignements sensibles de manière sécurisée. Un exemple principal de ces exigences est HIPAA, où les fournisseurs de soins de santé, petits et grands , sont tenus de transmettre des renseignements médicaux protégés en toute sécurité, ce qui signifie qu’une bonne solution de chiffrement des courriels peut répondre à ce besoin.

Avant d’aborder l’objectif réel de ces solutions, ce qu’elles font et ce qu’elles ne font pas bien, nous devons explorer certains concepts de base pour définir clairement quelles sont les meilleures solutions et ce qui en fait vraiment les meilleures.

Qu’est-ce que le chiffrement des courriels?

En termes simples, envoyer un courriel, c’est comme envoyer une carte postale. En théorie, il est complètement ouvert à tous ceux qui veulent jeter un coup d’œil. Lorsque le courriel a commencé, il était conçu pour une communication ouverte et un réseautage au sein de la structure très sécurisée de l’armée américaine (cela remonte à ARPANET). Maintenant que n’importe qui peut se connecter en ligne, la plupart des gens ayant des capacités techniques peuvent configurer leur propre serveur de messagerie et commencer à envoyer, intercepter ou compromettre des courriels de presque toutes les manières possibles. Pour éviter la vulnérabilité de ces acteurs potentiels, ceux qui souhaitent ou doivent avoir une couche de sécurité supplémentaire, vous devez prendre du recul et recréer un environnement de courriel dans lequel les informations qu’ils transmettent sont mieux protégées.

TLS ou Transport Layer Security est une forme de chiffrement couramment utilisée dans des services comme Gmail et constitue un moyen efficace de protéger les données dans la transmission de courriels. Il fournit une « poignée de main » entre un serveur émetteur et un serveur récepteur qui permet l’échange d’algorithmes de chiffrement que les deux parties comprennent, permettant ainsi à l’expéditeur de chiffrer un message que le destinataire peut déchiffrer. Bien que le protocole permette également de valider l’authenticité du destinataire, ce n’est pas une exigence dans les courriels et TLS n’est donc utilisé que pour chiffrer le message en transit. C’est également différent de TLS dans les connexions HTTPS, où l’authenticité du serveur est validée. Notez que lorsque le courriel est reçu dans ces cas, il reste non chiffré sur le serveur de messagerie du destinataire.

Les 3 « domaines » du chiffrement des courriels

Le chiffrement des courriels, pour être complet, doit s’appliquer à trois grands domaines du courriel : ce qui se passe en transit, ce qui se passe au repos et la connexion au serveur de courriel.

Les meilleures solutions de chiffrement couvrent les domaines suivants :

En transit : Pendant l’envoi d’un courriel, le chiffrement via un protocole de « poignée de main » garantit qu’aucun pirate ne peut déchiffrer et ainsi modifier les données transférées. Seul le serveur prévu peut déchiffrer le contenu du courriel.

Au repos : Il s’agit de votre stockage de courriels, lorsqu’il est dans votre boîte de réception et que toute personne sans clés de déchiffrement appropriées ne peut pas déchiffrer vos données. Si votre stockage est compromis, les courriels restent cryptés et donc indéchiffrables pour la partie fautive.

La connexion au serveur de messagerie : Comme mentionné précédemment, lorsque vous faites TLS en courriel, l’authenticité du serveur auquel vous êtes connecté n’est pas nécessairement validée. Les certificats autosignés sont autorisés et abondents. Par conséquent, on est sujet à des attaques « man-in-the-middle » où une partie fautive s’insère entre l’expéditeur et le destinataire valide. Cette partie pouvait fournir son propre certificat et ainsi déchiffrer les messages de l’expéditeur. (Remarque : le courriel nécessite le port 25 et/ou le port 465. Le chiffrement sur le port 25 nécessite une commande SMTP STARTTLS. Pour 465, en revanche, n’est que pour les données chiffrées.)

Qui a besoin du chiffrement?

Pour faire simple, tout le monde en a besoin, mais pas nécessairement pour tous les courriels.

Pour votre usage privé, les mots de passe, les renseignements personnels, les instructions hors ligne (« Notre maison est vide pour le mois prochain, venez nous voler! ») et les informations sur les transactions financières ne sont que quelques-unes des raisons pour lesquelles vous voudrez que vos courriels soient cryptés.

