La sécurisation de l`e-mail et des données confidentielles - F
Transcription
La sécurisation de l`e-mail et des données confidentielles - F
Livre Blanc La sécurisation de l'e-mail et des données confidentielles F-Secure SARL 38-44 rue Jean Mermoz 78600 Maisons Laffitte Tél. +33 8 20 00 07 59 Livre Blanc – La sécurisation de l'e-mail et des données confidentielles -2Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles Sommaire Sommaire....................................................................................................................................................... - 3 Introduction ................................................................................................................................................... - 4 Péril de l’e-mail ou e-mail périlleux ? ............................................................................................................ - 5 De la confidentialité des données ................................................................................................................. - 6 Des stratégies volontaristes autour des données et de la messagerie ......................................................... - 7 La prévention de perte de données (DLP) ..................................................................................................... - 8 Le chiffrement de la messagerie ................................................................................................................... - 8 F-Secure – Protection Service for e-Mail with Encryption .......................................................................... - 10 Réception d’un email chiffré ................................................................................................................... - 10 Vous avez oublié votre mot de passe? .................................................................................................... - 11 Accès bloqué ? ......................................................................................................................................... - 11 Réponse ou transfert ............................................................................................................................... - 11 Ajouter des destinataires ........................................................................................................................ - 11 S’envoyer une copie ................................................................................................................................ - 12 Ajout d’une pièce jointe à un email crypté ............................................................................................. - 12 Lecture d’un message sécurisé sur un Smartphone ................................................................................ - 12 Dépannage............................................................................................................................................... - 12 Autres questions ...................................................................................................................................... - 14 Sources ........................................................................................................................................................ - 14 Contact ........................................................................................................................................................ - 15 - -3Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles Introduction A l’heure où la plupart des entreprises ne peuvent plus fonctionner de manière optimale sans l’outil informatique, la sécurité a besoin d’être garantie à chaque instant. Et plus que l’efficacité, c’est surtout la pérennité d’une société qui peut être mise à mal en cas de faille. Les données confidentielles, ciblées par des pirates et des concurrents, sont toujours au cœur du débat. Dans l’écrasante majorité des cas, leur perte entraine dans son sillage celle de l’entreprise. Selon le site Informatiqueconcept, 80% des entreprises ayant perdu leurs données informatiques font faillite dans les 12 mois. Les sources de perte de productivité et de données sont multiples dans le monde de l’entreprise. Nous nous attacherons dans ce livre blanc uniquement à l’infrastructure de messagerie avec un focus particulier sur le chiffrement. En effet, la messagerie représente une voie de communication importante voyant transiter des données clients, des informations sur des innovations futures, des chiffres confidentiels ou encore des contrats. Toutes ces informations pouvant être interceptées par des individus malintentionnés. Avec à la clé des conflits avec les clients, des condamnations financières et une dégradation de l’image de l’entreprise. C’est pour éviter ces désagréments que : - les législations nationales, continentales et intra-sectorielles, ont évolué - des solutions logicielles et/ou matérielles ont été conçues Pour l’entreprise, l’infrastructure de messagerie doit comprendre : - Une