Sécurité des Systèmes d’information : avez-vous pensé à votre boîte mail ?

La protection des données de vos clients et collaborateurs doit être au centre des préoccupations de votre compagnie, que vous soyez une entreprise grande, petite ou moyenne. Et il en va de même pour les données qui circulent au sein de votre système d’information. Cette protection passe notamment par la protection de votre adresse mail et des données ou informations qui y transitent.
Sécuriser votre boîte mail renforce la protection de votre système d’information, dans la mesure où celle-ci ne représentera plus une brèche béante pour tout pirate informatique.

4 points sensibles seront étudiés dans cet article : la confidentialité de son adresse mail, l’intégrité des données qui y transitent, la disponibilité des services parmi vos collaborateurs ainsi que la traçabilité des données et informations.

Conservez la confidentialité des données

Tout d’abord, la confidentialité : si vous maîtrisez la diffusion de votre adresse mail, celle-ci restera confidentielle au possible et il deviendra délicat pour un internaute mal intentionné de se connecter sur votre compte de messagerie. Naturellement, une entreprise n’aura d’autre choix que de garder son adresse de contact publique. La confidentialité de l’adresse mail ne sera donc pas le point sur lequel nous axerons notre stratégie de protection de votre boîte mail.
Mais vous pouvez tout de même mettre en place une première barrière face aux hackers, avec l’alias.

Qu’est-ce qu’un alias de messagerie ?

Adresse servant à envoyer et recevoir des mails. Un alias peut apparaître sous cette forme : adre.sse@mail.com, ou encore mon.site@mail.com qui renverra à votre adresse : adresse@mail.com. Avec la mise en place d’un alias de messagerie, vous pourrez envoyer et recevoir des mails sans dévoiler votre adresse de messagerie. Ainsi, même si votre destinataire a connaissance de votre alias, il ne pourra l’utiliser pour se connecter avec votre compte.

Chiffrement des échanges

Afin d’éviter une attaque de type man-in-the-middle (ou attaque de l’homme du milieu), nous vous conseillons d’adopter une solution pour chiffrer vos mails de bout en bout.

Bien évidemment, nous vous recommandons chaudement de vous orienter vers une messagerie fiable. Nous savons par exemple que Google ne met pas l’accent sur la confidentialité de vos échanges par e-mails. Et ce n’est qu’un euphémisme.

Veillez à l’intégrité des données

Pour optimiser la sécurité de vos mails, plusieurs solutions s’offrent à vous :

Gestion des mots de passe

Logo Keepass gestionnaire de mos de passe

Tout d’abord, vos mots de passe. Une bonne gestion de vos mots de passe et de celle de vos collaborateurs vous permettra d’éviter une subtilisation inopinée de votre boîte mail, et donc de conserver l’intégrité de vos e-mails.

Nous n’allons pas vous répéter comment créer des mots de passe robustes. Cependant, gardez toujours en mémoire la règle universelle suivante : 1 compte = 1 mot de passe.

Et pour gérer toute cette petite troupe, vous pouvez faire appel à un gestionnaire de mots de passe comme Keepass, gestionnaire de mot de passe certifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Importance de la signature électronique

Pour assurer l’intégrité d’un mail, n’hésitez pas à insérer dans vos messages une signature numérique. En outre de vous assurer de l’identité du signataire, la signature électronique garantit : l’intégrité du document signé ainsi que la non-répudiation de ce document par son signataire ;

Disponibilité des services et données

Peut-être que votre entreprise dispose de différents pôles ou que chacun de vos collaborateurs dispose du même mot de passe pour se connecter à vos services en ligne : boîte mail, logiciels et outils, services cloud, etc.
Si tel est le cas, cette habitude est à changer au plus tôt.

Adaptez les accès de vos collaborateurs

Tout simplement, partez du principe que tous vos collaborateurs n’ont pas besoin de tout savoir.

Autrement dit, ne transmettez les accès ou les informations qu’aux personnes pertinentes et limitez-leur ces accès à ce dont ils ont réellement besoin.
Cela peut notamment impliquer la création d’une adresse mail dédiée à leur pôle.
Mettez en place un process : mettez à plat qui requiert tel accès, avec quelles restrictions et pendant combien de temps. Et bien sûr, procurez à chaque collaborateur un accès avec des identifiants et mots de passe uniques.

Par exemple, le pôle rh n’a pas besoin de recevoir des mails sur le nouveau contrat avec le pôle marketing, tout comme le pôle marketing n’a pas à accéder aux candidatures.

Effectuez une veille sur l’état de vulnérabilité de votre boîte mail

Outil de confidentialité mail Abada

Effectuez un suivi régulier sur l’état de vos données et sur les accès à vos services : l’ancien stagiaire en ressources humaines a-t-il toujours les accès administrateurs aux services de recrutement ou à la boîte mail ?
Surveillez l’état de sensibilité de votre boîte mail. Pour cela, nous vous conseillons deux outils gratuits :

Abada

L’outil d’analyse Abada scanne les bases de données et peut vous informer sur l’état de sensibilité de votre adresse mail. Vous pourrez savoir si votre adresse e-mail a fuité dans une base de données, et depuis quel service en ligne. Abada est un logiciel open source dont vous trouverez le lien de téléchargement sur Github.

Have I been pwnd

Si vous êtes un néophyte en développement Python, vous pouvez vous diriger vers have I been pwned. De la même manière qu’Abada, l’outil en ligne vous indique si votre adresse mail a fuité dans une base de données. Pour l’utiliser, il suffit de renseigner votre adresse mail dans l’outil et I have been pwnd s’occupe du reste.

Maintenant que vous avez les clés pour sécuriser votre boîte mail, gardez à l’esprit que le premier des risques reste l’interface chaise-clavier, autrement dit l’utilisateur situé devant l’écran.
Ainsi, une légère brèche au niveau de votre boîte mail peut s’avérer fatale : un de vos collaborateurs ouvre par inadvertance un mail avec pour objet « urgent », télécharge la pièce jointe « devis » ou « candidature au nouveau poste », et un malheur aux conséquences désastreuses est vite arrivé dans vote entreprise.
De même, l’interface chaise-clavier que nous sommes peut facilement se laisser séduire par des propositions de GAFA attractives, même si elles peuvent mettre à mal la confidentialité de vos données.

Il est donc primordial de sensibiliser vos équipes aux cyber-risques.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pin It on Pinterest