Outil indispensable, la messagerie pose de nombreux problèmes de sécurité. Les courriers électroniques contiennent de plus en plus souvent des informations sensibles en provenance des directions générales ou commerciales. Peuvent également s’y glisser des informations non professionnelles, des virus, des codes mobiles douteux ou des fichiers trop volumineux. Par conséquent, une analyse pointue du contenu des messages s’impose afin de bloquer les indésirables.
Les antivirus ne font pas tout
Les logiciels antiviraux ne se chargent que d’une partie de cette mission, car ils ne peuvent pas prendre en compte le ” code de bonne conduite ” de l’entreprise. L’analyse sera rendue d’autant plus difficile que la montée en puissance du commerce électronique accroît le nombre de messages chiffrés. Le marché des outils de contrôle de contenu, en forte croissance, attire les convoitises. Computer Associates a ainsi acquis Security-7, dont il a intégré l’offre sous le nom eTrust Content Inspection. À l’instar de nombreuses autres solutions, ce produit traite, outre la messagerie, les flux HTTP et FTP.Autre problème, les e-mails transitent le plus souvent en clair sur le réseau interne : “Il est facile de les visualiser. Mieux vaut se prémunir contre ce risque”, conseille Guillaume Maldras, consultant chez CF6 Groupe Telindus. Leur stockage doit également être sécurisé. En effet, même chiffrés lors du transport, les messages sont le plus souvent enregistrés en clair. Par ailleurs, l’émetteur d’un message n’est jamais certain que le courrier va atteindre son destinataire. Et ce dernier n’est pas plus sûr de l’identité de l’émetteur.
Chiffrement et signature s’imposent
“Usurper une identité est facile “, confirme Olivier Caleff, directeur technique d’Apogée. Codage et signature électronique deviennent donc essentiels. Les chiffrements les plus utilisés sont S/Mime et Pretty Good Privacy (PGP). Leur principe est identique, puisqu’ils codent le corps du courrier avec une ou plusieurs clés de protection. Le premier exploite les infrastructures de certificats qui sont définies par la norme X.509, et nécessite le recours à une autorité de certification et la gestion de ces certificats.Moins contraignant, PGP repose sur l’échange de clés entre utilisateurs, ce qui présente toutefois un point faible : il suppose une confiance réciproque entre émetteur et destinataire. Cette condition n’est pas nécessaire avec S/Mime, qui garantit l’identité de l’émetteur. Le destinataire reçoit alors un message avec une pièce jointe de type smime.p7s, pour la signature ; et smime.p7m, pour le message chiffré.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
