La mise en œuvre du cryptage des e-mails peut être source de confusion. Nous avons les réponses.
Par Andreas Brix, GlobalSign et Felix Schuster, Net at Work
Chaque jour, nous entendons parler d'une nouvelle attaque de ransomware. Les attaques de ransomware se produisent désormais environ 2 000 fois par jour, soit presque toutes les 11 secondes dans le monde.
En Allemagne, où Net at Work est basé, le secteur de l'énergie éolienne a été le plus touché par certaines des pires attaques, surtout l'année dernière. Les attaques de ransomware sur les organisations allemandes étaient déjà problématiques et la majorité des attaques est attribuée à des groupes de pirates ayant de fortes connexions avec le gouvernement. L'année dernière, le classement des pays les plus touchés par les ransomwares indiquait que la France était le 4e pays le plus touché.
La méthode la plus courante pour lancer une attaque par ransomware est le phishing. Lorsqu'une personne clique sur un lien malveillant dans un e-mail, cela conduit à l'intrusion dans le réseau d'une entreprise. C'est pourquoi les entreprises doivent trouver un meilleur moyen de sécuriser leur courrier électronique afin d'éviter une attaque par phishing, qui conduit généralement à des violations de données coûtant aux entreprises des dizaines de millions de dollars de dommages.
Dans ce contexte, les entreprises se tournent de plus en plus vers les solutions de cryptage automatique des e-mails pour renforcer leur position en matière de cybersécurité. Mais avec les nombreuses options disponibles, quelles sont les considérations les plus importantes ? Cela peut prêter à confusion, surtout lorsqu'il s'agit de cryptage. GlobalSign et Net at Work sont là pour vous aider ! Voici nos sept principaux facteurs.
1. Automatiser
Dans un premier temps, recherchez une solution automatisée. L'automatisation est une solution de secours pour les entreprises qui doivent gérer de nombreux aspects de l'informatique. Non seulement elle permet de gagner du temps et de l'argent, mais l'automatisation élimine également les erreurs humaines tout en augmentant l'agilité. L'automatisation inspire également confiance dans la solution que votre entreprise utilise, ce qui fait qu'il n'y a plus à s'en soucier. Il n'y a pas d'employé qui s'occupe de cet élément spécifique - la solution automatisée le fait pour vous. C'est pourquoi l'utilisation d'une solution pour automatiser la sécurité de votre courrier électronique est judicieuse. Ne laissez pas aux clients, aux appareils clients, aux téléphones mobiles et aux ordinateurs de bureau le soin d'y placer des certificats. Recherchez plutôt des solutions centralisées que vous pouvez gérer automatiquement, comme Net at Work et GlobalSign.
2. Recherchez des solutions fiables
La deuxième étape consiste à s'assurer de trouver une solution de confiance. Un nouvel acteur peut être attrayant, mais les solutions proposées par des fournisseurs de longue date, avec un produit fiable et très bien établi, sont celles par lesquelles vous devriez commencer. Certaines entreprises envisagent également d'utiliser des solutions gratuites, ce qu'elles font d'ailleurs. Cependant, gratuit n'est pas toujours synonyme de bon (ou de "libre") et ne signifie pas non plus que vous obteniez un produit ou un service de qualité. Vous devez étudier de près les facteurs critiques tels que les antécédents de l'entreprise et sa réputation au sein de la communauté informatique.
3. Utilisez des standards ouverts
Troisièmement, privilégiez les solutions qui prennent en charge des normes ouvertes telles que Secure/Multipurpose Internet Mail Extensions (S/MIME), un protocole largement accepté pour l'envoi de messages signés numériquement et cryptés. Les courriers électroniques cryptés sont beaucoup plus sûrs car ils ne peuvent être décryptés que par la passerelle de messagerie ou le client de messagerie du destinataire. Si les certificats numériques garantissent que les messages sont bien protégés lorsqu'ils transitent vers un serveur, les messages au repos - ou en transit ailleurs - sont piratables. Sachant que les cybercriminels sont prêts à tout pour s'emparer des données, une forme de protection plus forte est nécessaire pour protéger le courrier électronique. Cette protection est S/MIME.
S/MIME est basé sur la cryptographie asymétrique qui utilise une paire de clés mathématiquement liées pour fonctionner - une clé publique et une clé privée. Il est impossible, d'un point de vue informatique, de déterminer la clé privée à partir de la clé publique. Les courriers électroniques sont chiffrés avec la clé publique du destinataire et ne peuvent être déchiffrés qu'avec la clé privée correspondante, qui est censée être en la seule possession du destinataire. À moins que la clé privée ne soit compromise, vous pouvez être certain que seul le destinataire prévu pourra accéder aux données sensibles contenues dans vos messages électroniques.
