Qui, dans l'entreprise, doit être responsable de la sécurité des e-mails ?

Laurent Levy : Le responsable de la sécurité des systèmes d'information (RSSI) est davantage un gestionnaire qu'un technicien. Ce qui explique l'évolution du marché de la sécurité et la tendance à sous-traiter l'épuration du trafic des e-mails à des opérateurs de services spécialisés dans le nettoyage des flux.

Exploitant des centres de données dédiés, ceux-ci commercialisent des services externalisés. Des sociétés comme le Suisse VTX, le Britannique Blackspider ou le Français Netcelo arguent d'une meilleure maîtrise des coûts pour gérer les risques des systèmes d'information. Ils cristallisent ainsi un marché des services de sécurité externalisés plus mûr et simplifié. Traduisant une tendance de fond, ils modèlent l'offre de sécurité des communications de demain. A savoir des services de nettoyage en ligne, variables en fonctions de sécurité proposées et en temps de réponse, indexés sur la capacité de traitement interne de l'entreprise.

Quels facteurs favoriseront les services de nettoyage en ligne ?

Laurent Levy : Le développement de ce marché passe par trois impératifs industriels : l'interfaçage avec les utilisateurs ; la capacité d'intégration des fonctions à volonté ; et le traitement efficace réparti et suffisamment puissant en coeur d'infrastructure pour ne jamais perturber la sensation d'instantanéité, si chère à l'utilisateur. Les projets industriels de ce type répondent, en particulier, aux besoins de sécurité des PME, qui représentent la grande majorité des sociétés en Europe. Ils sont prévus au sixième PCRD (Programme cadre de recherche et de développement) de la CEE, qui finance en partie les développements via le programme IST (Information Society Technologies) .

Les opérateurs de nettoyage des flux fournissent déjà des interfaces de configuration de leurs services pour personnaliser les traitements proposés. Ces services offriront demain des interfaces standards, technologiques et commerciales, pour construire à la demande des activités de communication sécurisée, organisées en chaînes de sous-traitance.

La capacité d'identifier les expéditeurs de pourriel réduira-t-elle le spam ?

Philippe Jouvellier : Les architectures basées sur Domainkeys et Sender ID répondent à une partie des problèmes liés à la messagerie. L'aspect traité dans ce cas garantit l'authenticité des serveurs qui envoient les messages à travers Internet. On retrouve une similitude avec la signature numérique des e-mails, où le destinataire d'un message doit être assuré que celui qu'il reçoit provient bien de la personne supposée l'avoir envoyé. Utiliser le certificat numérique X.509 garantit l'authenticité, l'intégrité, et la confidentialité.

Pour sa part, Sender ID permet de vérifier que l'adresse du serveur expéditeur de l'e-mail correspond bien au nom DNS déclaré officiellement à un fournisseur d'accès à internet pour l'envoi de messages. L'authenticité du domaine DNS est ainsi assurée. Cependant, le problème du spam ne se résume pas à la seule usurpation de l'identité de serveurs d'e-mails. Le spam entraîne différents problèmes, comme le volume des messages non désirables ou le temps perdu à effectuer le tri. Bien des messages spam sont authentiques. Et pourtant, ils restent indésirables. Dans un premier temps, il s'avère indispensable de recourir à la participation des fournisseurs d'accès à Internet. Car aucune technologie ne pourra rendre les utilisateurs raisonnables.

Que devront contrôler les fournisseurs d'accès à Internet ?

Philippe Jouvellier : Il faut mettre à la disposition des clients des outils permettant d'obtenir très vite un verdict sur l'origine, le bien-fondé et l'intention d'une information à destination d'un réseau client. Un serveur délivrant un important volume d'e-mails devrait être effectivement contrôlé pour déterminer si cet envoi est légitime avant de le noter comme spammeur sur une liste noire. Dans le même temps, c'est tout l'usage de la messagerie électronique qui est à revoir. À commencer par les règles d'usage. Et donc le comportement des utilisateurs vis-à-vis de cet outil de communication, et l'éthique au sein des entreprises. Cela avant de rejeter trop vite la faute sur la complexité et l'étendue d'un réseau - Internet - partagé par tous.