Au
fil des années, le mail s'est imposé comme
un outil incontournable de communication tant au sein
de l'entreprise quinter-entreprises. Pourtant, son
utilisation n'est pas anodine. En termes de sécurité,
l'utilisation du mail est comparable à celle d'un
échange de cartes postales : tout le monde peut
les lire, les photocopier... et même en modifier
la provenance, l'objet, la destination, le texte...
Par
ailleurs, sil sagit de prouver lexistence
dune transaction ou dun accord en produisant
un mail, la recevabilité dune telle preuve
en justice nest pas systématiquement acquise.
Il est indispensable de renforcer le "chemin de
preuve" des échanges électroniques
afin de rendre ces transactions "non-répudiables",
soit en dautres termes, éviter que leur
auteur nen réfute la paternité ou
le contenu.
Face
à ces interrogations, on rencontre souvent deux
types de réactions. Pour certains chefs d'entreprises,
il sagit dun non-problème. Ils sont
convaincus que leurs données ne sont pas "si
confidentielles que ça", sexposant
ainsi à un piratage facile de leurs systèmes
dinformation. D'autres cantonnent l'utilisation
du mail à l'échange d'informations non
sensibles pour l'entreprise, se privant ainsi d'un formidable
outil de communication.
Pourtant,
il existe des solutions faciles à administrer
permettant de sécuriser les flux de mails, et
nous souhaitons dresser une typologie rapide des problèmes
quil convient dadresser à cet égard.
1-
L'émetteur d'un mail doit pouvoir être formellement
identifié
Il
existe une chance pour que l'émetteur du mail que
vous venez de recevoir soit un usurpateur : il est en
effet connu que les virus empruntent souvent une adresse
au hasard pour travestir l'identité de l'émetteur
et rendre plus difficile leur détection. Cela fragilise
considérablement l'utilisation du mail dans des
échanges commerciaux : comment se fier à
un bon de commande, à une demande de virement ou
de mouvement de titres sil s'avère que ce
mail est émis par un pirate ?
Il
faudra donc être en mesure dauthentifier
lauteur du mail
2-
Intégrité
De
la même façon, un mail pourra très
facilement être modifié pendant son trajet,
et il sera difficile de savoir où et quand cette
modification a été opérée
: qui peut certifier que j'ai passé un ordre
d'achat de 1000 titres et pas de 100 titres ?
Il
est donc impératif de disposer dune garantie
de l'intégrité des documents échangés
3-
Confidentialité
Il
est aussi facile d'intercepter un mail qui passe sur
un réseau public tel que Internet que de se poster
à une terrasse de café et de regarder
passer une star de ciné. De la même façon,
il est aussi facile - et aussi peu répréhensible
- de lire un mail que de prendre des photos de notre
star ... (seul sera éventuellement répréhensible
l'usage que l'on fera de ces photos, ou de ces informations).
Il
faut donc chiffrer (crypter) ces mails pour sassurer
de leur confidentialité. (Comme
on enferme nos stars dans une voiture avec glace sans
teint pour les protéger des paparazzis).
4-
Archivage
Une
preuve ne sert pas à grand chose si on ne peut
pas la conserver et la produire. Les mails devront donc
être archivés sur des supports permettant
d'attester de leur parfaite conservation
Chacun de ces quatre points doit être pris en
compte dans l'organisation d'un workflow de mails sécurisés
pour que celui-ci procure une sécurité
juridique acceptable (ie les mails transitant
dans ce workflow peuvent constituer des preuves recevables
au sens de la loi sur la signature électronique
de mars 2000).
En
terme d'outils techniques, il existe à ce jour
des solutions relativement faciles à gérer
et administrer qui permettent d'assurer cette sécurisation.
Par ailleurs, indépendamment des critères
relatifs à la sécurisation et à
la légalisation des échanges, il est indispensable
d'avoir en tête deux autres axes de réflexion
relatifs aux workflow de mails :
1-
La sécurité globale du SI
Le
mail est un excellent vecteur d'intrusion dans un réseau
d'entreprise. Il peut être porteur de virus mais
aussi de chevaux de Troyes ou de toute autre forme de
code malicieux dissimulés dans des macro-Excel
ou des fichiers Powerpoint (par exemple) permettant
de s'introduire dans un SI Il est donc indispensable
de scanner les mails avec des outils adaptés
à lutter contre ce type de maux.
2-
Règles de droit
Lenvironnement
juridique actuel pose le principe du caractère
inviolable de la correspondance privée, mais
autorise le contrôle des mails à certaines
conditions, notamment relatives à la sécurité
du réseau, ou à la protection de l'entreprise
contre une utilisation "abusive" ou illicite
de son système de messagerie par ses salariés.
Il
faudra donc définir une charte précise
d'utilisation de la messagerie au sein de l'entreprise.
|