La sécurisation de l`e-mail et des données confidentielles - F

Transcription

Livre Blanc
La sécurisation de l'e-mail et des données confidentielles
F-Secure SARL
38-44 rue Jean Mermoz
78600 Maisons Laffitte
Tél. +33 8 20 00 07 59
Livre Blanc – La sécurisation de l'e-mail et des données confidentielles
-2Protège l’irremplaçable I f-secure.fr
Sommaire
Sommaire....................................................................................................................................................... - 3 Introduction ................................................................................................................................................... - 4 Péril de l’e-mail ou e-mail périlleux ? ............................................................................................................ - 5 De la confidentialité des données ................................................................................................................. - 6 Des stratégies volontaristes autour des données et de la messagerie ......................................................... - 7 La prévention de perte de données (DLP) ..................................................................................................... - 8 Le chiffrement de la messagerie ................................................................................................................... - 8 F-Secure – Protection Service for e-Mail with Encryption .......................................................................... - 10 Réception d’un email chiffré ................................................................................................................... - 10 Vous avez oublié votre mot de passe? .................................................................................................... - 11 Accès bloqué ? ......................................................................................................................................... - 11 Réponse ou transfert ............................................................................................................................... - 11 Ajouter des destinataires ........................................................................................................................ - 11 S’envoyer une copie ................................................................................................................................ - 12 Ajout d’une pièce jointe à un email crypté ............................................................................................. - 12 Lecture d’un message sécurisé sur un Smartphone ................................................................................ - 12 Dépannage............................................................................................................................................... - 12 Autres questions ...................................................................................................................................... - 14 Sources ........................................................................................................................................................ - 14 Contact ........................................................................................................................................................ - 15 -
Introduction
A l’heure où la plupart des entreprises ne peuvent plus fonctionner de manière optimale sans l’outil informatique,
la sécurité a besoin d’être garantie à chaque instant. Et plus que l’efficacité, c’est surtout la pérennité d’une
société qui peut être mise à mal en cas de faille.
Les données confidentielles, ciblées par des pirates et des concurrents, sont toujours au cœur du débat. Dans
l’écrasante majorité des cas, leur perte entraine dans son sillage celle de l’entreprise. Selon le site Informatiqueconcept, 80% des entreprises ayant perdu leurs données informatiques font faillite dans les 12 mois.
Les sources de perte de productivité et de données sont multiples dans le monde de l’entreprise. Nous nous
attacherons dans ce livre blanc uniquement à l’infrastructure de messagerie avec un focus particulier sur le
chiffrement.
En effet, la messagerie représente une voie de communication importante voyant transiter des données clients,
des informations sur des innovations futures, des chiffres confidentiels ou encore des contrats. Toutes ces
informations pouvant être interceptées par des individus malintentionnés. Avec à la clé des conflits avec les
clients, des condamnations financières et une dégradation de l’image de l’entreprise.
C’est pour éviter ces désagréments que :
-
les législations nationales, continentales et intra-sectorielles, ont évolué
-
des solutions logicielles et/ou matérielles ont été conçues
Pour l’entreprise, l’infrastructure de messagerie doit comprendre :
-
Une solution anti-spam pour réduire la consommation de la bande passante et augmenter la productivité
des utilisateurs
-
Une solution de prévention contre la perte d’informations (DLP)
-
Une solution de chiffrement pour échanger en toute sécurité les données confidentielles.
Péril de l’e-mail ou e-mail périlleux ?
Alors que des personnalités du monde de l’entreprise et du web ont récemment annoncé « la mort de l’e-mail»,
l’utilisation de la messagerie électronique est aujourd’hui un incontournable de la communication, tant personnelle
que professionnelle.
Il est difficile d’imaginer le monde de l’entreprise sans l’e-mail. Des études récentes ont souligné que le mail est
désormais le premier outil de communication en entreprise, dépassant le téléphone. Selon les fonctions, la gestion
de la boite aux lettres peut consommer jusqu’à 20 heures hebdomadaire.
Moyen de communication, le mail est aussi devenu un moyen d’attaque, avec l’augmentation de la
cybercriminalité et ses activités de spam, accompagnées parfois de logiciels espions ou de liens de phishing.
Qu’est-ce que le spam ?
A l’origine, le SPAM est une marque américaine de viande précuite en boîte, dont le nom se voulait être la
contraction de « Spiced Ham ». Ces conserves ont été démocratisées par l'intendance des forces armées
