Demander une Démonstration
Réservez une démonstration et découvrez comment partager vos données rapidement et en toute sécurité.
Partager l'article:
Partager l'article:
Le chiffrement. Il s’agit d’une solution très ancienne utilisée pour mettre nos informations les plus sensibles à l’abri des regards indiscrets lorsque nous les échangeons ou qu’elles sont tout simplement en notre possession. Lorsque les e-mails ont fait leur apparition, nous avons vite compris que nous aurions besoin de chiffrer également nos messages numériques.
Mais si le chiffrement des e-mails est de toute évidence la solution de sécurité qui s’impose à notre époque, pourquoi tout est si compliqué dans ce domaine ? Ou pourquoi pensons-nous que ce soit si compliqué ?
Franklin Veaux résume très bien cette situation sur Quora : « Pour l’instant, c’est chiant. C’est lourd, c’est maladroit, c’est tout sauf transparent, et la plupart des utilisateurs ne savent absolument pas comment s’y prendre ni quoi faire avec un e-mail chiffré. » Malgré le fait que nous en ayons de plus en plus besoin, de nombreux utilisateurs ont encore du mal à comprendre le concept en raison de sa complexité et de sa difficulté ressenties, sans parler des problèmes techniques auxquels les chiffreurs sont confrontés tous les jours.
Nous avons déjà connu pareille situation lorsque nous avons commencé à utiliser avec un peu d’appréhension les ordinateurs dans les années 80, les téléphones portables au début des années 2000 et l’authentification à deux facteurs dans les années 2010. Mais dès lors que toutes ces technologies sont devenues plus accessibles, plus abordables, mieux comprises et plus simples à utiliser, nous les avons progressivement intégrées dans nos vies quotidiennes avant de les adopter toutes à la fois.
Dans ce blog, nous allons vous expliquer en détail pourquoi le chiffrement des e-mails est si important, pourquoi il est si difficile et comment nous pouvons surmonter ces difficultés.
Qu’est-ce que le chiffrement des e-mails ?
Pourquoi le chiffrement des e-mails est-il nécessaire ?
Pourquoi le chiffrement des e-mails est-il difficile ?
Comment simplifier le chiffrement des e-mails ?
Chiffrement simple, rapide et sécurisé des e-mails
Conclusion
Le chiffrement des e-mails consiste à brouiller le contenu d’un e-mail dans le but de le dissimuler lors de son échange ou de son stockage. Seul le destinataire de l’e-mail, à savoir la personne possédant la clé de chiffrement, a la possibilité de le déchiffrer et d’accéder aux données qu’il contient.
Le chiffrement des e-mails utilise généralement la cryptographie à clé publique, qui repose sur une combinaison de clés publiques et privées générées toutes les deux par l’expéditeur. L’expéditeur utilise une clé publique pour chiffrer le message, que le destinataire déchiffrera au moyen de la clé privée. Khan Academy a recours à l’analogie avec une boîte aux lettres. Tout le monde peut accéder à une boîte aux lettres et y déposer un courrier. Mais seul le destinataire de ce courrier possédera la clé pour ouvrir la boîte aux lettres et le récupérer.
Il existe deux catégories principales de chiffrement des e-mails : la sécurité de la couche de transport (TLS) et le chiffrement de bout en bout (E2E). La sécurité de la couche de transport chiffre et protège l’e-mail lorsqu’il est transmis de l’expéditeur au destinataire, tandis que le chiffrement de bout en bout s’applique à tout moment, lorsque les données sont transférées et qu’elles sont stockées avant et après leur transmission. Le chiffrement de bout en bout est la catégorie de chiffrement des e-mails la plus sécurisée.
Le temps d’une journée, essayez d’analyser les informations que vous partagez par e-mail. Vous viendrait-il à l’idée d’en diffuser ne serait-ce qu’une partie au reste du monde ? Les e-mails contiennent généralement des données sensibles, comme des stratégies commerciales, des informations personnelles, des identifiants d’accès, des fichiers ou encore des données financières. Dès lors que ces informations sont diffusées à plus grande échelle, les pirates informatiques peuvent causer de gros dégâts aux finances d’une entreprise, à sa réputation, à ses infrastructures, voire à la sécurité nationale.
