Enfin une vision claire : totemo explique les différentes normes de chiffrement des emails et propose des solutions. Les entreprises doivent réagir à la variété des normes de chiffrement.
Les e-mails font partie intégrante du travail quotidien : les entreprises atteignent presque tous les clients, tant les utilisateurs finaux que les entreprises, ainsi que leurs partenaires commerciaux de cette manière. Le cryptage fort des e-mails est donc l'une des bases les plus importantes pour protéger les données critiques ou personnelles contre tout accès non autorisé pendant la transmission et le stockage. Les responsables de la sécurité informatique doivent donc se familiariser avec les standards TLS, PGP/OpenPGP, MIP et S/MIME. Cela devient vite clair : le chiffrement des e-mails nécessite un « traducteur spécialisé » et les responsables informatiques ont besoin d'un bon recul.
TLS : la protection des transports
TLS (Transport Layer Security) est un protocole cryptographique qui crypte le canal de transport entre l'expéditeur et le destinataire. L'avantage d'un tel "cryptage de transport" est que pendant la transmission, même les métadonnées telles que l'expéditeur et le destinataire, l'objet et l'heure d'envoi ne peuvent pas être vues de l'extérieur.
Pour ce faire, les systèmes de messagerie de l'expéditeur et du destinataire doivent communiquer directement entre eux. Cependant, ce n'est généralement pas le cas, de sorte que le chiffrement ne fonctionne que jusqu'au nœud suivant. C'est pourquoi les experts recommandent de combiner le protocole TLS avec un chiffrement de contenu tel que S/MIME ou PGP. Cela compense les faiblesses de TLS.
PGP : Assez bon, mais complexe
PGP signifie "Pretty Good Privacy" et, contrairement à TLS, crypte le contenu d'un e-mail, qui ne peut alors être lu que par le destinataire autorisé, quel que soit le canal de transmission. Cette norme s'appuie sur une « toile de confiance » lors de la validation d'une clé. Les clés publiques sont certifiées de manière décentralisée par de nombreuses personnes. Cela offre une sécurité dans l'hypothèse qu'un attaquant potentiel aurait du mal à tromper de la même manière tous ceux qui ont précédemment signé la clé. En revanche, on ne sait toujours pas qui a réellement contribué à la certification.
Bien que PGP soit l'une des normes les plus importantes, ce sont principalement les entreprises à la pointe de la technologie et les utilisateurs privés de la communauté informatique qui se rabattent sur PGP en raison de son manque de convivialité. L'une des raisons est que la norme n'est pas intégrée à tous les clients de messagerie courants - il n'y a donc pas d'expérience utilisateur cohérente.
Microsoft 365 offre une alternative avec MIP
Avec Microsoft Information Protection (MIP) dans Microsoft 365 (M365), il existe en principe une option très conviviale pour chiffrer les e-mails avec une solution répandue. Cependant, cela s'applique principalement aux clients professionnels - rarement aux utilisateurs privés.
Les utilisateurs doivent également tendre l'oreille : le fournisseur de cloud détient la clé de chiffrement. Les autorités américaines peuvent invoquer le CLOUD Act de 2018 pour obliger les entreprises américaines à divulguer des données personnelles même si elles se trouvent sur des serveurs à l'étranger. Quiconque accepte cela remet une caisse à Microsoft, pour ainsi dire, avec la clé collée en dessous.
S/MIME : Un polyvalent ?
Le chiffrement de contenu S/MIME bénéficie d'un niveau de notoriété similaire à celui de PGP et a l'avantage d'être déjà intégré dans les clients de messagerie courants. Comme aucun plug-in ou téléchargement supplémentaire n'est requis, S/MIME offre un haut niveau de convivialité - également pour M365. Par conséquent, de nombreuses entreprises utilisent cette norme au lieu de PGP.
Contrairement à PGP, la norme de validation des clés publiques prévoit un petit nombre d'autorités de certification fiables. Bien que le processus ne soit pas infaillible, il offre aux utilisateurs plus de sécurité que le Web of Trust de PGP, où pratiquement n'importe qui peut assumer les fonctions d'autorité de certification, pratiquement sans supervision.
Malheureusement, cette norme n'est pas non plus une véritable solution complète, car - comme presque tous les processus - elle nécessite à la fois l'expéditeur et le destinataire de l'utiliser. De plus, les utilisateurs doivent gérer leurs clés et celles des partenaires de communication, ce qui n'est pas une mince affaire.
Recherché : Traducteur spécialisé flexible
Il existe donc de nombreuses bonnes normes de chiffrement, mais elles sont comme les langues : l'expéditeur et le destinataire doivent parler la même langue pour « comprendre » les messages chiffrés. Une alternative sont les méthodes push et pull, dans lesquelles le destinataire n'a pas à utiliser son propre cryptage. Ceux-ci sont très sécurisés et permettent à l'utilisateur d'ouvrir l'e-mail crypté soit en pièce jointe à un e-mail dans sa propre boîte aux lettres, soit sur un portail Web externe - selon la méthode choisie - sans son propre cryptage.
Sur le plan technique, une passerelle de messagerie qui "parle" les normes les plus courantes peut aider. Cela prend en charge le cryptage en arrière-plan en vérifiant quelle norme le destinataire maîtrise avant d'envoyer un e-mail et en cryptant automatiquement le message de l'expéditeur en conséquence. Cela rend le cryptage des e-mails plus convivial et peut être garanti aussi largement que possible.
Plus sur totemo.com
À propos de totemo
Le fabricant suisse de logiciels totemo ag propose des solutions pour l'échange sécurisé d'informations commerciales. totemo protège la communication par e-mail et le transfert de données par cryptage et attache une importance particulière à une convivialité optimale - y compris sur les appareils mobiles, bien sûr.
La plate-forme de sécurité totemo brevetée et validée FIPS 140-2 permet une intégration rapide et facile dans toute infrastructure informatique existante.