américaines pour la nourriture des soldats pendant la Seconde Guerre mondiale et sera introduite dans diverses
régions du monde à cette occasion.
L'association de « spam » et de « indésirable » provient d'un sketch comique des Monty Python, intitulé Spam,
dans lequel le mot « spam », désignant le fameux jambon en boîte, envahit la conversation et le menu d'un petit
restaurant (il entre dans la composition de chaque plat et est répété à tout bout de champ). Un groupe de Vikings
présent dans le restaurant, interrompt régulièrement la conversation en chantant bruyamment « Spam, Spam,
Spam, Spam, lovely Spam, wonderful Spam ».
Le sketch parodie une publicité radiophonique pour SPAM, pendant laquelle la marque était répétée de
nombreuses fois (« SPAM SPAM SPAM SPAM/ Hormel's new miracle meat in a can »)
Vous pouvez visualiser le sketch sur : http://www.youtube.com/watch?v=ODshB09FQ8w
Aujourd’hui, on regroupe sous « spam » les communications électroniques non sollicitées, envoyées en masse à
des fins publicitaires ou malveillantes. Ces messages représentent l’écrasante majorité des e-mails envoyés.
En effet, sur les 300 milliards d’e-mails qui sont envoyés chaque jour (par près de 1,5 milliards d’utilisateurs), entre
80 et 90% sont des spams. Utilisé comme un moyen publicitaire, la plupart du temps pour vendre des produits
pharmaceutiques (53,6% des messages en 2011), le spam est également utilisé à des fins frauduleuses
(multiplication par 20 des envois cybercriminels en 2011). Le spam pollue les boites mail des particuliers, comme
des entreprises.
En effet, le spam coûte beaucoup plus cher qu’il n’y parait aux entreprises : en effet, en plus des coûts directs liés
à la réception et au stockage des courriers, le spam engendre des coûts indirects, comme les besoins
d’assistance. Selon l'IDC, « Les structures qui ont 5000 utilisateurs d'e-mail mais pas de stratégie anti-spam
perdent en moyenne chaque jour 10 minutes par utilisateur final et, pour chaque membre de l'équipe informatique,
43 minutes ». En termes financiers, l’université d’Amsterdam a évalué que « le spam coûte en moyenne 300 euros
par employé et par an » (soit 1 500 000 € par an pour cette même entreprise de 5000 utilisateurs).
Le spam peut avoir des conséquences d’autant plus graves qu’il peut être utilisé comme un moyen d’attaque
cybercriminelle ou concurrentielle. Attaquer la messagerie est aujourd’hui d’autant plus intéressant pour les pirates
que de nombreuses données confidentielles passent par mail.
De la confidentialité des données
D’ailleurs, pour s’assurer que des données confidentielles ne soient pas perdues/divulguées, la législation a
évolué. Des réglementations nationales (lois fédérales GLBA ou SOX aux USA, lois de protection des données
confidentielles dans de nombreux pays), sectorielles (exemple des normes PCI) sont désormais complétées par
des réglementations internationales. L’Union européenne a adopté des réglementations pour encadrer non
seulement la collecte mais aussi la sécurisation des données.
La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données
à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé
de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de
l'Union Européenne. Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à
caractère personnel, et demande la création, dans chaque État membre, d'un organisme national indépendant
chargé de la protection de ces données.
Il en va non seulement de la protection des individus... mais aussi des emplois. Et ce n’est pas qu’un phénomène
anglo-américain. Interviewé par le Journal du Net début 2010, le Commandant Rémy Février (officier de la
gendarmerie chargé de mission d'intelligence économique, et commissaire général délégué du Forum
International sur la cybercriminalité), expliquait que « des vols de données ont déjà conduit des entreprises
françaises à la faillite ». Rémy Février met en avant le piratage de dossiers de R&D : « Le concurrent qui aura
récupéré les données pourra lancer un produit à un prix bien inférieur, sans avoir à répercuter des coûts de
développement ».
Avec les litiges clients/fournisseurs qu’elle peut engendrer, la perte de données est souvent fatale aux entreprises
qui en sont victimes : pas moins de 80% des entreprises ayant perdu leurs données informatiques font faillite dans
les 12 mois.
Des stratégies volontaristes autour des données et de la messagerie
Face aux coûts du spam et aux risques graves inhérents à la perte de données, des entreprises ont mis en place
des stratégies volontaristes. En plus de la sécurisation des données, c’est la messagerie qui est au cœur de ces
stratégies, car c’est souvent par elle que rentrent ou/et sortent des données confidentielles. En effet, les solutions
de protection de messagerie commencent aussi à se différencier par leur capacité à filtrer les messages sortants.
Elles peuvent ainsi adopter des règles pour empêcher que des informations sensibles soit envoyées par courriel,
en utilisant une solution de chiffrement couplée à une solution de prévention de fuite de données ou « DLP »
(Data Loss Prevention).
La prévention de perte de données (DLP)
La prévention de perte de données (DLP) est assurée par un ensemble de modules qui analysent en permanence
le trafic sur les différents réseaux d’une entreprise, pour suivre le transit de données identifiées comme étant
confidentielles. Si des données confidentielles circulent de façon impromptue, la solution peut bloquer ce transit ou
en chiffrer le contenu, pour que seuls les destinataires autorisés puissent y accéder.
L’importance stratégique des données explique l’adoption grandissante de ces technologies, dont le taux
d’adoption devrait passer de 33% aujourd’hui à 80% d’ici deux ans.
Le chiffrement de la messagerie
L’e-mail étant souvent le premier moyen de fuite, le chiffrement de la messagerie apporte donc un second rideau
de protection. Vu qu’il n’est pas concevable de bloquer tout le trafic de la messagerie, pour des questions de bon
fonctionnement de l’entreprise, le chiffrement apporte ici une réponse en offrant la possibilité de sécuriser le
transfert au besoin, de façon automatique ou à la demande.
L’objectif est quadruple :