Vous vous souvenez sans doute de quelques opérations de piratage de messagerie majeures, comme la fuite des e-mails de la Convention nationale des démocrates américains en 2016, le piratage du serveur de messagerie de Microsoft en 2022, la violation des données de Sony en 2014, l’attaque par ingénierie sociale contre Uber en 2022 qui a exposé un grand nombre d’e-mails et bien d’autres encore. Toutes ces attaques ont eu d’importantes conséquences financières, politiques et émotionnelles, non seulement pour les cibles immédiates, mais aussi pour leurs clients ou leurs électeurs. Parallèlement aux violations de données très médiatisées, les petites entreprises, les particuliers et même les écoles primaires et secondaires sont de plus en plus ciblées. Résultat : le volume des données menacées ne cesse d’augmenter.
Selon Statista, près de 15 millions d’enregistrements de données ont été exposés dans le monde entier à la suite de violations de données au cours du troisième trimestre 2022, soit une augmentation de 37 % par rapport au trimestre précédent. Mais ce problème ne se résume pas à la simple perte initiale de données : le coût d’une violation de données est également très élevé en matière de réparation. Le coût moyen d’une violation de données s’élève à 4,35 millions de dollars à l’échelle mondiale. Ce montant est d’ailleurs quasiment deux fois plus élevé pour les entreprises américaines (9,44 millions de dollars), selon IBM.
Le chiffrement des e-mails, notamment de bout en bout, permet de lutter directement contre ces conséquences. Le chiffrement des e-mails protège les données figurant dans votre e-mail de façon à empêcher les pirates qui parviennent à l’intercepter de disposer des clés nécessaires pour déchiffrer les données et y accéder. Il s’agit d’une solution éprouvée à laquelle les gouvernements et les différents secteurs d’activité en général sont attentifs.
Les réglementations américaines telles que HIPAA, ITAR, CMMC, FTC Safeguards, ainsi que d’autres exigent le chiffrement des informations sensibles lorsqu’elles sont stockées et transférées. Les réglementations européennes telles que le Règlement général sur la protection des données (RGPD) font de même. Bien que le chiffrement des e-mails ne soit pas explicitement obligatoire, il est considéré comme une méthode standard dans le secteur visant à protéger les informations sensibles échangées dans les e-mails.
Nous savons donc que nous avons de plus en plus besoin du chiffrement des e-mails et que de nombreuses réglementations dans tous les secteurs d’activité exigent d’y avoir recours. Pourquoi est-ce si difficile ?
Cette difficulté s’explique notamment par le fait que d’anciens fournisseurs de solutions de chiffrement basées sur des portails ont rendu l’expérience utilisateur particulièrement difficile. Pas facile en effet de mettre en œuvre un processus de chiffrement et de déchiffrement transparent.
Le chiffrement d’un message est relativement simple si l’on dispose de la bonne configuration. La partie la plus difficile du chiffrement est réellement le déchiffrement : il convient de veiller à ce que les personnes concernées puissent facilement déchiffrer le message et à ce que toutes les autres ne puissent pas le faire.
Du point de vue du RSSI, la mise en œuvre du chiffrement représente de nombreux défis qui ne se limitent pas à sa seule difficulté d’utilisation.
1. Problèmes de compatibilité : certaines méthodes de chiffrement des e-mails exigent que l’expéditeur et le destinataire utilisent tous les deux la même technologie de chiffrement, ce qui peut poser problème lorsque différents systèmes de messagerie sont utilisés ou lorsque les destinataires possèdent un ancien logiciel qui ne prend pas en charge le déchiffrement.
Prenons l’exemple de la norme S/MIME : ce protocole de double chiffrement très réputé nécessite l’installation d’un certificat S/MIME aussi bien du côté de l’expéditeur que du côté du destinataire. Pour les entreprises qui travaillent souvent avec des sous-traitants externes, des clients ou des consommateurs quotidiens, cette méthode de chiffrement peut s’avérer inenvisageable.
2. Gestion des clés : celui ou celle qui possède les clés de vos données a la possibilité de déchiffrer les e-mails que vous avez protégés. Parallèlement au chiffrement des données elles-mêmes, il est donc essentiel de conserver toutes les clés publiques et privées dans un endroit sécurisé, à l’abri des pirates informatiques.
