ert SOLUTIONS D’IDENTITÉ D’UTILISATEUR
Image
motif hexagonal violet

Les emails doivent-ils être cryptés ?

le plus grand risque pour une entreprise qui ne sécurise pas ses emails est qu’elle se rend vulnérable aux activités de piratage des emails, ce qui peut entraîner le vol de sa propriété intellectuelle et de son capital, ainsi que l’atteinte à sa marque et l’érosion de la confiance de ses clients. Il existe également certains risques de conformité auxquels les entreprises peuvent être confrontées en fonction de leur secteur ou de la juridiction dans laquelle elles exercent leurs activités.Les attaques de compromission des emails professionnels (BEC) ont explosé ces dernières années, se déplaçant à travers les géographies et les secteurs d’activité. Selon les derniers Internet Crime Reports (ICR) du FBI, les entreprises américaines ont perdu 8,6 milliards de dollars à cause des attaques BEC entre 2014 et 2021 - dont 2,4 milliards pour la seule année 2021.

Quels dangers les entreprises peuvent-elles encourir en cas d’attaques par email ?

Il existe deux types d’activités de piratage des emails :

  • Hameçonnage : Lorsque des messages génériques sont délivrés à un plus grand nombre de victimes potentielles
  • attaques de spear phishing ou de business email compromise (BEC) : attaques ciblées spécifiques et planifiées visant un individu ou un groupe ; ces attaques visent à :
    • extraire des informations sensibles
    • installer des logiciels malveillants sur le réseau
    • transférer de l’argent sur des comptes appartenant aux attaquants

Quels sont les avantages du cryptage des emails ?

La signature et le cryptage des emails aident les entreprises à prévenir le piratage d’emails qui entraîne le vol de propriété intellectuelle et de capital. Elle atténue également les dommages à la marque et à la réputation qui peuvent survenir si une entreprise perd le contrôle de ses données sensibles. En outre, l’adoption d’une technologie d’email signé numériquement et crypté permet de faire face aux retombées associées qui peuvent amener diverses entreprises à échouer à diverses réglementations de conformité telles que HIPAA et GDPR. Le respect et le maintien de la conformité aux diverses réglementations en matière de confidentialité et de sécurité réduisent le risque pour les entreprises de payer des pénalités élevées en cas de non-conformité.

Quelles sont les réglementations qui exigent le cryptage des emails ?

Selon le secteur, la géographie ou le lieu où l’entreprise opère, les organisations doivent prêter attention à différentes réglementations. Par exemple, aux États-Unis, le Health Insurance Portability and Accountability Act (HIPAA) exige que les entreprises protègent les informations sensibles relatives à la santé des patients contre toute divulgation à leur insu ou sans leur consentement. Selon le Département de la santé et des services sociaux des U.S.A, les coûts liés aux violations de l’HIPAA se sont élevés à 13 millions de dollars pour la seule année 2020.

Dans l’Union européenne, les lignes directrices du Règlement général sur la protection des données (RGPD) stipulent que les données personnelles doivent être entièrement protégées, et si ce n’est pas le cas, les entreprises peuvent être soumises à des amendes pouvant atteindre 4 % de leur chiffre d’affaires de l’année précédente ou jusqu’à 20 millions d’euros. Au Danemark par exemple, dans le prolongement du GDPR, le cryptage des emails contenant des informations personnelles sensibles est obligatoire pour les entreprises depuis 2019.

Pourquoi les emails constituent-ils une menace dans le secteur de la santé ?

Les attaques de phishing restent l’une des principales causes de violation de données dans le secteur de la santé et, selon le rapport du FBI sur la criminalité sur Internet, les entreprises ont perdu 2,4 milliards de dollars à cause des attaques BEC. Une attaque de phishing est souvent la première étape d’une attaque en plusieurs étapes qui voit le déploiement ultérieur de logiciels malveillants ou de ransomwares.

Après les attaques par hameçonnage, le HIPAA Journal - Healthcare Data Breach Report indique que les violations liées à l’email dans le secteur de la santé constituent le deuxième type d’attaque le plus courant.

En 2021, l’Office for Civil Rights (OCR) a enquêté sur 277 cas de violation d’email dans le secteur de la santé, dont 83 % étaient dus à un piratage ou à un incident informatique.

Les violations de comptes email ont été signalées à un taux de plus d’un tous les deux jours en 2020, mais les violations liées aux emails ont pris la deuxième place cette année derrière les violations de serveurs de réseau. Les serveurs réseau stockent souvent de grandes quantités de données sur les patients et constituent une cible de choix pour les pirates et les gangs de ransomware.

Comment fonctionne le cryptage des emails ?

Il existe actuellement deux approches pour sécuriser l’email :

  • PGP (Pretty Good Privacy)
  • S/MIME (basé sur RSA et les certificats x.509)

OpenPGP et S/MIME sont très similaires à certains égards : ils fournissent tous deux une authentification via des signatures numériques et une confidentialité via le cryptage des données. Bien qu’OpenPGP ait de nombreux partisans, il est beaucoup moins soutenu sur le marché. S/MIME est plus largement supporté par les éditeurs de logiciels et est intégré dans les clients email les plus courants.