être sûr de son interlocuteur. C'est l'authentification réciproque des correspondants (via la délivrance d'un
certificat impliquant le contrôle de l'adresse de messagerie).

être sûr que les données transmises n'ont pas été modifiées accidentellement ou intentionnellement.
C'est l'intégrité des données (Toute modification du message invalide la signature).

éviter que les données soient lues par des systèmes ou des personnes non autorisées. C'est la
confidentialité (utilisation d’une clé privée pour décoder un message).

éviter la contestation par l'émetteur de l'envoi des données. C'est la signature, appelée aussi non
répudiation (Seul le possesseur de la clé privée peut fabriquer une signature valide).
Ces deux techniques permettent aux entreprises de travailler en toute sérénité, et de faire face à une législation
qui devient de plus en plus stricte.
Le futur du chiffrement est prometteur : Selon le cabinet d'études IDC, le marché global du chiffrement (données,
messagerie...) devrait atteindre 1,7 milliard de dollars en 2013.
Il est possible de chiffrer des données que l’on souhaite sécuriser de différentes manières.
F-Secure vous propose :
-
La mise en place d’une appliance physique ou virtuelle
-
La mise en place d’un service (SaaS).
Afin de répondre aux besoins de sécurisation des données des entreprises et ainsi compléter son offre, F-Secure
s’est attaché les services d’un partenaire technologique leader. Cette solution complète pour l’infrastructure de
messagerie vous offre donc :
-
Anti-malware
-
Anti-spam
-
DLP
-
Chiffrement.
F-Secure – Protection Service for e-Mail with Encryption
Avez-vous déjà reçu et/ou eu besoin d’envoyer un mail crypté ? Certaines sociétés exigent désormais que
certains mails leurs soient envoyé en crypté.
F-Secure a préparé pour vous quelques vidéos pour vous accompagner dans vos premiers pas d’utilisateurs, que
vous soyez émetteur ou récepteur. Ces vidéos sont en anglais, mais sont très faciles à comprendre. Nous vous
invitons à découvrir les tutoriaux suivants.

