Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité des e-mails : une tâche sous-estimée et négligée dans l’entreprise

octobre 2013 par Marian Spohn, journaliste spécialisé, Sindelfingen

L’entreprise d’analyse Web Royal Pingdom estime dans son évaluation annuelle d’Internet, qu’en 2012, dans le monde entier, environ 144 milliards d’e-mails ont été envoyés par jour. Dans les entreprises françaises également, les collabora-teurs envoient d’innombrables courriers électroniques internes ou externes sans réfléchir à la sécurité des informations qu’ils contiennent. Les responsables IT doivent gérer cette masse d’e-mails et en même temps veiller à un transfert de données sûr et rapide. Un défi difficile : le protocole FTP, souvent utilisé, peut être intercepté facilement et il est mal protégé. Toutefois, les données d’entreprise sensibles ne devraient être transférées que codées et surveillées du début à la fin du processus d’envoi (End-to-End-Monitoring). Les solutions SEEBURGER pour la gestion du transfert de fichiers (MFT) répondent à ces exigences, même en cas d’échange d’e-mails avec des terminaux mobiles.

Marian Spohn, journaliste spécialisée, Sindelfingen

Les PME dans le viseur des voleurs de données

Une étude Symantec actuelle montre qu’en 2012, les cyberattaques des petites et moyennes entreprises ont progressé de 42 %. Les agresseurs supposent que la sécurité informatique est moins bonne dans les plus petites entreprises et qu’ils peuvent pénétrer plus facilement dans les systèmes, explique un expert en sécurité. Les conséquences d’un vol des données de courrier électronique peu-vent être très coûteuses. D’après une étude Ponemon, en 2011, les dommages financiers moyens oscillent entre 1,1 et 5,5 milliards de dollars américains. En France, ils ont été estimés à 3,3 milliards de dollars américains. En moyenne, 20 869 enregistrements de données ont été volés.

Outre les pertes financières, la confiance dans l’entreprise est également détério-rée. Qui voudrait encore confier ses données personnelles à une entreprise qui ne les protège pas de manière adéquate ? Cependant, les entreprises de tous les secteurs sous-estiment encore le thème de la sécurité du courrier électronique, les entreprises du secteur de la finance ou des services publics devant déjà être conformes à la loi en raison de prescriptions particulières pour un échange sécurisé des données sensibles. Frank Jelinek, Vice-président chargé de la gestion des solutions, SEEBURGER AG : « Il existe vraiment de nombreux cas d’application différents, où des don-nées sensibles doivent être envoyées en sécurité. On les trouve dans l’ensemble des domaines et secteurs des entreprises. Au niveau du comité directeur, ce sont par exemple des contrats, des plans d’acquisition et des bilans, dans le service IT, de très gros fichiers journaux concernant les problèmes des applications qui doivent être envoyés au support du fabricant. Des développeurs du secteur automobile échangent des données de CAO qui sont aussi sensibles que des données d’assurance personnelles, des dossiers de santé et des transactions bancaires du département comptabilité et ressources humaines. »

Pourquoi les e-mails ne sont pas sûrs

Les informations importantes et critiques devraient être envoyées le plus sûre-ment possible. Cependant, le courrier électronique normal est toujours pour beaucoup d’utilisateurs la manière la plus rapide et la plus pratique. Les dangers ou les mesures de sécurité sont trop souvent négligés. Les points de transport physiques, que l’on appelle POP (Point of Presence) et qu’un e-mail parcourt jusqu’à son serveur cible, représentent un gros problème pour l’expédition du courrier électronique. Ici, s’il manque un codage, il est relati-vement facile d’intercepter l’information (qui dans ce cas est qualifiée de « plain », donc de franchement lisible) et son contenu. Un voleur de données se procure un accès à un POP quelconque pour enregistrer les informations des textes en clair non protégés contenus dans l’e-mail.

Jelinek : « Cette carte postale numérique est pour ainsi dire jetée sans enveloppe dans plusieurs boîtes aux lettres intermédiaires sur son itinéraire de destination, d’où elle est à nouveau réexpédiée. Les personnes ayant les connaissances requises peuvent ouvrir ces boîtes aux lettres ou saisir les courriers par la fente des boîtes aux lettres, extraire les informations, les lire et ensuite réexpédier les courriers. »

Souvent, les victimes espionnées détectent seulement le vol après les consé-quences désagréables et financières : des mails d’hameçonnage et de spam à un vol des données et un piratage des produits, jusqu’à des mesures coûteuses pour rétablir une bonne réputation.