Il existe deux façons principales de stocker des clés de chiffrement : auprès d’un fournisseur de services de cloud (Google, Microsoft ou Amazon) ou sur un serveur sur site. Le stockage des clés de chiffrement dans le cloud est nettement plus pratique, plus convivial et généralement moins coûteux. Ceci étant, dans un grand nombre de cas, il peut également poser des problèmes juridiques ou de conformité, en particulier pour les entreprises basées dans l’Union européenne, même si celles-ci ont recours à un cloud privé.
Imaginons qu’une entreprise basée en France utilise Microsoft pour stocker toutes ses clés permettant de chiffrer les messages Outlook, ainsi que l’ensemble de son contenu sensible. Si le serveur Microsoft contenant les clés et le contenu de l’entreprise française est situé sur le sol américain, cette dernière est susceptible de faire l’objet de réquisitions judiciaires et de mandats du gouvernement américain. Dans le cas d’une réquisition judiciaire secrète, ni Microsoft ni le gouvernement américain ne sont tenus d’informer l’entreprise française de leur demande concernant les données/clés. Pour autant, ils continuent de pouvoir accéder aux données stockées sur le serveur basé aux États-Unis. Cette situation est problématique pour l’entreprise française, car ses données risquent maintenant d’être éventuellement exposées auprès d’un gouvernement étranger.
Elle a donc la possibilité de :
Ce point nous amène à notre prochain défi technique, à savoir les limites de l’infrastructure.
3. Limites de l’infrastructure : l’utilisation d’un serveur sur site pour générer et stocker les clés de chiffrement nécessite du temps, de l’argent et des ressources que de nombreuses entreprises ne possèdent pas. Le recours à un petit fournisseur de services de cloud plutôt qu’à des plateformes standard du secteur, telles que Google ou Microsoft, peut entraver le flux de travail et la collaboration. Cette approche peut s’avérer difficile pour les petites entreprises ou les organisations qui ne disposent pas des ressources nécessaires pour mettre en œuvre de puissantes mesures de sécurité, mais qui doivent tout de même respecter des indicateurs de croissance et de collaboration.
« Chaque fois que l’on encourage l’adoption d’une nouvelle technologie, plus son utilisation est simple, plus son adoption est importante », explique David Bowden, Vice-président de la sécurité des informations, de la confidentialité des données, de la conformité et des activités informatiques auprès de Zwift. Et il a raison : les gens étant concentrés sur leur travail, si leurs outils de sécurité sont difficiles à utiliser ou si leurs clients ont du mal à les prendre en main, ils ne les utiliseront tout simplement pas.
De nombreux services de chiffrement des e-mails sont difficiles à utiliser dans la pratique, ce qui complique la vie de l’utilisateur final moyen. Les solutions de chiffrement basées sur un portail exigent des utilisateurs qu’ils se connectent et se déconnectent chaque fois qu’ils veulent recevoir un e-mail chiffré. Certains services de chiffrement, comme S/MIME et PGP, ne sont pas intégrés dans tous les systèmes d’exploitation et ne permettent donc pas à l’expéditeur et au destinataire d’échanger certains messages chiffrés entre eux.
Certains obligent même les utilisateurs finaux eux-mêmes à gérer leurs flux d’échange de clés de chiffrement publiques et privées. Le chiffrement PGP (Pretty Good Privacy) est ultra-sécurisé, mais il repose sur un échange de clés privées qui contraint l’utilisateur à stocker et à gérer ses propres clés individuellement.
Au-delà des protocoles de chiffrement utilisés, il est fréquent que les fournisseurs de solutions de chiffrement des e-mails négligent la qualité de l’interface utilisateur et de l’expérience de l’utilisateur final. Au bout du compte, le produit devient inutile, car les utilisateurs réguliers doivent quitter leurs onglets Microsoft ou Google pour déchiffrer et consulter les messages. Le processus de chiffrement et de déchiffrement des messages est complexe et comporte trop d’étapes. Tous ces aspects techniques entravent les flux de travail et encouragent même les utilisateurs finaux à rechercher des solutions de contournement non sécurisées pour pouvoir effectuer leur travail dans les temps.