Avec le cryptage à clé publique, il y a deux clés : L’une peut être rendue publique et l’autre reste privée. L’expéditeur chiffre les messages à l’aide de la clé publique du destinataire. Le destinataire déchiffre le message à l’aide de sa clé privée. Si un message est envoyé à plusieurs destinataires, l’email est crypté séparément par la clé publique de chaque destinataire.

Les signatures numériques utilisent les mêmes paires de clés publiques/privées, mais en sens inverse. L’expéditeur prend un hachage sécurisé du message et le chiffre à l’aide de sa propre clé privée. N’importe qui peut décrypter ce hachage (et le vérifier en comparant le même hachage au message original) en décryptant simplement avec la clé publique de l’expéditeur. Comme seul le propriétaire de la clé privée associée à cette clé publique a pu chiffrer le message, celui-ci peut être vérifié. Cela permet l’intégrité et la non-répudiation. La non-répudiation parce que l’expéditeur ne peut pas nier ultérieurement qu’il n’a pas envoyé le message.

La solution Entrust S/MIME fournit aux entreprises une capacité de réduire considérablement le risque de perte de données d’entreprise provenant de l’email. Les capacités d’Entrust en matière d’identité et de chiffrement de bout en bout pour les emails internes et externes, ainsi que l’automatisation du déploiement et les capacités de gestion du cycle de vie, permettent aux entreprises d’améliorer leur conformité et leur position de sécurité par rapport à d’autres solutions.

Le SSL fonctionne-t-il sur les emails ?

RSA est le seul protocole cryptographique à clé publique pris en charge pour la signature et le cryptage des emails. Les certificats SSL/ TLS ne peuvent pas être utilisés à cette fin. Cependant, il existe d’autres technologies de cryptage qui fonctionnent avec S/MIME pour assurer la protection des messages en transit. Par exemple : Transport Layer Security (TLS) ou précédemment Secure Sockets Layer (SSL). Ces protocoles chiffrent le tunnel ou l’itinéraire entre le serveur de messagerie, afin d’empêcher l’espionnage et l’écoute clandestine. Ils chiffrent également la connexion entre le client de messagerie électronique et le serveur de la messagerie électronique. S/MIME peut fonctionner avec eux mais n’en dépend pas.

Le VPN crypte-t-il les e-mails ?

Le VPN ne chiffre pas l’email. Ce n’est pas un outil de prévention contre le piratage, les virus ou les logiciels malveillants. Il ne permet pas de protéger le contenu de l’email ni d’authentifier l’expéditeur de l’email.

Que fait le cryptage d’un email ?

L’acte de signer numériquement et de chiffrer Un courrier électronique permet à un employé de prouver que les pièces jointes et le contenu proviennent de l’adresse électronique de l’expéditeur et qu’il n’a pas été modifié pendant le transit. Ce fait est également connu sous le nom de non-répudiation et peut être étayé devant un tribunal par diverses législations.

Donner aux employés d’une entreprise l’accès à leurs propres certificats S/MIME, peut faciliter l’identification du destinataire et l’identité de l’expéditeur, ce qui à son tour peut aider à limiter l’impact d’une attaque par Business Email Compromised (BEC).

Les certificats S/MIME d’Entrust comprennent les noms de l’entreprise, de l’individu et l’adresse email permettant aux destinataires d’email de distinguer les emails de SPAM ou de Phishing des emails d’un expéditeur légitime.

À quoi ressemble un email signé et crypté dans Outlook et Apple Mail ?

Il est très facile de distinguer ce à quoi ressemble un email de confiance avec la configuration du certificat Secure Email dans Microsoft Outlook et MacOS. Vous pouvez voir ci-dessous des images de quatre cas différents :

  1. email signé
  2. email crypté
  3. email signé et crypté
  4. email non signé et non crypté
captures d’écran montrant un email crypté

 

Il existe trois indicateurs de confiance principaux dans l’expérience Outlook et MacOS :

  1. le ruban rouge, qui indique que cet email est signé.
  2. l’icône du cadenas, qui indique que l’email est crypté.
  3. vous pouvez vérifier l’identité de l’expéditeur sur la gauche de l’email : il a été signé par l’utilisateur 1, employé de la société X.

en revanche, dans le cas d’un email non sécurisé, un email non signé et non crypté n’affiche ni ruban ni cadenas. Dans ce cas, il est techniquement possible que l’adresse de l’utilisateur 1 soit usurpée.

Veuillez noter que ces fonctionnalités sont disponibles une fois que les deux utilisateurs ont échangé leurs clés publiques.

Pour plus de détails, veuillez consulter la page Entrust knowledgebase.

Comment signer et crypter des emails sur votre périphérique mobile ?

Lorsqu’un certificat S/MIME est installé sur un périphérique Android ou un iPhone, vous pouvez voir qu’il affiche un cadenas ouvert et un cadenas fermé sur la droite de l’écran. Pour envoyer un courrier électronique chiffré, il suffit à l’utilisateur d’appuyer sur l’icône du cadenas.

Les emails peuvent être signés automatiquement si vous activez cette option dans les paramètres. Le processus est présenté dans la partie 2, étape 6 de la Entrust technote.

emails chiffrés

Comment crypter et signer un email avec un certificat S/MIME ?

Pour signer ou/et chiffrer un message électronique, il suffit de cliquer sur les boutons Signer ou/et Chiffrer qui apparaissent dans la boîte de dialogue Composer un message électronique sous l’onglet Options.

Capture d’écran de la signature numérique d’un email