Les fuites de données sont de plus en plus fréquentes dans les entreprises. Il existe cependant des moyens fiables pour éviter les fuites de données ou pour en réduire les conséquences.
Il n’est pas surprenant que le nombre de piratages de boites mail soit en augmentation. À mesure que les entreprises se numérisent, les données des messageries électroniques deviennent de plus en plus intéressantes pour les hackers. Ces dernières années, de nombreuses entreprises ont été victimes de piratage de grande envergure. Le cabinet d’audit Deloitte a été victime d’une attaque informatique(nouvelle fenêtre), mais c’est aussi le cas de Sony Pictures(nouvelle fenêtre), du Comité National Démocrate américain (DNC)(nouvelle fenêtre) et de Yahoo Mail(nouvelle fenêtre) par exemple.
Cette tendance est en constante augmentation, à tel point que l’on pourrait penser que les piratages de boite mail sont inévitables et que toute entreprise peut être piratée tôt ou tard. C’est en effet une réalité et ce devrait être l’état d’esprit des professionnels de la sécurité quand il est question de fuites de données. Si même la NSA (National Security Agency, l’agence nationale de la sécurité américaine) a été victime d’une fuite de données(nouvelle fenêtre), on peut supposer que toutes les entreprises peuvent être piratées.
Alors que l’on peut avoir l’impression qu’il n’y a plus d’espoir en matière de cybersécurité, cette prise de conscience apporte en fait une formidable compréhension de la manière dont nous devons protéger les données dans un environnement de plus en plus dangereux. Il est nécessaire d’aborder la question à un autre niveau et d’envisager la sécurité des données sous un angle différent.
Si les piratages sont inévitables et qu’il ne s’agit que d’une question de temps avant d’y être confronté, l’objectif n’est plus d’empêcher l’intrus d’entrer, mais de minimiser les dégâts une fois que les systèmes de sécurité ont été piratés. En ce qui concerne la boite mail, il existe plusieurs mesures concrètes pour limiter considérablement les risques.
1. Utiliser une boite mail avec le chiffrement de bout en bout
Le chiffrement de bout en bout est une technologie qui chiffre toutes les données avant qu’elles ne soient envoyées à un serveur, à l’aide d’une clé de chiffrement dont le serveur ne dispose pas. Les avantages de cette méthode sont évidents sur le plan de la sécurité.
Si tous les messages sont chiffrés avant d’arriver sur le serveur, une fuite du serveur de messagerie n’entraînera pas la divulgation de contenus et de pièces jointes sensibles. Il est important de noter que le chiffrement et le chiffrement de bout en bout sont très différents.
Avec le chiffrement de bout en bout, le serveur n’a pas accès aux clés de déchiffrement. Cela signifie qu’un hacker ayant accès au serveur de messagerie n’a aucun moyen de déchiffrer les messages électroniques chiffrés puisque le serveur lui-même ne dispose pas des clés de déchiffrement.
Dans les modèles classiques de chiffrement, les clés de déchiffrement sont accessibles au serveur, ce qui revient à mettre le cadenas et la clé au même endroit et à annuler en grande partie l’avantage d’avoir un cadenas.
Dans les systèmes de messagerie avec un chiffrement de bout en bout, les clés de déchiffrement sont uniquement accessibles aux systèmes clients et chaque client dispose d’une clé de déchiffrement différente. Cela complique la possibilité de compromettre un système de messagerie électronique à grande échelle.
Le risque est considérablement réduit parce que la compromission du serveur de messagerie n’entraîne pas de fuite du contenu de la boite mail. De plus, dans le cas où un appareil client est piraté, seule une clé de chiffrement unique est compromise, et non les clés de l’ensemble du système, puisque chaque client dispose d’une clé de chiffrement différente.
Il existe plusieurs façons de mettre en place le chiffrement de bout en bout au sein d’une entreprise. L’une des solutions est de former tous les collaborateurs à l’utilisation de PGP, un système de chiffrement de bout en bout des messages électroniques. La méthode la plus efficace est d’utiliser une boite mail comme Proton Mail, qui intègre PGP nativement. L’avantage d’utiliser Proton Mail est que le chiffrement est fait de façon automatique et totalement transparente pour l’utilisateur, sans nécessiter de formation de l’utilisateur final ni de gestion complexe des clés.
C’est cette méthode que de nombreuses entreprises ayant des besoins importants en matière de sécurité ont choisie et Proton Mail est aujourd’hui utilisé par de nombreux établissements juridiques, médicaux, financiers et médiatiques. De grands médias utilisent désormais Proton Mail pour assurer la confidentialité de leurs sources, comme par exemple le Huffington Post(nouvelle fenêtre), le magazine Foreign Policy(nouvelle fenêtre), NJ.com(nouvelle fenêtre) et bien d’autres.
En début d’année, Proton Mail a été rendu conforme à la norme HIPAA(nouvelle fenêtre) pour les entreprises et peut désormais remplacer Microsoft Exchange, Microsoft 365 ou Google Workplace. Néanmoins, le chiffrement de bout en bout n’est pas suffisant pour assurer une protection totale contre les piratages de boite mail.
2. Protéger ou restreindre les comptes administrateurs
Le chiffrement de bout en bout protège contre les fuites de données sur le serveur de messagerie, mais il n’offre qu’une protection limitée contre la compromission d’un compte administrateur.