solution anti-spam pour réduire la consommation de la bande passante et augmenter la productivité des utilisateurs - Une solution de prévention contre la perte d’informations (DLP) - Une solution de chiffrement pour échanger en toute sécurité les données confidentielles. -4Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles Péril de l’e-mail ou e-mail périlleux ? Alors que des personnalités du monde de l’entreprise et du web ont récemment annoncé « la mort de l’e-mail», l’utilisation de la messagerie électronique est aujourd’hui un incontournable de la communication, tant personnelle que professionnelle. Il est difficile d’imaginer le monde de l’entreprise sans l’e-mail. Des études récentes ont souligné que le mail est désormais le premier outil de communication en entreprise, dépassant le téléphone. Selon les fonctions, la gestion de la boite aux lettres peut consommer jusqu’à 20 heures hebdomadaire. Moyen de communication, le mail est aussi devenu un moyen d’attaque, avec l’augmentation de la cybercriminalité et ses activités de spam, accompagnées parfois de logiciels espions ou de liens de phishing. Qu’est-ce que le spam ? A l’origine, le SPAM est une marque américaine de viande précuite en boîte, dont le nom se voulait être la contraction de « Spiced Ham ». Ces conserves ont été démocratisées par l'intendance des forces armées américaines pour la nourriture des soldats pendant la Seconde Guerre mondiale et sera introduite dans diverses régions du monde à cette occasion. L'association de « spam » et de « indésirable » provient d'un sketch comique des Monty Python, intitulé Spam, dans lequel le mot « spam », désignant le fameux jambon en boîte, envahit la conversation et le menu d'un petit restaurant (il entre dans la composition de chaque plat et est répété à tout bout de champ). Un groupe de Vikings présent dans le restaurant, interrompt régulièrement la conversation en chantant bruyamment « Spam, Spam, Spam, Spam, lovely Spam, wonderful Spam ». Le sketch parodie une publicité radiophonique pour SPAM, pendant laquelle la marque était répétée de nombreuses fois (« SPAM SPAM SPAM SPAM/ Hormel's new miracle meat in a can ») Vous pouvez visualiser le sketch sur : http://www.youtube.com/watch?v=ODshB09FQ8w -5Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles Aujourd’hui, on regroupe sous « spam » les communications électroniques non sollicitées, envoyées en masse à des fins publicitaires ou malveillantes. Ces messages représentent l’écrasante majorité des e-mails envoyés. En effet, sur les 300 milliards d’e-mails qui sont envoyés chaque jour (par près de 1,5 milliards d’utilisateurs), entre 80 et 90% sont des spams. Utilisé comme un moyen publicitaire, la plupart du temps pour vendre des produits pharmaceutiques (53,6% des messages en 2011), le spam est également utilisé à des fins frauduleuses (multiplication par 20 des envois cybercriminels en 2011). Le spam pollue les boites mail des particuliers, comme des entreprises. En effet, le spam coûte beaucoup plus cher qu’il n’y parait aux entreprises : en effet, en plus des coûts directs liés à la réception et au stockage des courriers, le spam engendre des coûts indirects, comme les besoins d’assistance. Selon l'IDC, « Les structures qui ont 5000 utilisateurs d'e-mail mais pas de stratégie anti-spam perdent en moyenne chaque jour 10 minutes par utilisateur final et, pour chaque membre de l'équipe informatique, 43 minutes ». En termes financiers, l’université d’Amsterdam a évalué que « le spam coûte en moyenne 300 euros par employé et par an » (soit 1 500 000 € par an pour cette même entreprise de 5000 utilisateurs). Le spam peut avoir des conséquences d’autant plus graves qu’il peut être utilisé comme un moyen d’attaque cybercriminelle ou concurrentielle. Attaquer la messagerie est aujourd’hui d’autant plus intéressant pour les pirates que de nombreuses données confidentielles passent par mail. De la confidentialité des données D’ailleurs, pour s’assurer que des données confidentielles ne soient pas perdues/divulguées, la législation a évolué. Des réglementations nationales (lois fédérales GLBA ou SOX aux USA, lois de protection des données confidentielles dans de nombreux pays), sectorielles (exemple des normes PCI) sont désormais complétées par des réglementations internationales. L’Union européenne a adopté des réglementations pour encadrer non seulement la collecte mais aussi la sécurisation des données. La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de -6Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles l'Union Européenne. Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d'un organisme national indépendant chargé de la protection de ces données. Il en va non seulement de la protection des individus... mais aussi des emplois. Et ce n’est pas qu’un phénomène anglo-américain. Interviewé par le Journal du Net début 2010, le Commandant Rémy Février (officier de la gendarmerie chargé de mission d'intelligence économique, et commissaire général délégué du Forum International sur la cybercriminalité), expliquait que « des vols de données ont déjà conduit des entreprises françaises à la faillite ». Rémy Février met en avant le piratage de dossiers de R&D : « Le concurrent qui aura récupéré les données pourra lancer un produit à un prix bien inférieur, sans avoir à répercuter des coûts de développement ». Avec les litiges clients/fournisseurs qu’elle peut engendrer, la perte de données est souvent fatale aux entreprises qui en sont victimes : pas moins de 80% des entreprises ayant perdu leurs données informatiques font faillite dans les 12 mois. Des stratégies volontaristes autour des données et de la messagerie Face aux coûts du spam et aux risques graves inhérents à la perte de données, des entreprises ont mis en place des stratégies volontaristes. En plus de la sécurisation des données, c’est la messagerie qui est au cœur de ces stratégies, car c’est souvent par elle que rentrent ou/et sortent des données confidentielles. En effet, les solutions de protection de messagerie commencent aussi à se différencier par leur capacité à filtrer les messages sortants. Elles peuvent ainsi adopter des règles pour empêcher que des informations sensibles soit envoyées par courriel, en utilisant une solution de chiffrement couplée à une solution de prévention de fuite de données ou « DLP » (Data Loss Prevention). -7Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles La prévention de perte de données (DLP) La prévention de perte de données (DLP) est assurée par un ensemble de modules qui analysent en permanence le trafic sur les différents réseaux d’une entreprise, pour suivre le transit de données identifiées comme étant confidentielles. Si des données confidentielles circulent de façon impromptue, la solution peut bloquer ce transit ou en chiffrer le contenu, pour que seuls les destinataires autorisés puissent y accéder. L’importance stratégique des données explique l’adoption grandissante de ces technologies, dont le taux d’adoption devrait passer de 33% aujourd’hui à 80% d’ici deux ans. Le chiffrement de la messagerie L’e-mail étant souvent le premier moyen de fuite, le chiffrement de la messagerie apporte donc un second rideau de protection. Vu qu’il n’est pas concevable de bloquer tout le trafic de la messagerie, pour des questions de bon fonctionnement de l’entreprise, le chiffrement apporte ici une réponse en offrant la possibilité de sécuriser le transfert au besoin, de façon automatique ou à la demande. L’objectif est quadruple : être sûr de son interlocuteur. C'est l'authentification réciproque des correspondants (via la délivrance d'un certificat impliquant le contrôle de l'adresse de messagerie). être sûr que les données transmises n'ont pas été modifiées accidentellement ou intentionnellement. C'est l'intégrité des données (Toute modification du message invalide la signature). éviter que les données soient lues par des systèmes ou des personnes non autorisées. C'est la confidentialité (utilisation d’une clé privée pour décoder un message). éviter la contestation par l'émetteur de l'envoi des données. C'est la signature, appelée aussi non répudiation (Seul le possesseur de la clé privée peut fabriquer une signature valide). -8Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles Ces deux techniques permettent aux entreprises de travailler en toute sérénité, et de faire face à une législation qui devient de plus en plus stricte. Le futur du chiffrement est prometteur : Selon le cabinet d'études IDC, le marché global du chiffrement (données, messagerie...) devrait atteindre 1,7 milliard de dollars en 2013. Il est possible de chiffrer des données que l’on souhaite sécuriser de différentes manières. F-Secure vous propose : - La mise en place d’une appliance physique ou virtuelle - La mise en place d’un service (SaaS). Afin de répondre aux besoins de sécurisation des données des entreprises et ainsi compléter son offre, F-Secure s’est attaché les services d’un partenaire technologique leader. Cette solution complète pour l’infrastructure de messagerie vous offre donc : - Anti-malware - Anti-spam - DLP - Chiffrement. -9Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles F-Secure – Protection Service for e-Mail with Encryption Avez-vous déjà reçu et/ou eu besoin d’envoyer un mail crypté ? Certaines sociétés exigent désormais que certains mails leurs soient envoyé en crypté. F-Secure a préparé pour vous quelques vidéos pour vous accompagner dans vos premiers pas d’utilisateurs, que vous soyez émetteur ou récepteur. Ces vidéos sont en anglais, mais sont très faciles à comprendre. Nous vous invitons à découvrir les tutoriaux suivants. Comment envoyer un email à une société utilisant un logiciel à une société qui utilise un système de chiffrement ? Comment envoyer un email crypté ? Comment lire et répondre à un message crypté ? Comment changer votre mot de passe d’accès au service de chiffrement ? Qu’est ce que le gestionnaire de quarantaine et comment fonctionne-t-il ? Ces vidéos sont disponibles sur la chaine Youtube du Service Client