Même en présence d’un système de chiffrement des e-mails convivial, l’erreur humaine n’est parfois pas à exclure. Le chiffrement côté client, à savoir le fait que l’expéditeur active lui-même le chiffrement du message par opposition au chiffrement automatique côté serveur, peut pousser les utilisateurs à oublier de chiffrer leur message, ce qui entraîne l’exposition accidentelle d’informations sensibles. Dans certains cas, la simplicité d’utilisation est telle que les utilisateurs en oublient même sa présence ; il peut ainsi arriver que le destinataire d’un message chiffré réponde sans même le chiffrer, exposant ainsi le contenu détaillé de la communication.
Si le chiffrement et le déchiffrement des e-mails présentent de très nombreuses difficultés, il suffit de changer de point de vue pour pouvoir véritablement les résoudre.
Les utilisateurs doivent pouvoir chiffrer et déchiffrer leurs e-mails en un ou deux clics seulement, sans se soucier d’avoir à se reconnecter, à créer un compte ou à s’interroger sur un éventuel problème de compatibilité externe. Les outils de sécurité sont trop souvent déployés sans tenir compte du quotidien et des flux de travail des employés sur le terrain.
Si le système de chiffrement des e-mails est difficile à utiliser, il faut faire un choix quant à l’aspect à sacrifier en premier : la productivité ou la sécurité. Pour garantir une adoption rapide et à grande échelle, il est essentiel d’investir dans une solution capable de simplifier autant que possible l’interface pour les expéditeurs comme pour les destinataires.
Les méthodes telles que le chiffrement des e-mails basé sur un portail et la norme S/MIME ne fonctionnent que lorsque les collaborateurs disposent de la même infrastructure chacun de leur côté. Il est possible de rationaliser le chiffrement et le déchiffrement des e-mails en adaptant les protocoles de façon à les rendre plus flexibles dans un plus grand nombre d’environnements. Des solutions telles que le déchiffrement à partir d’un navigateur et l’authentification de l’identité par la vérification de l’e-mail peuvent simplifier l’expérience d’une collaboration externe sécurisée dans des environnements peu familiers.
Avant de sécuriser les serveurs de messagerie, les utilisateurs, les appareils, les plateformes, les applications et les réseaux, nous devons nous rappeler ce que nous cherchons réellement à protéger : les données elles-mêmes. Lorsque les administrateurs sont chargés d’appliquer des règles générales en matière de chiffrement des e-mails, ils restreignent la précision, la collaboration et la productivité pour lesquelles les communications par e-mail ont été créées. Le fait d’associer des contrôles d’accès aux e-mails chiffrés eux-mêmes peut permettre aux utilisateurs de bénéficier du contrôle nuancé et propre à la situation dont ils ont besoin pour protéger les e-mails et poursuivre leur collaboration.
Face au chiffrement trop complexe des e-mails, il convient d’opter pour un outil qui ne considère pas l’expérience utilisateur comme un élément secondaire et qui donne la priorité à la sécurité centrée sur les données pour permettre aux utilisateurs finaux de bénéficier d’un contrôle plus poussé que jamais.
Virtru fonctionne comme un plug-in qui s’intègre directement dans votre flux de travail plutôt que de le supplanter. Un clic suffit pour chiffrer vos e-mails sensibles lors de leur stockage ou de leur transfert. Les destinataires externes peuvent également déchiffrer un e-mail en toute simplicité puisqu’ils n’ont même pas besoin d’avoir installé Virtru, ni de créer un compte. Ils peuvent déchiffrer les e-mails Virtru depuis leur navigateur et s’authentifier au moyen de la vérification de leur adresse e-mail existante. Les destinataires ont la possibilité d’envoyer des réponses chiffrées via la fonctionnalité Secure Reader de leur navigateur sans avoir à installer le plug-in Virtru.