Comment envoyer un email à une société utilisant un logiciel à une société qui utilise un système de
chiffrement ?

Comment envoyer un email crypté ?

Comment lire et répondre à un message crypté ?

Comment changer votre mot de passe d’accès au service de chiffrement ?

Qu’est ce que le gestionnaire de quarantaine et comment fonctionne-t-il ?
Ces vidéos sont disponibles sur la chaine Youtube du Service Client F-Secure :
http://www.youtube.com/fsecurecustomercare .
Elles vous seront utiles dans vos premiers pas avec un logiciel de chiffrement des emails. Dans le même ordre
d’idée, nous vous proposons ci-après le fonctionnement pas à pas du principe de chiffrement de notre solution en
se plaçant comme un utilisateur.
Réception d’un email chiffré
Vous avez reçu un message crypté sécurisé d’un expéditeur.
Cliquez sur la pièce jointe dans le message pour lancer le navigateur qui l’authentifiera, le décryptera et vous
permettra de le lire.
Remarque : si vous voyez des icônes X rouges dans le navigateur, c’est que votre messagerie bloque les images,
généralement le logo ou des images de l’expéditeur. Vous pouvez afficher les images ou les ignorer tout en lisant
le message.

Si vous n’avez pas souscrit au chiffrement Proofpoint, vous serez invité à créer un compte et à choisir un
mot de passe. Cliquez sur « Continue » lorsque vous avez terminé. Vous n’aurez pas besoin de
reproduire cette opération à l’avenir.
- 10 Protège l’irremplaçable I f-secure.fr

Si vous êtes déjà inscrit, ou si votre compté est déjà créé, vous serez invité à vous connecter et à donner
votre mot de passe pour déchiffrer le message. Cliquez sur « Continue ».