Pour un usage commercial, toutes les raisons privées s’appliquent, mais du point de vue non seulement de l’information que vous transmettez sur votre entreprise et vos employés, mais aussi de celle de vos clients. L’espionnage d’entreprise, les attaques d’ingénierie sociale et plus encore devraient vous préoccuper lorsque vous cherchez à protéger vos données et celles de vos clients. Ajoutez à cela que le maintien de la conformité aux exigences réglementaires spécifiques à l’industrie est une considération cruciale des solutions de chiffrement des courriels.

Qu’est-ce qu’une solution de chiffrement des courriels?

Une solution robuste de chiffrement des courriels crée efficacement un environnement distinct dans le Web mondial qui fournit non seulement un moyen de transit sécurisé et crypté pour les données, mais aussi un cryptage au repos, nécessitant un portail sécurisé pour se connecter et gérer les courriels. Les données accessibles par l’intermédiaire de ce portail sont stockées dans un endroit sécurisé avec une protection accrue d’un fournisseur de confiance. C’est plus cher que n’importe quel vieux serveur de messagerie, donc les données que vous transmettez de cette manière devraient avoir de la valeur ou avoir besoin d’être protégées à des fins de conformité.

En comparaison, la messagerie sécurisée se fait de la même manière, mais ce surnom peut s’appliquer à tout système de messagerie qui fonctionne comme un « réseau superposé » dans le cadre d’Internet. Cela pourrait également définir techniquement un réseau téléphonique ou un autre système de messagerie non numérique qui nécessite simplement une méthode d’accès contrôlée ou anonyme. Cependant, la plupart des messages sécurisés que les organisations recherchent sont basés sur le courrier électronique, non seulement parce que le courrier électronique est si facile à utiliser, mais aussi parce qu’il est plus facile à suivre, à gérer et à intégrer dans votre flux de travail, et moins utilisé que les systèmes de messagerie sécurisée ressemblant à des SMS.

À quoi s’attendre des meilleures solutions de chiffrement des courriels

Politiques de chiffrement automatisé : Les administrateurs devraient être en mesure de créer des règles automatisées qui chiffrent les courriels en fonction de certains mots-clés, tels que les factures, les mots de passe, les enregistrements ePHI, etc. Ce type de politiques de protection des données (DPP) est nécessaire pour s’assurer que même si les employés ne se conforment pas à la réglementation ou ne sont pas au courant de la réglementation, l’organisation n’est pas en danger.

Chiffrement par sujet : Les employés devraient pouvoir utiliser des déclencheurs pour chiffrer automatiquement les courriels par certains mots-clés dans les lignes d’objet.

Facilité d’accès pour le bénéficiaire : Comment un destinataire d’un courriel crypté accède-t-il au courriel? À quel point facile ou difficile? Existe-t-il suffisamment de mécanismes d’authentification pour s’assurer que la personne qui accède au courriel est le destinataire prévu, après qu’il a été livré?

Chiffrement de tous les sortants vs sélection : Certains services de chiffrement permettront de chiffrer tous les courriels sortants. Cela peut être lourd en raison du temps consacré à l’utilisation des courriels chiffrés, mais en fin de compte, le risque de déchiffrement par les pirates informatiques est beaucoup plus faible. D’autre part, le DPP automatisé peut chiffrer certains courriels, ce qui peut en quelque sorte mettre en évidence les courriels que les pirates pourraient vouloir consulter (cela peut être atténué en chiffrant également certains courriels sans conséquence).

Mieux sûr…

Le chiffrement a été un sujet brûlant ces derniers temps, avec des attaques eFail montrant la faiblesse de PGP et S/MIME qui divulguent le texte clair des courriels chiffrés. Cela met en évidence la nécessité d’obtenir un chiffrement de qualité supérieure avec un portail sécurisé, à l’aide de TLS, pour rendre la compromission des courriels aussi difficile que possible pour les acteurs malveillants. Il souligne également la nécessité plus que jamais d’utiliser une solution de chiffrement de qualité supérieure pour rendre la victime aussi difficile que possible. Vous ne voulez pas vous faciliter la tâche.

Les données les plus précieuses que vous détenez sont ce qui permet à votre organisation de fonctionner, soit parce qu’elles appartiennent à des clients, à des partenaires ou à d’autres parties prenantes, qui sont tous des moteurs de votre succès. Si vous ne protégez pas ces renseignements essentiels, c’est à eux et à vous-même que vous mettez en danger.