4. Évitez les verrouillages
La quatrième étape, étroitement liée aux normes ouvertes, consiste à éviter les pièges du "verrouillage". De nombreux fournisseurs de solutions de sécurité du courrier électronique proposent des solutions sur le marché, mais tous n'offrent pas un produit basé sur S/MIME. Bien que d'autres produits puissent avoir des mérites, les solutions mises en œuvre en utilisant leurs propres méthodes de cryptage sur une couche de transport ne peuvent pas échanger d'informations entre systèmes. Par conséquent, elles ne sont pas ouvertes à un système tiers. Les normes ouvertes sont essentielles, car si chaque entreprise décidait de créer ses propres normes de cryptage, l'interopérabilité serait fortement limitée. Les destinataires devraient évidemment aussi utiliser leurs plates-formes et exiger une méthode de décryptage. Par conséquent, les entreprises devraient s'appuyer sur de multiples portails et systèmes - les invitations par courriel pourraient finir par devenir un autre vecteur d'usurpation. Voilà d'autres raisons pour lesquelles les normes ouvertes existent.
5. Publier les clés publiques
La cinquième étape consiste à publier et à distribuer vos clés publiques, afin que les partenaires de communication n'aient pas besoin d'effectuer une demander publique pour recevoir une clé via des méta-recherches. Pour pouvoir envoyer un message crypté, vous devez envoyer un courrier électronique signé avec votre clé publique. Une fois que vous l'avez reçu, votre ordinateur ou votre passerelle stocke la clé publique. L'expéditeur peut alors envoyer un message crypté accompagné d'une clé publique. Cette action est nécessaire. Nous devons également tenir compte de l'importance du Lightweight Directory Access Protocol (LDAP). Sans LDAP, l'e-mail initial du propriétaire du certificat ne peut pas être crypté. Le fait de disposer d'une clé publique permet d'établir une communication chiffrée. La clé privée reste toujours avec le propriétaire du certificat, ce qui en fait la partie capable de décrypter le message.
6. Former les utilisateurs
La sixième étape ne concerne pas la technologie. Il s'agit plutôt de communication et, dans ce cas, de rappeler aux employés et aux partenaires commerciaux qu'il existe une solution pour crypter les e-mails. Grâce au cryptage/décryptage centralisé et automatisé, il n'est pas nécessaire d'organiser des formations longues et coûteuses. Le système est capable d'effectuer toutes les actions nécessaires. Au lieu de cela, l'accent peut être mis sur les informations standard et sur l'augmentation de la sensibilisation. Comme par exemple la recherche des rapports de cryptage/signature et de vérification dans les e-mails générés par la passerelle. Cette éducation peut faire partie du processus de gestion du changement d'une organisation ; les campagnes permanentes de sensibilisation à la sécurité.
7. Prise en charge des exigences et réglementations de votre secteur
La dernière et septième étape consiste à rechercher l'innovation et la rapidité. Il s'agit d'un élément important pour la sécurisation du courrier électronique, en particulier lorsqu'il s'agit de votre fournisseur de passerelle. Veillez à en rechercher un qui prenne en charge les dernières normes S/MIME. En effet, vous voulez avoir la possibilité d'un cryptage authentifié pour répondre aux directives de la norme S/MIME 4. En outre, il est important que votre fournisseur de passerelle respecte les réglementations sectorielles peu après leur publication ou leur entrée en vigueur. En Allemagne par exemple, il existe des exigences telles que l'Office fédéral de la sécurité de l'information (BSI) du pays pour les projets fédéraux. Plus largement, il existe de nombreuses autres exigences spécifiques au secteur, et il est nécessaire d'en être conscient. Par exemple, au-delà des projets fédéraux, il existe en Allemagne des exigences pour l'industrie automobile (TSX), le secteur de l'énergie (EDI), le GDPR et bien d'autres encore. La compréhension de toutes les exigences de votre marché sera essentielle à la réussite de vos efforts de cryptage des e-mails.
GlobalSign et Net at Work se sont associés depuis près de dix ans pour aider à promouvoir la sécurité des e-mails. Les solutions d'entreprise de GlobalSign et NoSpamProxy de Net at Work vous apportent l'assurance dont vous avez besoin pour aider votre entreprise sur le long terme. Si vous souhaitez établir l'intégrité, maintenir la confidentialité, préserver les données sensibles et atténuer le phishing et les autres attaques par e-mail, envisagez de mettre en œuvre S/MIME avec GlobalSign et Net at Work. Ensemble, nous pouvons apporter la confiance et l'assurance que votre entreprise recherche.
Cet article a été rédigé par Andreas Brix, GlobalSign, en collaboration avec Felix Schuster, Net at Work.
Felix coordonne la gestion du marketing produit pour NoSpamProxy chez Net at Work. Tout en s'occupant du processus d'internationalisation et de la stratégie du produit, il dirige les campagnes de marketing et organise les canaux de distribution.