Une solution sécurisée : Managed File Transfer (MFT)

En principe, il existe quatre scénarios pour l’échange de données. Les informa-tions sont envoyées d’un système à un système, d’un homme à un système, d’un homme à un destinataire connu ou d’un homme à des destinataires anonymes. Ce modèle et ces formes mixtes se retrouvent dans tous les secteurs d’activité. Il existe de nombreuses possibilités de codage pour le transfert du courrier élec-tronique : ASN, CIPE, IPsec, OpenPGP, PKCS, S/MIME, TLS, SSL, X.509, SSH, etc. Malheureusement, ces procédures sont coûteuses et impliquent des heures de travail pour les collaborateurs. SEEBURGER propose une solution de gestion du transfert de fichiers qui code toutes les informations et contrôle l’arrivée à destination, où seuls les destinataires autorisés peuvent y accéder. Le fichier reste en sécurité dans le système MFT. On n’expédie dans un premier e-mail que l’autorisation de téléchargement pertinente et dans une deuxième un mot de passe à cet effet.

« Au sens transfert, on peut parler ici de casier numérique, dans lequel les infor-mations précieuses sont protégées et stockées centralement. Un expéditeur de courrier électronique n’envoie ainsi jamais les données d’origine, mais une clé utilisable temporairement. L’accès au casier peut être personnalisé : Ainsi, par exemple, il n’est possible d’effectuer qu’un nombre déterminé de téléchargements ou la clé n’est valable qu’un certain temps » explique Jelinek. En relation avec une plaque tournante de données centrale , la solution permet une surveillance complète de toutes les activités de transfert de données internes et externes à l’entreprise, les informations peuvent être surveillées de l’adresse d’expédition jusqu’à l’adresse de destination et il est possible de retracer entièrement les adresses IP. Outre les possibilités de suivi de l’expédition de courrier électronique, il est également possible d’envoyer des notifications lors du processus d’échange automatisé et d’intégrer des scanners de virus. Grâce à la solution centrale, des modifications ou des extensions peuvent également être mises en œuvre simplement.

Jelinek : « Une solution MFT doit procurer à l’utilisateur le confort et la vitesse d’un envoi de courrier électronique normal. Ici, une intégration Outlook fluide ou une connexion sur le bureau permet à l’utilisateur d’échanger tout aussi rapide-ment et simplement des données par la plate-forme MFT connectée que par e-mail. Des processus ininterrompus et un principe d’autorisation stocké centrale-ment sont cruciaux pour une adoption rapide par les collaborateurs. »

Possibilités d’applications interprofessionnelles

Il existe de nombreux cas d’application de MFT. Par exemple, dans le secteur bancaire, des mouvements de compte et des transactions ont lieu constamment. Si certaines valeurs de seuil sont franchies, le système IT expédie automatique-ment des informations aux clients concernés des banques. Elles sont toutes en-voyées par e-mails non cryptés, il existe ainsi beaucoup de points d’accès potentiels pour les attaques de pirates informatiques, où les informations peuvent être interceptées. Il est sûrement préférable de déposer les informations en sécu-rité sur une plate-forme MFT et d’expédier aux destinataires uniquement les télé-chargements sécurisés correspondants. La question de l’archivage à long terme est également un thème important, par exemple pour le secteur de l’énergie ou de la santé. Ici, les données personnelles doivent être envoyées et stockées conformément à la loi. Une solution MFT permet d’automatiser de tels processus. Grâce aux processus de bout en bout et au fichier central, il n’y a plus aucune discontinuité ni enregistrements de données multiples.

E-mails sur terminaux mobiles

Selon une statistique actuelle sur la consultation du courrier électronique, 43 % des informations sont récupérées sur des terminaux mobiles iOS. Une enquête comScore sur l’utilisation du courrier électronique sur mobile montre également que deux utilisateurs européens de Smartphone sur trois consultent leurs e-mails sur leur terminal mobile. Plus des quatre cinquièmes des collaborateurs utilisent aussi leur appareil mobile à des fins professionnelles, une étude CompTIA a tou-tefois révélé que tout juste un quart des entreprises possède des directives de sécurité concernant l’utilisation des terminaux mobiles. Sur la base de ces résultats, des données sensibles doivent sûrement être reçues ou envoyées par e-mail à partir d’appareils mobiles comme les Smartphones ou les tablettes. Avec une solution MFT, cela est possible sans difficultés techniques ou logiciel supplémentaire. Pour les applications mobiles, les données d’utilisateur et les mots de passe n’auront plus à être fournis, car les terminaux mobiles seront protégés par une chaîne cryptée et une sécurité numérique. Celle-ci peut être attribuée rapidement par l’application MFT centrale par le biais des droits d’accès des différents appareils, et éliminée aussi rapidement, sans devoir par exemple bloquer les données complètes du collaborateur en cas de perte de l’appareil mobile.

Jelinek : « Peu importe si la communication par courrier électronique est utilisée dans l’entreprise en interne, en externe ou par mobile. Avec une solution de ges-tion du transfert de fichiers, tous les cas d’application pour l’échange de courrier électronique interprofessionnel sont représentés simplement, traités en sécurité et surveillés intégralement. »




Voir les articles précédents

    

Voir les articles suivants