F-Secure : http://www.youtube.com/fsecurecustomercare . Elles vous seront utiles dans vos premiers pas avec un logiciel de chiffrement des emails. Dans le même ordre d’idée, nous vous proposons ci-après le fonctionnement pas à pas du principe de chiffrement de notre solution en se plaçant comme un utilisateur. Réception d’un email chiffré Vous avez reçu un message crypté sécurisé d’un expéditeur. Cliquez sur la pièce jointe dans le message pour lancer le navigateur qui l’authentifiera, le décryptera et vous permettra de le lire. Remarque : si vous voyez des icônes X rouges dans le navigateur, c’est que votre messagerie bloque les images, généralement le logo ou des images de l’expéditeur. Vous pouvez afficher les images ou les ignorer tout en lisant le message. Si vous n’avez pas souscrit au chiffrement Proofpoint, vous serez invité à créer un compte et à choisir un mot de passe. Cliquez sur « Continue » lorsque vous avez terminé. Vous n’aurez pas besoin de reproduire cette opération à l’avenir. - 10 Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles Si vous êtes déjà inscrit, ou si votre compté est déjà créé, vous serez invité à vous connecter et à donner votre mot de passe pour déchiffrer le message. Cliquez sur « Continue ». Si vous vous connectez et que l’on vous demande si vous souhaitez modifier votre nom d’utilisateur cela signifie que le chiffrement Proofpoint vous a reconnu mais votre adresse email est différente – peut-être avez-vous utilisé un alias de messagerie. Entrez une adresse différente pour vous identifier. Par exemple, le compte [email protected] existe, mais vous avez entré [email protected] - votre alias pour jsmith. Vous avez oublié votre mot de passe? Si le chiffrement Proofpoint est configuré pour vous permettre de réinitialiser votre mot de passe, cliquez sur le lien « Forgot Password ». Vous serez invité à répondre à votre question de sécurité. Créez un nouveau mot de passe pour votre compte. Accès bloqué ? Si vous essayez d’entrer plusieurs fois un mot de passe incorrect, l’accès au chiffrement Proofpoint peut être bloqué. Si cela se produit, vous devrez contacter l’administrateur de la messagerie de l’expéditeur. Réponse ou transfert Votre capacité à répondre ou à transférer un message dépend des politiques d’envoi. Si vous ne voyez pas un lien « Reply», « Reply All» ou « Forward », c’est parce que l’expéditeur du message ne permet pas aux destinataires initiaux de répondre ou de transférer le message. Quand vous répondez à un message, votre réponse sera envoyée en toute sécurité. Ajouter des destinataires La possibilité d’ajouter ou de modifier la liste des destinataires lorsque vous répondez à un message dépend des politiques d’envoi. Les champs destinataires « To » et « CC » seront soit figés - de sorte que vous ne pourrez pas les changer-, soit modifiables, ce qui vous permettra d’ajouter ou de supprimer des destinataires. Séparez plusieurs destinataires par une virgule. Lorsque vous transférez un message, vous pouvez toujours modifier la liste des destinataires. - 11 Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles Remarque : l’expéditeur a la possibilité de restreindre les messages sécurisés à des domaines spécifiques. Dans ce cas, vous verrez apparaître un message d’erreur si vous essayez de transférer un message sécurisé à un destinataire qui n’est pas autorisé à le recevoir. S’envoyer une copie Le chiffrement Proofpoint ne gardera pas automatiquement une copie d’un message sécurisé dans votre dossier «Eléments envoyés ». Cliquez sur « Send me a copy » lorsque vous transférez ou répondez à un message sécurisé de façon à ce qu’une copie soit envoyée à votre adresse. Ajout d’une pièce jointe à un email crypté Si vous souhaitez ajouter une pièce jointe à un message, cliquez sur le lien Attach a file. Naviguez vers le fichier que vous souhaitez joindre, puis cliquez sur le lien Add. Le nom du fichier joint s’affiche dans la boîte de dialogue. Cliquez sur Upload lorsque vous avez terminé de sélectionner les pièces à joindre. Pour supprimer une pièce jointe d’un message, cliquez sur le X à droite de la pièce jointe. Remarque : la totalité des pièces jointes ne peut pas dépasser 15 Mo. Lecture d’un message sécurisé sur un Smartphone Certains Smartphones ne peuvent pas télécharger des fichiers et d’autres modifient des fichiers HTML. Etant donné que votre message sécurisé vous est envoyé en pièce jointe HTML, il se peut que vous ne soyez pas en mesure de le lire sur votre smartphone. Si vous avez des difficultés à lire votre message sécurisé, suivez les instructions pour transférer le message vers un autre serveur. Vous pourrez alors télécharger ce message à partir du serveur pour le lire. Dépannage Cette section décrit les messages d’erreur que vous pouvez voir apparaître et ce qu’ils signifient. You authenticated successfully, but do not have permission to decrypt this message. Traduction : Vous vous êtes authentifié avec succès mais vous n’avez pas la permission de déchiffrer ce message. Explication : Vous n’avez