Si vous vous connectez et que l’on vous demande si vous souhaitez modifier votre nom d’utilisateur cela
signifie que le chiffrement Proofpoint vous a reconnu mais votre adresse email est différente – peut-être
avez-vous utilisé un alias de messagerie. Entrez une adresse différente pour vous identifier. Par exemple,
le compte [email protected] existe, mais vous avez entré [email protected] - votre alias pour
jsmith.
Vous avez oublié votre mot de passe?
Si le chiffrement Proofpoint est configuré pour vous permettre de réinitialiser votre mot de passe, cliquez sur le lien
« Forgot Password ». Vous serez invité à répondre à votre question de sécurité.
Créez un nouveau mot de passe pour votre compte.
Accès bloqué ?
Si vous essayez d’entrer plusieurs fois un mot de passe incorrect, l’accès au chiffrement Proofpoint peut être
bloqué. Si cela se produit, vous devrez contacter l’administrateur de la messagerie de l’expéditeur.
Réponse ou transfert
Votre capacité à répondre ou à transférer un message dépend des politiques d’envoi. Si vous ne voyez pas un lien
« Reply», « Reply All» ou « Forward », c’est parce que l’expéditeur du message ne permet pas aux destinataires
initiaux de répondre ou de transférer le message.
Quand vous répondez à un message, votre réponse sera envoyée en toute sécurité.
Ajouter des destinataires
La possibilité d’ajouter ou de modifier la liste des destinataires lorsque vous répondez à un message dépend des
politiques d’envoi. Les champs destinataires « To » et « CC » seront soit figés - de sorte que vous ne pourrez pas
les changer-, soit modifiables, ce qui vous permettra d’ajouter ou de supprimer des destinataires.
Séparez plusieurs destinataires par une virgule.
Lorsque vous transférez un message, vous pouvez toujours modifier la liste des destinataires.
Remarque : l’expéditeur a la possibilité de restreindre les messages sécurisés à des domaines spécifiques. Dans
ce cas, vous verrez apparaître un message d’erreur si vous essayez de transférer un message sécurisé à un
destinataire qui n’est pas autorisé à le recevoir.
S’envoyer une copie
Le chiffrement Proofpoint ne gardera pas automatiquement une copie d’un message sécurisé dans votre dossier
«Eléments envoyés ».
Cliquez sur « Send me a copy » lorsque vous transférez ou répondez à un message sécurisé de façon à ce
qu’une copie soit envoyée à votre adresse.
Ajout d’une pièce jointe à un email crypté
Si vous souhaitez ajouter une pièce jointe à un message, cliquez sur le lien Attach a file. Naviguez vers le fichier
que vous souhaitez joindre, puis cliquez sur le lien Add. Le nom du fichier joint s’affiche dans la boîte de dialogue.
Cliquez sur Upload lorsque vous avez terminé de sélectionner les pièces à joindre.
Pour supprimer une pièce jointe d’un message, cliquez sur le X à droite de la pièce jointe.
Remarque : la totalité des pièces jointes ne peut pas dépasser 15 Mo.
Lecture d’un message sécurisé sur un Smartphone
Certains Smartphones ne peuvent pas télécharger des fichiers et d’autres modifient des fichiers HTML. Etant
donné que votre message sécurisé vous est envoyé en pièce jointe HTML, il se peut que vous ne soyez pas en
mesure de le lire sur votre smartphone. Si vous avez des difficultés à lire votre message sécurisé, suivez les
instructions pour transférer le message vers un autre serveur. Vous pourrez alors télécharger ce message à partir
du serveur pour le lire.
Dépannage
Cette section décrit les messages d’erreur que vous pouvez voir apparaître et ce qu’ils signifient.

You authenticated successfully, but do not have permission to decrypt this message.
Traduction : Vous vous êtes authentifié avec succès mais vous n’avez pas la permission de déchiffrer ce
message.
Explication : Vous n’avez pas le droit de déchiffrer ce message. Ou, l’administrateur a désactivé votre
accès au déchiffrement. Contactez votre administrateur de messagerie.

You authenticated successfully, but the decryption key for your message has been deleted.
Traduction : Vous vous êtes authentifié avec succès mais la clé de déchiffrage de votre message a été
supprimée.
Explication : La clé de déchiffrage de ce message a expiré ou a été supprimée. Contactez votre
administrateur de messagerie.

There was a critical error processing your request. There may be a problem with the system or
your request.
Traduction : Une erreur importante est apparue pendant le traitement de votre demande. Il peut y avoir un
problème avec le système ou votre demande.
Explication : Le déchiffrement Proofpoint est temporairement indisponible. Si la situation persiste,
contactez votre administrateur de messagerie.

The message you are trying to read is corrupted and cannot be processed. Please contact the
sender of the message.
Traduction : Le message que vous essayez de lire est endommagé et ne peut pas être traité. Contactez
l’expéditeur de ce message.
Explication : Le message est corrompu et ne peut pas être déchiffré. Contactez votre administrateur de
messagerie.

The page you requested was not found. If you clicked a link to get here, click the Back button in
your browser to return to the previous page.
Traduction : La page que vous avez demandée n’a pas été trouvée. Si vous avez suivi un lien pour y
accéder, cliquez sur le bouton Retour de votre navigateur pour revenir à la page précédente.
Explication : La page que vous essayez d'afficher dans le navigateur n'est pas disponible ou n'existe pas.
Cliquez sur le bouton Retour de votre navigateur.