En règle générale, les administrateurs peuvent être compromis de plusieurs manières, notamment par des menaces internes, par négligence ou même par un piratage ciblé par le biais de campagnes de phishing/hameçonnage. Dans la plupart des entreprises, toutes les boites mail peuvent être piratés si un administrateur de messagerie est compromis.
Pour se protéger contre cette menace, nous recommandons de protéger ou de restreindre fortement les comptes administrateurs. Voici des moyens de protéger les comptes administrateurs :
- Autorisez la connexion aux comptes administrateurs uniquement à partir de certains ordinateurs sécurisés qui ne sont pas utilisés pour d’autres activités. Cela permet de réduire le risque de propagation.
- Ne déplacez jamais les ordinateurs sécurisés en dehors des locaux de l’entreprise pour réduire le risque de vol du système. Assurez-vous qu’ils utilisent un chiffrement complet du disque.
- Activez toujours l’authentification à deux facteurs (A2F) pour les comptes administrateurs (cette fonctionnalité est prise en charge par Proton Mail).
- Ne conservez pas les mots de passe des administrateurs sur les systèmes ayant un accès au réseau. Gardez-les plutôt sur papier ou sur des systèmes protégés par un air gap (ou air wall) et qui ne peuvent pas se connecter à internet. Interdisez que les mots de passe administrateurs puissent sortir des locaux de l’entreprise.
- Appliquez la règle des deux personnes : deux personnes différentes détiennent le mot de passe administrateur et le dispositif de deuxième facteur.
Ces mesures peuvent réduire de façon considérable la menace d’attaque contre laquelle votre entreprise doit se défendre. S’il n’est pas possible de protéger autant les comptes administrateurs, la meilleure chose à faire est de les restreindre fortement.
La messagerie électronique(nouvelle fenêtre) sécurisée pour les entreprises(nouvelle fenêtre) proposée par Proton offre un moyen intégré de restreindre les comptes administrateurs en prenant en charge deux types de comptes utilisateurs. Si vous utilisez Proton Mail pour votre entreprise, les comptes peuvent être désignés comme « privés ». Un compte privé bénéficie d’une protection supplémentaire dans la mesure où son contenu est illisible pour les administrateurs de la messagerie.
Même si un compte administrateur était compromis, le contenu des comptes privés resterait en sécurité. De ce fait, les comptes très sensibles (comme ceux des cadres supérieurs ou des responsables des ressources humaines) peuvent être protégés contre les administrateurs mal intentionnés ou compromis.
Bien entendu, la meilleure approche est d’éviter d’avoir un administrateur compromis, ce qui nous amène à la troisième étape de la protection de votre entreprise contre les piratages de boite mail.
3. Protéger les utilisateurs finaux avec de bonnes pratiques et une bonne formation
La sécurité dépend du maillon le plus faible et même si vous disposez d’une solide sécurité technique grâce au chiffrement de bout en bout de Proton Mail, le risque humain est toujours présent.
Cette situation doit être limitée par une combinaison de bonnes pratiques et de formations. Un exemple de mesure susceptible d’améliorer la sécurité d’une entreprise est de rendre obligatoire l’authentification à deux facteurs, ce que nous faisons dans notre entreprise.
La formation joue un rôle tout aussi important. Au sein de notre entreprise, nous fournissons à chaque nouveau collaborateur, quelle que soit sa fonction, un guide de sécurité détaillé qu’il doit lire et comprendre au cours de ses premiers jours de travail.
Ce guide inclut aussi une liste de logiciels recommandés qui proviennent d’entreprises reconnues pour leur sécurité. Nous appliquons aussi des correctifs rapidement et de façon rigoureuse.
La formation doit aussi s’accompagner de mesures techniques. Aujourd’hui, les campagnes de phishing/hameçonnage par e-mail sont devenues l’un des vecteurs de menace les plus dangereux pour les entreprises.
Elles sont désormais si sophistiquées que même des administrateurs expérimentés peuvent être compromis. C’est pourquoi Proton Mail intègre un certain nombre de fonctions avancées(nouvelle fenêtre) pour contrer(nouvelle fenêtre) le phishing/hameçonnage(nouvelle fenêtre), que l’on ne trouve dans aucun autre service de messagerie électronique. Ces fonctionnalités donnent aux entreprises qui utilisent Proton Mail une bien meilleure chance de résister aux attaques de phishing sophistiquées.
Pour conclure
Il est difficile d’assurer la sécurité et il n’existe pas de sécurité à 100 %. Il faut donc revoir en profondeur la façon dont les entreprises abordent la cybersécurité.
Les avancées technologiques, comme le chiffrement de bout en bout facile à utiliser, permettent d’assurer une bonne sécurité dans un monde dans lequel on part du principe que tout le monde se fera pirater. En prenant les mesures de sécurité décrites dans cet article, vous vous assurez que votre entreprise est mieux préparée à affronter les risques du monde dans lequel elle évolue.
Vous pouvez créer gratuitement votre boite mail sécurisée avec Proton Mail.
Nous proposons aussi un service VPN gratuit(nouvelle fenêtre).
Proton Mail et Proton VPN sont financés par les contributions de la communauté. Si vous voulez soutenir notre travail, passez à un abonnement payant(nouvelle fenêtre). Merci pour votre soutien !
—
Traduit et adapté par Elodie Mévil-Blanche.
