Où en est le chiffrement des e-mails professionnels ?

Dans un contexte où les services de Cloud public hébergent la majorité des communications électroniques, le piratage de ces informations par des organisations internationales obscures mais très lucratives devient la préoccupation N°1 des RSSI*. C’est ainsi que sont ciblées les informations confidentielles qui transitent par email telles que les données personnelles, les transactions financières ou encore les projets stratégiques. Elles deviennent la cible des hackers.

La mise en œuvre du Règlement général sur la protection des données (RGPD) a sensibilisé les utilisateurs et, parmi les différentes actions de protection à mettre en œuvre, le besoin d’envoyer des messages chiffrés a considérablement augmenté ces derniers temps.

L’enjeu pour l’entreprise est d’apporter des solutions faciles à utiliser avec une conduite du changement restreinte et de s’assurer que les emails nécessitant un chiffrement ne seront plus exposés publiquement.

Certains secteurs d’activité imposent désormais un chiffrement des emails. Il s’agit par exemple des échanges contenant des données de santé,  ou relatives aux finances et aux transactions immobilières.

Dans cet article, nous détaillerons les principes fondamentaux du chiffrement des emails, ainsi que les contraintes propres à leur application dans le cadre professionnel. Nous présenterons également deux cas concrets mis en œuvre par Alinto pour ses clients européens.

 

Quelques concepts de base

Le chiffrement des emails consiste à rendre illisible le contenu d’un message afin que personne d’autre que le destinataire ne puisse lire celui-ci. Une fois l’information chiffrée, il faudra une clé pour déchiffrer le message et avoir accès à son contenu.

Il existe plusieurs protocoles de chiffrement des emails, parmi lesquels OpenPGP, TLS ou S/MIME.

Il existe deux méthodes principales de chiffrement :

  • Algorithmes de cryptographie symétrique (à clé sécrète): on utilise une même clé pour chiffrer et déchiffrer le message. Cela implique la nécessité de transférer la clé au correspondant, ce qui rend la mise en œuvre plus difficile et plus risquée, étant donné que la clé peut être interceptée si elle transite sur les réseaux.
  • Algorithmes de cryptographie asymétrique (à clé publique et privée) : il y a dans ce cas deux clés. On appelle la clef de déchiffrement la clé privée et la clé de chiffrement la clé publique. De cette façon, seul le destinataire du message peut déchiffrer son contenu.

La cryptographie asymétrique est également utilisée pour assurer l’authenticité d’un message. L’empreinte du message est chiffrée à l’aide de la clé publique et est jointe au message. Les destinataires déchiffrent ensuite le cryptogramme pour retrouver l’empreinte. Cela leur assure que l’émetteur est bien l’auteur du message. On parle alors de signature. La plupart des entreprises offrant des services professionnels de chiffrement s’appuient sur ce dernier type de cryptographie.

Par abus de langage en français, de nombreuses personnes parlent de cryptage des emails mais, en réalité, le terme approprié est chiffrement des emails.

La réponse Alinto : le chiffrement professionnel

Les services de chiffrement mis en œuvre par Alinto utilisent la cryptographie asymétrique, combinant clé publique et privé, pour garantir la haute sécurité des échanges.

Nos solutions sont basées sur S/MIME (Secure/Multipurpose Internet Mail Extensions), un standard qui s’appuie sur les certificats numériques X.509 pour signer et chiffrer les courriels. Il assure l’intégrité et confidentialité des données, pendant que la signature électronique garantit la non-répudiation et authentification des informations.

Le protocole S/MIME est compatible avec la plupart de clients de messagerie, comme Microsoft Outlook, Thunderbird, Apple/iPhone Mail, Lotus Notes, Gmail sur Android, etc.

Mais, comment répondre à des besoins spécifiques ?

 

Chiffrement On premise – Simplicité de mise en place et d’usage

L’un de nos clients, acteur majeur de l’assurance en France doit chiffrer sa messagerie Office 365 quand leurs collaborateurs envoient les dossiers médicaux des futurs clients à des médecins ayant des emails sur des cloud public de type Gmail. La communication de ces informations personnelles doit être parfaitement sécurisée, car ces informations doivent rester strictement confidentielles.

Les collaborateurs de l’assureur n’étant pas des experts informatiques, il fallait une solution simple qui ne requiert aucune installation lourde.

La solution Netmail Encrypt est installée en aval d’Office 365. Dans Office 365, il suffit de définir une règle de routage pour que les courriels sensibles soient chiffrés. C’est l’utilisateur qui définit le courriel sensible en mettant un tag comme par exemple « [chiffré] » dans l’objet du courriel. Pour définir les emails à chiffrer, l’administrateur a aussi la possibilité de créer des politiques d’envoi basées sur les métadonnées du courriel (destinataire, expéditeur, …).

Côté destinataire, utilisateur de Gmail ou de Hotmail ou bien d’une autre solution, il n’a y rien à installer. La toute première fois qu’il recevra un courriel chiffré, le destinataire sera invité à créer sa clé personnelle. Ensuite, il pourra simplement avoir accès à ses courriels chiffrés, les lire ainsi que les pièces jointes et éventuellement, il pourra y répondre.

L’un des principaux atouts de Netmail Encrypt est donc qu’il est très simple à mettre en œuvre et à utiliser par de usagers non expérimentés dans le domaine informatique.

 

Chiffrement Cloud – Haute sécurité et polyvalence pour PME et moyenne entreprise

Toujours en gardant le plus haut niveau de sécurité, parfois les projets de chiffrement nécessitent de s’adapter aux besoins des entreprises de toutes tailles et secteurs. Nos partenaires se trouvent souvent devant des projets ne permettant pas l’installation d’un serveur dédié pour des raisons de budget et de ressources. Ils nous sollicitent pour des solutions simples à déployer et capables de s’adapter à des contraintes particulières.

C’est le cas par exemple de l’un de nos clients Suisse : une clinique avec plus de 130 utilisateurs qui avait besoin de chiffrement en utilisant des certificats sanitaires spéciaux (HIN, Health Info Network). Avec la solution Cleanmail Sign + Encrypt, nous avons déployé un service de chiffrement dans le Cloud qui nous a permis d’intégrer une variante de ce certificat pour les utilisateurs. La solution, repose sur la technologie SEPPmail, leader des solutions de chiffrement en Suisse, que nous avons intégrée au filtre anti-spam et antivirus de Cleanmail. La solution permet de gérer de façon automatique les certificats de sécurité, rendant ainsi l’implémentation et la gestion du service plus simple.

Cette capacité d’automatisation nous permet de travailler avec des entreprises de taille et de secteur d’activités variés.

En résumé, les solutions déployées par Alinto permettent aux entreprises d’atténuer les risques associés aux violations des réglementations, perte de données et piratage en sécurisant de manière transparente les informations propriétaires et confidentielles.

Pour plus d’informations, nos équipes sont toujours à l’écoute. N’hésitez pas à nous contacter !

*Responsable de la sécurité des systèmes d’information