Qu’est-ce que la sécurité des e-mails ? Comment sécuriser les e-mails de votre entreprise ?
La sécurisation des e-mails constitue le principal moyen de défense pour empêcher les hackers d’accéder aux contenus sensibles entrants et sortants de votre organisation. De plus, la sécurité des e-mails préserve votre système de courrier électronique face aux spams, aux ralentissements qu’ils occasionnent et à la baisse de productivité de vos employés qui en découle.
Qu’est-ce qu’un e-mail sécurisé ? La sécurité des e-mails se définit par un ensemble de logiciels, procédures et techniques mis en place afin de protéger les comptes e-mails et les informations communiquées vis-à-vis des potentiels hackers et spams.
Quelles sont les menaces courantes qui pèsent sur la sécurité des e-mails ?
Partout dans le monde, l’e-mail reste l’un des principaux moyens de communication des entreprises. Peu coûteux, il est omniprésent sur la planète entière et s’appuie sur une technologie fiable, ouverte et facile à déployer, même à grande échelle. De plus, il offre une certaine flexibilité : un e-mail peut être long et descriptif, contenir des images, des pièces jointes et même du contenu au format HTML.
Bien entendu, la forme de communication la plus utilisée constitue également un des principaux vecteurs d’attaque et de menace en matière de sécurité. Une récente enquête Kiteworks montre que les entreprises en ont pleinement conscience. L’e-mail constitue en effet leur vecteur de risque le plus significatif : 68 % des répondants classent les communications par e-mail au rang 1 ou 2 des risques en matière de sécurité.
L’e-mail d’entreprise est probablement l’une des cibles les plus prisées par certaines de ces menaces, et pour cause : l’e-mail est intrinsèquement non sécurisé. Concrètement, l’e-mail est utilisé pour partager la plupart des données personnelles et des données de santé (DDS), quelle qu’en soit la forme.
Et c’est là le cœur du problème car la plupart des gens, y compris les bénéficiaires du système de santé, utilisent l’e-mail.
Mais les menaces sont trop prégnantes pour être ignorées. Voici quelques menaces parmi les plus pertinentes et les plus fréquentes :
- Exposition involontaire : l’exposition involontaire représente probablement la vulnérabilité la plus répandue. Car l’e-mail, lorsqu’il parvient à destination, ne protège pas les informations qu’il contient. En effet, lorsqu’un e-mail se trouve dans une boîte de réception, toute personne qui a accès au compte de messagerie – ou à un quelconque appareil qui lui est connecté – est en mesure de prendre connaissance de l’information.
- L’intégrité des données stockées : lorsqu’un e-mail atterrit sur le serveur de l’expéditeur ou du destinataire, il doit être protégé contre le piratage. La plupart de ses données ne sont pas chiffrées.
- Responsabilité : les entreprises soumises à des obligations règlementaires doivent souvent répondre à des critères garantissant que le propriétaire des données (le consommateur, le patient, etc.) soit le seul à recevoir leurs informations. Sans même parler d’exposition involontaire, l’entreprise n’a en fait aucun contrôle sur qui reçoit les informations après leur envoi par e-mail.
- Ingénierie sociale : le phishing, les spams et autres escroqueries sont des pratiques courantes qui utilisent les e-mails. Si ces pratiques ne concernent pas directement les entreprises expéditrices de messages, elles sont problématiques pour les usagers destinataires qui peuvent être la cible d’e-mails professionnels compromis, ou d’une attaque similaire.
Quel type de technologies ou de solutions pour sécuriser l’e-mail ?
En règle générale, on distingue trois surfaces d’attaques potentielles en matière de sécurité des e-mails :
- Serveurs de messagerie : ils permettent de stocker les messages reçus et les brouillons ainsi que d’envoyer des e-mails. Leur fonction principale est de contrôler l’activité et d’héberger l’ensemble des e-mails envoyés et reçus par les utilisateurs sur ce serveur.
- Transmission des e-mails : à mesure que les-mails sont envoyés, ils sont susceptibles d’être victime de vols par des « attaques de l’homme du milieu ». La plupart des normes relatives à la conformité des e-mails exigent une certaine sécurité pour les e-mails en transit, parallèlement à la sécurisation du serveur.
