Faut-il chiffrer ses emails ? A quoi ça sert ?

Quand il s’agit de sécurité informatique, les entreprises s’attachent surtout à sécuriser leur système de connexion à Internet et à mettre à jour leurs différents logiciels. Un retard dans ce domaine peut en effet s’avérer très coûteux : à titre d’exemple, il faut savoir que la majorité des organisations et des particuliers qui ont été victimes de l’attaque Wannacry en mai 2017 n’avaient pas mis à jour leurs systèmes Windows depuis au moins trois mois.

Pourtant, malgré les efforts accomplis à ce niveau, il existe une porte d’entrée que toutes les entreprises, laissent grande ouverte aux escrocs en tout genre : l’e-mail.

Car en matière de cybersécurité, le maillon faible n’est pas le matériel mais bien le facteur humain !

En effet, selon une étude publiée en août 2017 par Kaspersky (source) :

  • Près de la moitié des incidents de sécurité (46%) sont causés par des personnes internes à l’entreprise
  • Dans 40% des entreprises, les collaborateurs dissimulent les incidents de sécurité

Pourquoi sécuriser les e-mails ?

Les cyberattaques ne sont pas une fatalité ! Le plus souvent elles peuvent être évitées en adoptant des réflexes simples, rapides et très faciles à mettre en place.

La première action à mener est de sensibiliser les utilisateurs aux enjeux et aux risques. Il faut savoir par exemple que le nombre d’emails contenant un ransomware a augmenté de 6000% entre 2016 et 2017 ! (Source : étude IBM Security). Le denier rapport de Vade Secure est à l’unisson : 200 millions de mails de phishing supplémentaires ont été détectés en janvier 2018 par rapport au mois de décembre 2017 (25 millions). Ce chiffre grimpe à 550 millions de volume en plus pour le seul premier trimestre 2018.

Il faut donc vérifier l’expéditeur d’un e-mail, l’objet du message et ne pas cliquer de façon irréfléchie sur un lien ou une pièce jointe. C’est un premier pas fondamental pour protéger l’entreprise des pirates du web !

En parallèle, le choix de la solution de messagerie est aussi important. En effet, les messageries peu sécurisées peuvent être piratées. Par exemple, en août 2017, 80 millions de comptes (Yahoo, Hotmail, Outlook et probablement Google) ont ainsi été hackés permettant la diffusion dans la nature d’autant de mots de passe (source).

Comment se protéger efficacement ?

La solution idéale, va chiffrer les e-mails et les acheminer via un VPN.

Le chiffrement des e-mails : une véritable garantie de sécurité

Généralement, les e-mails ne sont pas protégés puisque, par défaut, ils sont transmis en texte clair sur les réseaux locaux et Internet.

Au niveau de la sécurité, cette situation pose de nombreux problèmes puisque, entre le moment où l’e-mail est envoyé par l’émetteur et reçu par le destinataire, il peut être intercepté et lu par un tiers. De même, tous les e-mails stockés et archivés sur un serveur peuvent potentiellement être lus par les pirates.

Comment dans ce cas transmettre des données sensibles sans prendre de risques ? Il faut bien comprendre que les défaillances de sécurité sont très dangereuses à l’extérieur de l’entreprise mais également au sein de l’organisation. Un logiciel malveillant contenu dans un e-mail peut ensuite se diffuser dans tous le réseau interne de l’entreprise.

D’où l’intérêt du chiffrement des messages. Il existe désormais des technologies performantes pour garantir que seules les personnes autorisées pourront lire les emails.

Le VPN (Virtual private network) : un réseau privé virtuel

Pour une meilleure sécurité des données sensibles, il est préférable que les emails chiffrés transitent via un réseau privé virtuel (VPN).

En effet, quand vous envoyez un email via un « réseau commun » (c’est-à-dire Internet au sens large), vous émettez à votre insu des informations qui peuvent être récupérées par votre fournisseur d’accès internet mais aussi par des pirates.

Le VPN ne laisse quant à lui aucune trace de navigation, la confidentialité est totale, tout en permettant à deux réseaux de communiquer librement.

Pour réaliser cela, le VPN chiffre vos données de navigation.

L’utilisateur qui est connecté à son VPN utilise donc Internet de façon sécurisée et il peut également accéder au réseau de son entreprise, par exemple pour consulter ses emails sur le serveur de messagerie ou des sites Intranet.

L’avis de Laurent Brault, dirigeant de MDK Solutions

Les emails font partie des informations les plus faciles à capter pendant leur création, leur transport, leur réception ou leur stockage (chez l’émetteur, le récepteur, ou le « gestionnaire du service »).

Pour tout envoi/réception de données sensibles/confidentielles, il est indispensable d’utiliser un service d’E-mail sécurisé. Une sécurisation efficace va comporter 2 aspects :

  • Le chiffrement : il doit être effectué localement « dans les mains » de l’émetteur. Les services proposés via un site internet comportent en effet de grosses failles car le chiffrement se fait sur un serveur distant, géré par un tiers (l’éditeur du service).
  • Le transport : si l’email est transporté via Internet, il sera confronté à un grand nombre d’attaques difficilement évitables. En revanche, s’il est envoyé via une infrastructure dédiée faite en VPN, il sera en sécurité.

Le service KryptKey Mail de MDK Solutions est un service hautement sécurisé qui permet l’usage de ses emails chiffrés, en situation nomade.

Son installation et son utilisation sont particulièrement simples puisqu’il n’y a pas besoin d’installer un logiciel sur l’ordinateur utilisé ni d’accéder à un site.

KryptKey Mail apporte aussi de vraies garanties de sécurité puisque la clé de chiffrement, le mot de passe et les emails ne sont pas stockés sur les serveurs de MDK Solutions. De plus, le chiffrement est effectué « dans les mains » de l’utilisateur et les courriels sont transportés via une infrastructure dédiée (un VPN)