BFM Business

Chiffrer ses e-mails n'est plus un luxe

Les solutions tierces de chiffrement telles que Prim’X et Security Box permettent de limiter l’accès aux e-mails en cas d’attaque.

Les solutions tierces de chiffrement telles que Prim’X et Security Box permettent de limiter l’accès aux e-mails en cas d’attaque. - Pixabay

La messagerie électronique figure parmi les premières faiblesses de l'entreprise en matière de cybersécurité. les emails transportent autant d'informations anodines que de données sensibles. Informations financières, de santé, propriété intellectuelle, contrats, voire même du confidentiel défense, tout y circule… Chiffrer les e-mails - ou au moins une partie- réduit les risques de fuite en cas de piratage.

Incroyable! Près de 20 0000 e-mails de responsables de la Convention Nationale du Parti Démocrate Américain ont été piratés puis publiés en ligne le 22 juillet 2016. Pire: entre octobre 2015 et février 2016, un groupe de jeunes hackers (certains sont adolescents) ont piraté les emails privés de plusieurs responsables d’autorités américaines, dont ceux du directeur de la CIA et du responsables du FBI. De là ils ont notamment pu mettre la main sur des informations sensibles, les lire et harceler certaines de leurs victimes. La messagerie apparaît donc comme l'une des premières faiblesses de l'entreprise, mais comment faire sans ?

L’e-mail est devenu universel. Selon la société d’études Radicati Group plus de 54% des 205 milliards d’e-mails échangés dans le monde en 2015 étaient professionnels. Chaque collaborateur envoie ou reçoit en moyenne entre 100 et 150 e-mails par jour. Dans ce flux figurent des informations sensibles qu’il faut rendre inexploitables en cas de piratage. "Lorsque les entreprises échangent des données sensibles, il est judicieux aujourd'hui d’ajouter aux systèmes de messagerie des mécanismes de chiffrement, d’authentification, de protection contre la perte de données ou encore de gestion des droits numériques", insiste Jeff Mann, directeur de recherche chez Gartner.

Des fournisseurs sécurisés labellisés par l'Etat Français

Si cette recommandation s’applique évidemment aux entreprises qui gèrent leurs serveurs de messagerie en interne (trois quarts des comptes de messagerie électronique de Microsoft sont administrés en interne, par les entreprises elles-mêmes, selon Radicati Group), elle concerne également celles qui ont basculé vers une solution d’e-mails dans le cloud (Office365 de Microsoft et Google Apps for Work notamment). En effet, certes c’est dans le cloud que le risque de faille technique des systèmes de messagerie est le plus faible, mais certaines entreprises veulent réduire ce risque davantage ou protéger leurs échanges de gouvernements indiscrets par exemple. "Elles doivent alors chiffrer leurs messages, y compris lorsque le service est hébergé dans le cloud. C’est aujourd'hui la première approche à avoir", confirme à son tour Chadi Hantouche, expert chez la société de conseil Wavestone.

Pour rendre les messages illisibles par des hackers, les fournisseurs de messagerie professionnelle dans le cloud proposent des options de chiffrement intégrées à leurs services. Microsoft fournit une solution de sécurisation complémentaire, délivrée par un tiers. "Thales a développé Cyris for Outlook, une application qui permet notamment de chiffrer le corps du mail et ses pièces jointes voire, pour les clients les plus sensibles, de renforcer l’authentification", détaille Marc Gardette, Directeur de la stratégie Cloud chez Microsoft. Mais les entreprises peuvent opter pour d’autres tiers. Prim’X et Security Box sont des produits français, validés par l’agence nationale pour la sécurité des systèmes d’information (ANSSI).

Utiliser des solutions alternatives à l’e-mail

On peut enfin s'abstenir de passer par une messagerie classique. Pour échanger des données sensibles, les entreprises peuvent ainsi avoir recours à des services de communication alternatifs."Toute solution basée sur de l’authentification et du chiffrement sera plus sûre que l’e-mail et fera l’affaire", résume Jeff Mann de Gartner en citant en exemple les plateformes Jive, Igloo, Watchdox de Blackberry ou encore Ctera Networks. "Toutefois, de par leur conception et leur ergonomie, ces services ne sont pas aussi fluides et faciles d'accès que l’e-mail traditionnel". Les collaborateurs sont contraints à se rendre sur une page web et à accéder au service muni d’un -nième- mot de passe.

Eddye Dibar