3 bonnes raisons pour ne plus chiffrer ses emails

Gruende_gegen_E-Mail-Verschluesselung_750x250

Le chiffrement est un procédé encore très répandu, ce qui n’a rien d’étonnant compte tenu du nombre croissant de cyberattaques faisant quotidiennement la une des journaux. Les législateurs ont du coup pris part au débat, exigeant un chiffrement des données importantes dans un nombre croissant de directives et de réglementations. Le RGPD a d’ailleurs été mis en place au sein de l'UE, pour répondre à ces mesures, en plus des recommandations émanant des autorités en charge de la sécurité dans les différents pays.

Les emails non chiffrés offrent un large éventail de failles car ils sont souvent acheminés via plusieurs serveurs dans différents pays, permettant aux cyberpirates d’intercepter ou de lire le message non chiffré.

C'est la raison pour laquelle les entreprises choisissent parfois de chiffrer la transmission de données pour partager des informations avec des partenaires commerciaux externes. Un certain nombre de techniques sont disponibles, y compris le chiffrement d’emails traditionnel. Cependant, cette méthode est associée à un certain nombre d'inconvénients pour le travail quotidien.

Un processus de partage de clé compliqué

Le partage de clés de chiffrement est une technique compliquée exigeant du temps et impliquant, la plupart du temps, des formats OpenPGP et S/MIME. Une paire de clés et un mot de passe sont initialement créés pour le compte de messagerie en question. En plus des clés privées, il existera également une clé publique stockée sur un serveur. Cette méthode étant basée sur une procédure de cryptage asymétrique, elle requiert des destinataires d'emails qu’eux aussi créent une paire de clés et téléchargent une clé publique.

Ainsi, les utilisateurs échangent des clés distinctes avec chacune des personnes externes auxquelles ils envoient un email. Cela nécessite un certain niveau de connaissance de la part des employés, ce qui n’est pas évident avec un personnel qui n’est pas formé aux techniques informatiques avancées et encore moins familier avec le chiffrement. Au vu des efforts demandées, la procédure n’est pas vraiment adaptée aux personnes qui n’envoient que quelques emails.

Les emails ne sont pas inviolables

Par ailleurs, les formats OpenPGP et S/MIME peuvent, eux aussi, présenter des failles. Bien que ceux-ci chiffrent la transmission de données et les pièces jointes, ils ne se préoccupent pas de ce qu'il advient des documents après l’envoi de l’email. Ces techniques n’offrent aucun niveau de sécurité - quiconque figurant sur la liste des destinataires reçoit le document original et peut le conserver pour toujours. Ils peuvent le transmettre, non chiffré, à des tiers ou encore le stocker dans un espace non sécurisé. Le message contenu dans l’email sera quant à lui visible en texte brut sur le serveur. Il est indéniable qu’en tant que telles ces méthodes ne répondent pas aux exigences de conformité requises pour la protection des informations confidentielles reposant sur un contrôle total ainsi que sur une journalisation inviolable lors de chaque accès à un document.

Risques de sécurité : EFAIL exploite une faille dans les emails

Ces risques ont pu récemment être confirmés par des articles de presse affirmant que ni s / MIME ni OpenPGP ne pouvaient garantir pleinement la sécurité des messages chiffrés lors de leur transmission. Ainsi de nouvelles failles font leur apparition, telles que, EFAIL, qui permet aux attaquants d’intercepter un courrier pendant sa transmission et de le manipuler à l’aide de la technique « Man-in-the middle ». Les pirates demandent au programme de messagerie du destinataire de leur envoyer le message en texte brut. Les attaquants, n’ont plus qu’à utiliser une partie non chiffrée de l’email, ou une partie chiffrée avec laquelle ils sont familiers, pour envoyer la commande au navigateur.

Selon le site Ars Technica, les plug-ins les plus courants associés aux programmes de messagerie, incluant Thunderbird, Mail pour macOS et Outlook entre autres, sont affectés par cette faille de sécurité. Ces derniers chiffrent automatiquement les emails, mais pas à toutes les étapes de la transmission du courrier. Cet incident montre que le cryptage sécurisé ne peut garantir à lui seul la sécurité de tout un système. Les systèmes ne sont jamais aussi puissants que leur maillon le plus faible, qui dans ce cas est le programme de messagerie.

Les alternatives au cryptage des emails offrent une protection complète

Pour les raisons décrites ci-dessus, les entreprise ne doivent pas envoyer de documents confidentiels par email si la confidentialité est cruciale pour elles. Elles peuvent désormais faire le choix de les sauvegarder sur une plateforme conçue pour le partage de documents sécurisé qui présente les mêmes fonctions qu'un coffre-fort. La plateforme dispose de mécanismes de protection complets pour les documents confidentiels, notamment les filigranes et les technologies de gestion des droits relatifs à l'information qui garantissent l'intégrité des fichiers. Cela facilite la collaboration tout en permettant aux entreprises de contrôler les fichiers. En outre, toutes les modifications de document sont consignées dans un journal d'audit inviolable.

Cette approche de "sécurité globale" permet de partager des informations en toute sécurité, tout en évoluant avec les dernières exigences réglementaires et les technologies de pointe. Une politique chère à Brainloop qui l’inclut dans tous ses services. C’est précisément pour cette raison que Crédit Suisse a récemment décidé d’implémenter les solutions Brainloop au lieu de continuer à chiffrer ses emails.

 Découvrir la success story

 

Ceci pourrait également vous intéresser :

Le stockage Cloud local pour les données critiques de l'entreprise

Avec de multiples offres Cloud, les entreprises doivent choisir une solution adaptée pour ne pas mettre en danger leurs données et rester conformes au RGPD.

Entreprises : et si le danger venait de l’intérieur ?

Alors que les entreprises tentent de se prémunir des cyberattaques, elles ne doivent pas oublier d’établir des outils en interne pour assurer la sécurité.