pas le droit de déchiffrer ce message. Ou, l’administrateur a désactivé votre accès au déchiffrement. Contactez votre administrateur de messagerie. - 12 Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles You authenticated successfully, but the decryption key for your message has been deleted. Traduction : Vous vous êtes authentifié avec succès mais la clé de déchiffrage de votre message a été supprimée. Explication : La clé de déchiffrage de ce message a expiré ou a été supprimée. Contactez votre administrateur de messagerie. There was a critical error processing your request. There may be a problem with the system or your request. Traduction : Une erreur importante est apparue pendant le traitement de votre demande. Il peut y avoir un problème avec le système ou votre demande. Explication : Le déchiffrement Proofpoint est temporairement indisponible. Si la situation persiste, contactez votre administrateur de messagerie. The message you are trying to read is corrupted and cannot be processed. Please contact the sender of the message. Traduction : Le message que vous essayez de lire est endommagé et ne peut pas être traité. Contactez l’expéditeur de ce message. Explication : Le message est corrompu et ne peut pas être déchiffré. Contactez votre administrateur de messagerie. The page you requested was not found. If you clicked a link to get here, click the Back button in your browser to return to the previous page. Traduction : La page que vous avez demandée n’a pas été trouvée. Si vous avez suivi un lien pour y accéder, cliquez sur le bouton Retour de votre navigateur pour revenir à la page précédente. Explication : La page que vous essayez d'afficher dans le navigateur n'est pas disponible ou n'existe pas. Cliquez sur le bouton Retour de votre navigateur. The username you requested has already been registered. Traduction : Le nom d’utilisateur que vous avez demandé a déjà été enregistré. Explication : Vous vous êtes déjà authentifié sur le déchiffrement Proofpoint. There was an error retrieving the key for your message. If this error persists, please contact your administrator. Traduction : Il y a eu une erreur pendant le processus de récupération de la clé de votre message. Si cette erreur persiste, contactez votre administrateur de messagerie. Explication : Le serveur de clé est temporairement indisponible. Réessayez plus tard, et si vous ne pouvez toujours pas déchiffrer le message, contactez votre administrateur de messagerie. Your account has been disabled. Traduction : Votre compte a été désactivé. Explication : Votre administrateur de messagerie a désactivé votre compte. - 13 Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles Autres questions Erreur avec d’importants messages sécurisés HTML. Si votre message HTML a un contenu de plus de 500Ko, vous pouvez recevoir un « Large Message Warning » (avertissement d’un message de grande taille). Cette limitation s’applique aux navigateurs Firefox 3.X ou Internet Explorer lorsque vous répondez au message, ou que vous le transférez. Elle ne s’applique pas au texte brut. Problème occasionnel en répondant ou transférant des messages sécurisés Si le déchiffrement Proofpoint se bloque quand vous essayez de composer un message et cliquez sur les liens « Reply», « Reply All» ou « Forward », cliquez sur « Cancel » (Annuler) et essayez à nouveau. Si le texte original du message sécurisé ne s’affiche pas dans le navigateur, actualisez le navigateur ou fermez-le avant de le relancer. Si vous utilisez Outlook Web Access sur Windows Vista Ne pas enregistrer la pièce jointe « SecureMessageAtt.htm » sur le disque, puis essayez de l’ouvrir directement à partir du message électronique. Sources http://www.planetoscope.com/Internet-/1024-nombre-d-emails-envoyes-dans-le-monde.html http://www.anti-spam.fr/le_cout_du_spam.php fr.wikipedia.org/wiki/Spam http://royal.pingdom.com/2011/12/30/security-in-2011-by-the-numbers/ http://www.securi-toile.com/piratage/faillite-entreprise-vols-donnees http://europa.eu/legislation_summaries/information_society/data_protection/l14012_fr.htm http://www.journaldunet.com/solutions/securite/remy-fevrier-forum-international-sur-la-cybercriminalite-2010.shtml http://www.journaldunet.com/solutions/securite/comparatif-des-solutions-antispam/ http://www.figer.com/Publications/signer.htm http://www.proofpoint.com/id/email-encryption-wp-french/index.php - 14 Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles Contact Pour en savoir plus sur nos solutions de sécurité pour la messagerie (y compris modules de DLP et de chiffrement), contactez nos équipes commerciales par e-mail à [email protected]. Vous serez alors redirigés vers un partenaire revendeur près de chez vous. Vous pouvez nous contacter par téléphone au 08 20 00 07 59. - 15 Protège l’irremplaçable I f-secure.fr Livre Blanc – La sécurisation de l'e-mail et des données confidentielles Protège l’irremplaçable. F-Secure SARL 38-44 rue Jean Mermoz 78600 Maisons Laffitte Tél. +33 8 20 00 07 59 - 16 Protège l’irremplaçable I f-secure.fr