- Clients de messagerie : toute personne utilisant un client (tel qu’Outlook ou Thunderbird) fournit des copies des e-mails à une machine locale. À ce niveau interviennent des exigences supplémentaires en matière de sécurité.
Ceci dit, les fournisseurs peuvent mettre en œuvre certaines approches de sécurité normalisées :
- Sécurité de la couche de transport (TLS) : le chiffrement TLS, un descendant du chiffrement SSL (Secure Sockets Layer), protège les informations lors de leur transmission entre deux serveurs de messagerie. Le chiffrement TLS est un protocole ouvert qui masque les données entre les serveurs : dès lors, la plupart des fournisseurs d’e-mails utilisent ce chiffrement pour protéger les e-mails en transit entre deux serveurs.
- Chiffrement de bout en bout : le chiffrement de bout en bout est le procédé de chiffrement d’un e-mail depuis son envoi par le client de l’expéditeur, jusqu’à sa destination finale sur le client du destinataire. Contrairement au chiffrement TLS, les solutions de bout en bout comprennent également le chiffrement des messages au repos et permettent de sécuriser les messages sur un serveur, afin qu’ils ne soient lisibles que par le destinataire. Parmi les formes de chiffrement de bout en bout fréquemment utilisées, on pourra citer S/MIME ainsi que PGP, solution de chiffrement à clé publique.
- Authentification multifacteur (MFA) : la plupart des fournisseurs réputés (et la quasi-totalité des fournisseurs qui respectent des normes de conformité en matière d’e-mails) utilisent l’authentification multifacteur pour protéger l’accès aux comptes utilisateurs.
- Passerelles de messagerie : les passerelles sont des rideaux de sécurité dans lesquels un système automatisé passe les e-mails au crible dans le but de déceler les menaces. Cela comprend la suppression de pièces jointes non-autorisées, le déclenchement d’alertes à la réception d’e-mails provenant de domaines externes, ainsi que le blocage d’e-mails provenant d’autres domaines ou plages d’adresses IP.
De nombreuses solutions de sécurisation des e-mails sont déployés chez la plupart des fournisseurs (authentification multifacteur, chiffrement TLS) ; en parallèle, certaines sont sélectionnées pour être déployées dans les messageries d’entreprises (passerelles). Cependant, le chiffrement de bout en bout n’est pas systématiquement utilisé pour la sécurité des e-mails car des incompatibilités entre les normes de chiffrement internes peuvent soulever des problématiques complexes, dont la résolution s’avère parfois peu efficace. Selon une étude Kiteworks, 79 % des répondants ont déclaré avoir consacré plus de 20 heures par mois à la gestion de fichiers chiffrés provenant de tiers, 41 % d’entre eux révélant avoir passé plus de 30 heures par mois sur cette problématique.
Ce manque d’efficacité est un vrai problème, et pas seulement pour des questions de perte de temps et d’argent. En effet, parmi les sondés, 60 % ont rapporté qu’en cas de réception d’un e-mail chiffré pour lequel ils ne disposaient pas de la technologie adaptée, ils demandaient à l’expéditeur de renvoyer ce message ou ce fichier non chiffré.
En outre, les fournisseurs ne seraient pas en mesure de scanner ni de lire un message chiffré de bout en bout, car la procédure de déchiffrement ne serait possible qu’au moment de l’ouverture de l’e-mail par l’utilisateur.
Quelles sont les meilleures pratiques pour sécuriser les e-mails ?
La sécurité des e-mails impose d’aligner vos capacités techniques sur les besoins de votre entreprise. Toutes les entreprises n’ont pas nécessairement besoin d’une passerelle ou d’une norme de chiffrement complexes pour assurer la sécurité de leurs e-mails. Par ailleurs, d’autres entreprises proscrivent l’utilisation des e-mails au profit d’autres solutions de partage d’informations pour se conformer aux réglementations relatives à la protection des données et à la confidentialité.
