Solution de cryptage : à quoi faut-il faire attention ?

"Si l'on renonce au cryptage des e-mails, cela peut coûter très cher, car les mesures de sécurité pour la protection des données n'ont pas été mises en œuvre conformément à l'état actuel de la technique", explique Christian Heutger, directeur de l'association allemande de protection des données. Groupe PSWa déclaré le président de l'association. L'expert en sécurité informatique conseille toutefois de ne pas céder à la panique : "Le cryptage des e-mails est aujourd'hui réalisable et peut être mis en œuvre à peu de frais. Dans l'idéal, les entreprises ont recours à une solution qui est installée discrètement en arrière-plan, c'est-à-dire côté serveur. Ainsi, les collaborateurs n'ont pas besoin de modifier leurs processus de travail".
Les entreprises ne doivent pas non plus négliger le fait qu'en cas de violation de données, elles seront désormais tenues de la notifier dans les 72 heures à l'autorité de contrôle compétente et, en cas de risque élevé pour les données personnelles, aux personnes concernées. Toutefois, si les données compromises ont été cryptées de manière à ce que des tiers ne puissent pas y accéder, les entreprises peuvent au moins renoncer à les communiquer aux personnes concernées. "Cela permet d'économiser beaucoup de travail et de protéger la réputation d'une entreprise soucieuse de la protection des données", remarque Heutger.

Cryptage sécurisé

Mais qu'est-ce qu'une solution de cryptage non seulement praticable, mais aussi sûre ? "Pour le cryptage des e-mails, on distingue le cryptage de transport et le cryptage de contenu. Alors que dans la première variante, l'e-mail est envoyé de serveur à serveur en passant par un tunnel crypté et est stocké en texte clair sur les serveurs, dans le cas du cryptage du contenu, l'e-mail lui-même est également crypté", explique Christian Heutger. Comme les métadonnées telles que l'expéditeur, l'objet du message et le destinataire restent non cryptées et donc lisibles, les deux méthodes devraient être combinées dans la pratique : "Il est recommandé de miser sur des protocoles standard. Ainsi, S/MIME s'impose pour le cryptage du contenu ; une alternative serait OpenPGP. TLS est en revanche le protocole standard pour le cryptage de transport", conseille Christian Heutger.

Avec S/MIME et PGP, il existe sur le marché des solutions dont l'utilisation requiert impérativement des certificats et des clés. Toutefois, cela présuppose une infrastructure appropriée et au moins quelques connaissances techniques. Dans la pratique, il vaut donc la peine de réfléchir à des alternatives. "C'est pourquoi les solutions de passerelle pour le cryptage des e-mails s'imposent. Elles permettent de crypter et de signer les e-mails automatiquement et de manière centralisée sur le serveur", conseille l'expert.

Pour les PME, les solutions de passerelle ne sont pas toujours le meilleur choix

M. Heutger déconseille toutefois aux petites entreprises d'utiliser des solutions de passerelle : "Par rapport aux solutions isolées de bout en bout, le travail de configuration est assez important. Elles devraient donc réfléchir sérieusement à une solution isolée et se faire conseiller individuellement sur la solution qui leur convient. A cela s'ajoute le fait que de nombreuses passerelles de messagerie ne protègent pas l'envoi de courrier interne à l'entreprise et que, si nécessaire, la sécurité interne doit être assurée par une autre solution".

Lors du choix de la solution de cryptage appropriée, il ne faut en aucun cas négliger les interfaces avec d'autres logiciels de sécurité, par exemple un scanner de virus, pour analyser les e-mails entrants à la recherche de logiciels malveillants. Il en va de même pour l'archive des e-mails : pour pouvoir indexer les e-mails, le système d'archivage doit pouvoir accéder au contenu des e-mails en texte clair. Dans le cas contraire, il sera difficile de retrouver ultérieurement un e-mail donné. Le choix de la solution de cryptage appropriée devrait en outre se porter sur un système qui intègre également les terminaux mobiles tels que les smartphones ou les tablettes. "Pour rester flexible et être prêt pour l'avenir, il faut choisir une solution compatible avec de nombreux systèmes d'exploitation et plates-formes", conclut M. Heutger.

Plus d'informations ici