.png?width=303&height=270&name=togglezoom-quarterlyreport@2x%20(1).png)
Captures d'écran : Virtru pour Outlook | Virtru pour Gmail
Virtru utilise le Trusted Data Format (TDF) pour protéger les différents e-mails au moyen d’enveloppes chiffrées et leur associer des fonctions et des contrôles que l’expéditeur peut maîtriser totalement. Le TDF lie les données chiffrées aux politiques à l’aide de signatures publiques, ce qui garantit leur non-altération. Seul le propriétaire des données (ou l’administrateur Virtru de l’organisation) peut adapter les politiques de contrôle en préservant l’intégrité des données elles-mêmes et leur destination finale. Les destinataires prévus sont les seuls à avoir la possibilité de déchiffrer les données, car leur identité est liée à l’e-mail lui-même avant qu’il ne soit envoyé. Une fois le message reçu, les contrôles d’accès basés sur les attributs (ABAC) déterminent les actions que les destinataires peuvent réaliser.
Les politiques ABAC permettent notamment de révoquer à tout moment l’accès à un e-mail, de définir des dates d’expiration, d’autoriser ou d’empêcher le transfert, d’interdire le téléchargement de fichiers et même d’ajouter des fichiers de filigrane aux e-mails. L’utilisateur final a la possibilité de réaliser toutes ces actions avec un minimum d’effort.
Virtru vous permet d’héberger facilement vos propres clés de déchiffrement, ce qui vous donne la possibilité de bénéficier des outils standard du secteur sans avoir à craindre que vos clés soient exposées. La solution Virtru Private Keystore vous permet de choisir le lieu où stocker vos clés privées : dans un cloud public ou privé, dans un centre de données privé ou co-hébergé ou encore dans un module de sécurité matérielle (HSM).
En d’autres termes, Virtru chiffre vos e-mails au moyen du format TDF. La solution vous permet ensuite de les envelopper de nouveau au moyen d’une clé privée qui reste dans votre environnement et à laquelle nos services ou votre fournisseur de services de cloud ne pourront jamais accéder. Virtru gère les complexités des politiques, du stockage et des échanges de clés en votre nom. Par ailleurs, le chiffrement à double clé vous garantit que nous n’aurons jamais accès à vos données sensibles. La fonctionnalité Virtru Private Keystore offre une couche de protection supplémentaire, que vous tentiez d’utiliser les protocoles PGP, S/MIME ou l’une des solutions de chiffrement des e-mails de Virtru.
La solution de chiffrement des e-mails Virtru permet aux administrateurs d’élaborer de puissantes politiques DLP qui répondent aux exigences d’une organisation en matière de sécurité des données et de conformité. Virtru peut mettre en œuvre une protection automatique au moyen d’une logique personnalisée en analysant les différents champs des e-mails, tels que la ligne d’objet, le corps du message et les pièces jointes. Tous ceux qui transmettent régulièrement des informations confidentielles peuvent appliquer des politiques DLP personnalisées pour réduire davantage la probabilité d’une perte ou d’une violation de données.
En savoir plus sur le chiffrement des e-mails Virtru pour Outlook et Gmail
Le chiffrement des e-mails peut sembler difficile à utiliser, et à en juger par le paysage actuel des fournisseurs de chiffrement des e-mails, c’est bien souvent le cas. En raison du casse-tête permanent que représentent une mauvaise expérience utilisateur et une faible adoption, ainsi que les différents problèmes techniques rencontrés tels que la gestion des clés, l’infrastructure et un manque de cohérence en matière de compatibilité, la mise en œuvre du chiffrement des e-mails s’avère complexe, à juste titre d’ailleurs.
Mais de la difficulté naît l’innovation. Les cybermenaces ne sont pas prêtes de disparaître, loin de là. Face à l’augmentation de la demande en faveur d’un chiffrement simple, propre et rationalisé des e-mails, les innovations en matière de protocole de chiffrement, d’expérience utilisateur et d’accessibilité ne cessent de se multiplier.
C’est notamment le cas dans des entreprises comme Virtru, dont l’équipe place chaque jour la barre un peu plus haut de façon à simplifier plus que jamais le chiffrement des e-mails. Pour en savoir plus sur Virtru pour Microsoft 365 et Google Workspace, ou découvrir nos autres solutions de sécurité comme le transfert de fichier sécurisé, la passerelle de protection des données automatisée, le chiffrement des applications ou encore la gestion des clés, réservez une démonstration auprès de nos services dès aujourd’hui.
Shelby is content writer with specialty in SEO, social media, and digital campaign creation. She has produced and strategized content for major players in healthcare, home services, broadcast media, and now data security.
View more posts by Shelby Imes