Voici quelques bonnes pratiques que les organisations doivent suivre pour sécuriser leurs communications par e-mail :
- Protéger les e-mails des salariés grâce au chiffrement et à l’authentification multifacteur : que les organisations gèrent leurs e-mails sur site ou via un fournisseur tiers (le plus souvent la deuxième option), elles doivent s’assurer que les chiffrements TLS et AES-256 sont bien utilisés pour protéger respectivement les données échangées et les informations stockées sur les serveurs chiffrés. Si un pirate a volé par phishing les identifiants d’un utilisateur, l’utilisation de l’authentification multifacteur, y compris la biométrie, empêchera ce pirate d’accéder aux e-mails chiffrés car il ne disposera pas du deuxième facteur d’authentification.
- Mettre en place une passerelle de messagerie sécurisée : une passerelle contribue à la protection des e-mails en créant un canal privé et sécurisé entre plusieurs parties. Des messages sécurisés peuvent être envoyés à travers ce canal par chiffrement des e-mails de l’expédition jusqu’à leur destination. Cette approche permet aussi de réduire les attaques d’ingénierie sociale, notamment en limitant les possibilités d’envoi d’e-mails via ce canal.
- Utiliser des portails sécurisés : les portails sécurisés, souvent appelés webmails, permettent aux organisations de stocker des pièces jointes localement sur des serveurs chiffrés protégés par une authentification multifacteur, plutôt que sur le serveur de messagerie. Les destinataires sont invités par e-mail à créer des comptes et à se connecter au portail pour télécharger et déchiffrer les pièces jointes de façon sécurisée, en toute conformité réglementaire.
Passerelle de chiffrement des e-mails avec la plateforme Kiteworks
La plateforme Kiteworks offre une gestion des e-mails sécurisée, qui garantit la conformité sans entraver l’agilité des entreprises. Elle propose un chiffrement avancé et des contrôles de sécurité uniformisés via un plug-in Microsoft Outlook, une application web, des applications mobiles et des plug-ins d’applications d’entreprise pour Google Workplace, Microsoft Office, iManage 9 et 10 et Salesforce Service Cloud. Kiteworks a récemment acquis la société totemo afin d’intégrer le chiffrement automatique des e-mails aux clients de messagerie des utilisateurs. Ce chiffrement prend en charge les normes S/MIME, TLS et OpenPGP et propose des options de chiffrement de bout en bout et de passerelles.
De plus, Kiteworks offre aux organisations un réseau dédié aux contenus privés (PCN – Private Content Network) pour l’ensemble de leurs canaux de communication d’informations sensibles, y compris la messagerie. Les réseaux de contenus privés Kiteworks permettent aux organisations :
- d’unifier les technologies de communication de contenus tels que le partage sécurisé de fichiers, le SFTP, le transfert sécurisé de fichiers (MFT) et les formulaires sécurisés, afin de faciliter leur utilisation et de proposer des pistes d’audit standardisées. Un large panel de clients de messagerie standards sont inclus nativement pour favoriser la fluidité de l’expérience utilisateur et protéger tous les e-mails contenant des informations sensibles, envoyés via ces clients.
- de suivre les contenus, les métadonnées, l’activité des utilisateurs et les évènements système pour doper l’efficacité de votre centre opérationnel de sécurité (SOC), les rapports sur les accès des tiers extérieurs, et remplir facilement vos obligations déclaratives en matière de conformité aux réglementations.
- de contrôler les accès aux contenus et les règles fonctionnelles au regard des profils de risque et des rôles utilisateur. De s’appuyer sur l’administration centralisée pour couvrir les e-mails ainsi que les formulaires web, le transfert sécurisé de fichiers (MFT) et le partage sécurisé de fichiers, pour une expérience d’administration exhaustive.
- de sécuriser les contenus à travers le chiffrement des données stockées et échangées qui les protège des expositions involontaires d’informations confidentielles à des acteurs malveillants.
L’e-mail constitue un risque majeur pour la sécurité et l’absence d’un chiffrement total de bout en bout contribue largement à ce problème. Kiteworks permet aux organisations de réduire ce risque à travers la création de réseaux dédiés aux contenus privés qui mettent en œuvre des solutions innovantes de chiffrement des e-mails.
Demandez une démo sur mesure pour découvrir comment Kiteworks permet aux organisations de protéger les contenus sensibles envoyés et reçus par e-mail, en profitant d’un modèle de plateforme qui étend la protection des données et la conformité des contenus sensibles en mode multicanal.