The username you requested has already been registered.
Traduction : Le nom d’utilisateur que vous avez demandé a déjà été enregistré.
Explication : Vous vous êtes déjà authentifié sur le déchiffrement Proofpoint.

There was an error retrieving the key for your message. If this error persists, please contact your
administrator.
Traduction : Il y a eu une erreur pendant le processus de récupération de la clé de votre message. Si
cette erreur persiste, contactez votre administrateur de messagerie.
Explication : Le serveur de clé est temporairement indisponible. Réessayez plus tard, et si vous ne
pouvez toujours pas déchiffrer le message, contactez votre administrateur de messagerie.

Your account has been disabled.
Traduction : Votre compte a été désactivé.
Explication : Votre administrateur de messagerie a désactivé votre compte.
Autres questions
Erreur avec d’importants messages sécurisés HTML.
Si votre message HTML a un contenu de plus de 500Ko, vous pouvez recevoir un « Large Message Warning »
(avertissement d’un message de grande taille). Cette limitation s’applique aux navigateurs Firefox 3.X ou Internet
Explorer lorsque vous répondez au message, ou que vous le transférez. Elle ne s’applique pas au texte brut.
Problème occasionnel en répondant ou transférant des messages sécurisés
Si le déchiffrement Proofpoint se bloque quand vous essayez de composer un message et cliquez sur les liens «
Reply», « Reply All» ou « Forward », cliquez sur « Cancel » (Annuler) et essayez à nouveau. Si le texte original du
message sécurisé ne s’affiche pas dans le navigateur, actualisez le navigateur ou fermez-le avant de le relancer.
Si vous utilisez Outlook Web Access sur Windows Vista
Ne pas enregistrer la pièce jointe « SecureMessageAtt.htm » sur le disque, puis essayez de l’ouvrir directement à
partir du message électronique.
Sources
http://www.planetoscope.com/Internet-/1024-nombre-d-emails-envoyes-dans-le-monde.html
http://www.anti-spam.fr/le_cout_du_spam.php
fr.wikipedia.org/wiki/Spam
http://royal.pingdom.com/2011/12/30/security-in-2011-by-the-numbers/
http://www.securi-toile.com/piratage/faillite-entreprise-vols-donnees
http://europa.eu/legislation_summaries/information_society/data_protection/l14012_fr.htm
http://www.journaldunet.com/solutions/securite/remy-fevrier-forum-international-sur-la-cybercriminalite-2010.shtml
http://www.journaldunet.com/solutions/securite/comparatif-des-solutions-antispam/
http://www.figer.com/Publications/signer.htm
http://www.proofpoint.com/id/email-encryption-wp-french/index.php
Contact
Pour en savoir plus sur nos solutions de sécurité pour la messagerie (y compris modules de DLP et de
chiffrement), contactez nos équipes commerciales par e-mail à [email protected].
Vous serez alors redirigés vers un partenaire revendeur près de chez vous.
Vous pouvez nous contacter par téléphone au 08 20 00 07 59.
Protège l’irremplaçable.
F-Secure SARL
38-44 rue Jean Mermoz
78600 Maisons Laffitte
Tél. +33 8 20 00 07 59

La sécurisation de l`e-mail et des données confidentielles - F

Transcription

Documents pareils

Infos diverses

DEMANDE DE PRIX BusE à oBTuRATEuR

Le courrier électronique : Adresse et Compte

MAGASINS SPÉCIALISÉS BASSE VISION EUROPTICAL 15ème

Transformez au format PDF tout document pour l`envoyer par e

7. Les fléaux de l`Internet

messaging security gateway

FILTRE - Anti SPAMS simple et efficace dans la page Services

G2 : FICHE DE RENSEIGNEMENT SUR L`ENTREPRISE

Maroc Telecom et la lutte contre le SPAM