Cinq défis avec le cryptage des e-mails dans le cloud : Si les e-mails ne sont pas cryptés sur le serveur, toutes les informations peuvent être copiées et lues par des attaquants.
Le logiciel en tant que service (SaaS) facilite la vie des entreprises à bien des égards : les fournisseurs ne se contentent pas de garantir une puissance de calcul suffisante. Ils importent également des mises à jour et des correctifs pour des applications telles qu'Office ou des services de messagerie et comblent ainsi rapidement les failles de sécurité. Surtout après les vulnérabilités critiques de Microsoft Exchange Server début mars, cet aspect renforce l'attractivité de Microsoft 365 (M365) en tant que solution SaaS.
Cependant, les entreprises ne peuvent pas compter sur le fait qu'elles sont complètement protégées. Il peut parfois s'écouler quelques jours avant qu'un patch ne soit disponible, pendant lesquels des attaquants pourraient accéder aux emails stockés sur le serveur. S'ils ne sont pas cryptés, toutes les informations peuvent être copiées et lues. Mais ce n'est pas tout. Les entreprises doivent tenir compte des cinq défis suivants des infrastructures de messagerie basées sur le cloud.
1. La protection des données doit être assurée
Le règlement général de l'UE sur la protection des données (RGPD) stipule la protection des données personnelles - également dans les e-mails. Les entreprises doivent toujours les envoyer cryptées. De cette façon, ils garantissent la conformité et protègent les données personnelles ou les secrets commerciaux.
Il serait trop unilatéral de considérer le local comme intrinsèquement sécurisé et le cloud comme fondamentalement non sécurisé. Le chiffrement est donc essentiel aussi bien pour les e-mails qui se trouvent dans le cloud que pour les infrastructures sur site. Si le cloud est le seul stockage de tous les e-mails, des mesures supplémentaires de protection des données deviennent d'autant plus importantes. Les contrôles de sécurité existants pour la zone d'accès physiquement délimitée de l'entreprise ne s'appliquent alors plus.
2. Les entreprises ont besoin de souveraineté sur leurs données
M365 a intégré sa propre technologie de cryptage. Avec cela, les entreprises protègent les e-mails et les documents dans un premier temps, mais renoncent à la souveraineté sur leurs données à moyen et long terme. C'est comme confier à quelqu'un une caisse verrouillée et attacher la clé au fond avec du ruban adhésif.
Microsoft n'utilisera probablement pas cette clé pour lui-même. Mais le "Cloud Act" de 2018 permet aux autorités américaines d'accéder aux données stockées sur des serveurs d'entreprises américaines - également à l'étranger et rétrospectivement. Il est donc plus sûr que le contrôle des clés reste au sein de l'entreprise.
3. Le cryptage doit être convivial
Le cryptage n'est pas un sujet facile. Prendre cela en main, par exemple avec des certificats S/MIME, nécessite des employés techniquement très expérimentés et n'est souvent pas une bonne approche.
Pour garantir que le chiffrement n'échoue pas en raison de la résistance des employés, il doit être convivial. Idéalement, le cryptage s'exécute automatiquement et en arrière-plan. Les utilisateurs n'ont alors pas à se soucier de la gestion des clés et des certificats ou de l'enregistrement des utilisateurs - ils peuvent se concentrer sur leurs tâches réelles.
Marcel Mock, CTO et co-fondateur de totemo (Image : totemo)
4. Les e-mails doivent être lisibles pour le destinataire
Lorsque les entreprises chiffrent les e-mails, les partenaires de communication doivent être impliqués. Il existe différentes normes de cryptage telles que S/MIME et (Open)PGP qui ne sont pas compatibles entre elles. En outre, de nombreuses PME et la plupart des utilisateurs à domicile ne disposent pas de la technologie ou du savoir-faire pour décrypter les messages.
Les entreprises doivent s'adapter à la variété des normes de chiffrement et être capables de s'adapter avec souplesse aux normes de leurs partenaires. Cela signifie également offrir une alternative s'ils n'utilisent pas le cryptage, afin que les e-mails cryptés ne restent pas lus.
5. Qu'advient-il des anciens e-mails non chiffrés ?
Lorsque les organisations migrent leur infrastructure de messagerie vers M365, le chiffrement ne s'applique qu'aux nouveaux messages. Qu'advient-il des e-mails non chiffrés qui passent du serveur sur site au cloud ? Ils ne doivent pas être laissés en texte brut, car cela permet aux attaquants de les lire.
Comment les entreprises relèvent les défis
D'une part, les entreprises devraient assurer plus de sécurité et de protection des données en cryptant leurs e-mails. D'autre part, ils souhaitent conserver la souveraineté sur leurs données, protéger les actifs hérités et offrir une solution conviviale pour les partenaires de communication et les employés.
Des solutions indépendantes de cryptage des e-mails sont nécessaires pour cela. Ceux-ci automatisent la gestion des clés et des certificats et chiffrent les boîtes aux lettres existantes avant la migration. Lors du choix, les entreprises orientées services peuvent s'assurer que la solution prend en charge autant de normes de cryptage que possible et offre une méthode alternative pour les destinataires d'e-mails qui ne disposent pas du matériel adéquat. C'est ce qui fait de Microsoft 365 un stockage sécurisé des e-mails dans le cloud.
Plus sur totemo.com
À propos de totemo
Le fabricant suisse de logiciels totemo ag propose des solutions pour l'échange sécurisé d'informations commerciales. totemo protège la communication par e-mail et le transfert de données par cryptage et attache une importance particulière à une convivialité optimale - y compris sur les appareils mobiles, bien sûr.
La plate-forme de sécurité totemo brevetée et validée FIPS 140-2 permet une intégration rapide et facile dans toute infrastructure informatique existante.