Chiffrement et signature électronique : de bons moyens pour protéger les emails

Aujourd’hui, les responsables de la sécurité le savent mieux que personne : la sécurité de l’information exige une approche multiniveau avec des composants adaptés pour chaque point d’intrusion sur le réseau de l’entreprise.

On estime à près de 196 milliards le nombre d’e-mails qui seront envoyés chaque jour en 2015 – ce mode de communication générant la majeure partie du trafic sur les réseaux internes de la plupart des entreprises. Un plan de sécurité réseau inadapté pour faire face aux risques liés aux e-mails reviendrait donc à laisser la porte d’entrée de la maison ouverte.

La perte ou la violation de données représentent probablement les premiers risques liés au courrier électronique. Les secteurs d’activité non réglementés sont aussi concernés que les domaines où la confidentialité représente un enjeu majeur, comme les services financiers ou la santé.

En entreprise, la menace de l’hameçonnage – ou phishing – s’intensifie pour les utilisateurs de messageries électroniques. Dans une attaque de phishing, les malfaiteurs n’hésitent pas à usurper des adresses e-mail pour envoyer leurs messages. But de la manœuvre ? Inciter les destinataires trop confiants à télécharger un logiciel malveillant ou à saisir des données confidentielles sur un site Web frauduleux – données qui seront ensuite récupérées par les pirates. Souvent considéré comme un problème touchant le grand public, l’hameçonnage défraie chaque semaine la chronique en s’attaquant aux clients de sites marchands ou de services en ligne. Mais les pirates informatiques ont aussi commencé à s’en prendre aux utilisateurs en entreprise en se faisant passer pour l’employeur.

 

·       On estime qu’un e-mail sur 392 relève d’une attaque de phishing.

·       Le nombre d’e-mails de phishing aurait grimpé de 300 % en un an.

·       33 % des cadres d’entreprises du Fortune 500 se font [régulièrement] piéger.

 

Protéger son réseau avec la signature numérique et le chiffrement des e-mails 

Désormais, 35% des entreprises chiffrent leurs e-mails. Ce pourcentage, qui était de 29% en 2013 d’après un rapport du Ponemon Institute, n’est pas surprenant. Google indiquait pour sa part que depuis février 2015, 78% des messages envoyés à partir de Gmail étaient chiffrés.

Généralement le chiffrement des e-mails fait appel à la cryptographie à clé publique. Google utilise TLS, une technologie qui permet également de sécuriser votre connexion aux sites Web (comme l’indiquent le préfixe https et le cadenas qui s’affichent dans la barre d’adresse). Pour les clients de messagerie sur les postes fixes (Microsoft Outlook, Apple Mail et Thunderbird) souvent plus répandus en entreprise, S/MIME est le protocole le plus utilisé.

Le standard S/MIME (Secure/Multipurpose Internet Mail Extensions) repose sur le principe de chiffrement à clé publique des données de type MIME (contenu du message). S/MIME propose deux fonctions clés de sécurité pour les e-mails :

·       La signature électronique

·       Le chiffrement

Pour signer numériquement ses e-mails et les chiffrer, il faut un certificat numérique S/MIME. Un certificat numérique est un passeport virtuel qui permet de prouver son identité lors de ses transactions en ligne. À l’instar des autorités locales qui doivent vérifier l’identité d’un individu avant de délivrer un passeport, l’Autorité de Certification – qui correspond à un organisme de vérification tiers – doit pouvoir contrôler un individu avant d’émettre un certificat électronique. Comme le certificat est propre à la personne, son utilisation pour signer un e-mail permet d’attester de l’identité de l’expéditeur.

 

Signature numérique : une solution pour limiter le phishing

En apposant une signature numérique à ses e-mails, cela rassure ses destinataires sur la légitimité de son message et l’authenticité de l’expéditeur : c’est bien la personne expéditrice qui a envoyé le message. La signature numérique permet donc clairement de limiter les risques de phishing en entreprise évoqués plus haut. Si l’entreprise généralise la signature électronique à l’ensemble de ses communications électroniques, tout e-mail usurpé à des fins de phishing est immédiatement signalé puisqu’il ne comporte aucune signature.


Le ruban rouge comme gage d’authenticité

Les e-mails numériques signés et chiffrés affichent clairement leur niveau de sécurité renforcé avec un symbole emblématique. Dans Microsoft Outlook, le ruban rouge indique que l’e-mail est signé numériquement ; l’identité du signataire figure alors sous l’adresse du destinataire. Quant aux e-mails chiffrés, ils sont reconnaissables à la présence d’un cadenas.

Pour vérifier l’identité de l’expéditeur et afficher plus de détails sur la signature, il suffit de cliquer sur le ruban rouge ou le cadenas. Grâce à ces marques de confiance claires, le destinataire sait instantanément que l’e-mail est numériquement signé ou chiffré, et par qui. Il sait également que l’e-mail provient de la bonne personne, qu’il n’a pas été modifié et que son contenu est resté inchangé depuis son envoi.

 

À l’heure où les menaces de piratage, de violations et de vols de données envahissent les réseaux des entreprises, toute démarche promettant de réduire le risque de perte de données – avec un impact minime, voire nul, sur le confort et l’efficacité de l’utilisateur au quotidien – représente une étape majeure sur la voie du contrôle des actifs numériques dans le périmètre de l’entreprise.