Le courrier électronique est envoyé « en clair », ce qui signifie qu’il n’est pas chiffré et qu’il peut donc être lu par toute personne voyant le trafic envoyé sur un réseau interne ou sur Internet.
Le plus souvent, les fichiers volumineux ne sont pas autorisés par le serveur de messagerie ou le serveur de l’entreprise. Savez-vous pourquoi ? C’est parce que l’espace disque est très vite consommé par l’utilisation illimitée des pièces jointes aux courriels et surtout lorsque « cc : » est utilisé pour envoyer à plusieurs destinataires.
Certains types de fichiers comme .exe ou .data peuvent ne pas être autorisés à être transférés ou alors limités, en particulier sur les serveurs de messagerie des entreprises, car ils peuvent cacher des virus ou logiciels espions.
Pour finir, la dernière raison pour laquelle on ne doit pas envoyer d’informations confidentielles par courrier électronique, en plus des exigences réglementaires à respecter, est qu’elles ne sont tout simplement pas sécurisées. Voici 4 façons courantes de sécuriser vos pièces jointes
PGP
Open PGP pour chiffrer le fichier avant de le joindre à un courriel peut être utilisé pour envoyer le fichier en toute sécurité. Cela ne permet pas de chiffrer le contenu du corps du courriel lui-même, mais seulement le fichier qui y est joint.
Le destinataire doit créer une clé publique et l’envoyer à l’expéditeur avant d’envoyer le fichier chiffré. Cette clé sera nécessaire pour déchiffrer le fichier. Bien entendu, le destinataire doit également disposer du logiciel Open PGP et d’un minimum de connaissance IT pour créer ce type de clés électroniques. L’expéditeur devra chiffrer le fichier en utilisant la clé publique de ce destinataire spécifique. Enfin, le destinataire devra déchiffrer le fichier avec sa clé privée correspondante.
L’inconvénient de cette méthode est qu’elle ne peut pas être utilisée pour envoyer des fichiers à plusieurs destinataires. La plupart des utilisateurs n’ont pas les connaissances nécessaires pour effectuer ce type d’échange de fichiers sécurisé et auront généralement recours à d’autres méthodes plus simples mais non sécurisées.
Zip
La compression du fichier à l’aide d’un logiciel zip (disponible gratuitement) peut être utilisée pour sécuriser le fichier à condition qu’il soit doté de fonctionnalités de chiffrement telles que l’AES. Une fois que le fichier est zippé et qu’un mot de passe lui a été attribué, il peut être joint à un courriel et envoyé. Le mot de passe doit être envoyé séparément. Le destinataire doit également disposer d’un logiciel doté des mêmes fonctionnalités de chiffrement pour déchiffrer et décompresser le fichier. L’inconvénient de cette méthode est que de nombreux systèmes de messagerie d’entreprise bloquent les pièces jointes .zip pour des raisons de sécurité.
S/MIME
Cette méthode de chiffrement exige que les systèmes de courrier électronique de l’expéditeur et du destinataire prennent en charge les communications S/MIME. L’expéditeur doit créer un certificat et l’envoyer au destinataire. Le destinataire devra ensuite savoir comment importer le certificat dans son Client de messagerie. Une fois le certificat en place, un courrier électronique sécurisé peut être envoyé, reçu et déchiffré. L’inconvénient de cette méthode est qu’elle est destinée à des personnes ayant quelque peu de compétences.
FTP sécurisé
Cette méthode n’utilise pas le courrier électronique pour l’envoi du fichier. Cependant, elle chiffre le fichier et l’envoie directement sur un réseau ou sur Internet en utilisant des protocoles de transferts de fichiers sécurisés. L’expéditeur doit avoir installé un Client FTP sécurisé et le destinataire doit avoir installé un serveur FTP sécurisé. Le destinataire doit définir un nom d’utilisateur et un mot de passe pour l’expéditeur. L’expéditeur peut alors se connecter avec son Client FTP sécurisé et transmettre le fichier. L’inconvénient de cette quatrième méthode est qu’elle nécessite des experts pour sa mise en œuvre.
La solution « bonus »
Si chacune de ces méthodes permet certainement à l’expéditeur de s’assurer que le fichier est sécurisé, elle ne permet pas de résoudre certains des autres problèmes liés au blocage des types de fichiers, à l’obtention de pistes d’audit ou encore à la connaissance IT.
Il existe d’autres solutions qui combinent la facilité d’utilisation du courrier électronique et la possibilité de sécuriser à la fois le fichier et le texte du courrier électronique.
Le fonctionnement de ces solutions est simple. Le courrier électronique sécurisé utilise le Client de messagerie Outlook et/ou d’un Client web utilisant les protocoles HTTPS sécurisés. L’expéditeur crée simplement le courrier électronique sur sa messagerie, puis à l’aide du plugin installé, il peut envoyer son courrier sécurisé.
Le destinataire reçoit le courrier électronique avec un lien qui le redirige vers une page web sécurisée HTTPS avec les fichiers disponibles au téléchargement. Aucun certificat, aucune clé électronique ni aucune combinaison logicielle supplémentaire ne sont nécessaires pour l’expéditeur ou le destinataire. Tous les fichiers restent sur le réseau sécurisé de l’expéditeur et il n’y a pas de limite de taille de fichier. Un journal d’audit détaillé et facilement accessible est tenu pour faire état des échanges sécurisés effectués.