Comment choisir sa messagerie email face aux risques de cybercriminalité ?

Qu'est-ce qu'une messagerie sécurisée ?
Par - Publié le Modifié le

Toutes les technologies ou presque, sont aujourd’hui sujettes aux cyberattaques. Application mobile, site web, serveur applicatif / de stockage / de sauvegarde, réseaux internet ou télécom (…), rares sont les systèmes informatiques n’ayant jamais subi d’attaque de sécurité.

Pour preuve la solution de messagerie sécurisée de Microsoft, a subi une attaque importante en février 2021. D’ampleur mondiale, cette attaque a concerné des dizaines de milliers de serveurs Exchange, impactant un très grand nombre d’entreprises dont l’Autorité bancaire européenne. L’occasion pour Jake Sullivan, conseiller à la sécurité nationale de la Maison Blanche, de prendre la parole sur ce sujet délicat.

 

Les systèmes de messageries de type mobile comme WhatsApp, ne sont pas complètement à l’abri non plus. L’accès aux messages en clair par l’éditeur de la solution de messagerie pose là aussi question. Même si des applications de messageries cryptées comme Signal ou Telegram ont vu le jour, le chiffrement de bout en bout des échanges est un minimum requis. En clair, si les messages peuvent être lus par l’éditeur qui détient par ailleurs un « double des clés », alors rien ne peut garantir aux utilisateurs une confidentialité absolue.

 

Le mode d’hébergement d’une messagerie sécurisée : un facteur clé

Quels sont les deux principales alternatives lorsque je cherche un hébergement de serveur sécurisé pour ma messagerie ?

La première option et la plus répandue en raison de son coût modéré, est un hébergement de messagerie sur un serveur mutualisé.

Ici, plusieurs comptes (entreprises) vont se partager des ressources informatiques (cpu, ram, stockage) disponibles sur le même serveur. Chacun disposera de sa propre interface de gestion pour ses comptes mails professionnels. Une part des ressources lui seront attribuées pour répondre à ses besoins (nombres d’utilisateurs, stockage, etc.) et chaque compte sera isolé hermétiquement des autres pour assurer leur sécurité informatique.

Les avantages immédiats seront la rapidité de mise en place des comptes de messageries utilisateurs, leurs coûts, la possibilité de souscrire à une formule sans abonnement ainsi que les fonctionnalités traditionnelles d’une messagerie collaborative permettant le partage de données et de fichiers, que l’on retrouve maintenant chez tous les fournisseurs de messagerie sécurisée ou presque.

La seconde option, un peu moins répandue mais de plus en plus recherchée au regard du contexte informatique et internet, est l’hébergement de messagerie sur un serveur privé (ou dédié).

A la différence du serveur de messagerie mutualisé, le compte client se voit attribuer les ressources informatiques du serveur dans leurs intégralité. Il est le seul compte hébergé et ne partage donc aucune ressource. Les contraintes dans ce cas de figure sont le coût de l’hébergement et un engagement sur plusieurs mois (12, 24, 36 mois).

Ce système de messagerie sécurisée répond plus spécifiquement aux entreprises recherchant un haut niveau de sécurité pour leurs données mais aussi auprès de leurs propres clients à qui elles délivreraient ce type de service.

L’option du serveur de messagerie dédié amène également plus de performance et de disponibilité de service. Pour une entreprise de plusieurs centaines d’utilisateurs, réparti en différents lieux, échangeant et partageant des données, cet argument est généralement incontournable. Les systèmes de sécurité appliqués au serveur et les capacités de stockage peuvent y être beaucoup étendus.

 

L’alternative Microsoft Office 365 pour les professionnels

Outre les multiples fonctionnalités proposées par MS 365, il est vrai que la question de l’hébergement laisse moins de place au doute lorsque l’on choisi un serveur de messagerie chez Microsoft.

« Microsoft tient à jour un réseau en évolution constante de ses centres de données situés dans le monde entier, et vérifie que chacun respecte des exigences de sécurité rigoureuses. »

Si vous vous posez la moindre question, vous trouverez certainement des réponses dans la documentation sur la sécurité locale et physique des centres de données Microsoft ou encore sur les membres chez Microsoft disposant d’un droit d’administration sur Office 365, Microsoft Dynamics CRM Online, etc.

Là où il y a matière à discuter et à se poser les questions, qui inévitablement surviendront au quotidien lors de l’utilisation de MS365, concerne l’accompagnement et le conseil fourni par Microsoft autour de la solution.

Lorsque vous devenez client d’un prestataire de la taille de Microsoft, il est possible que l’accès aux équipes techniques ne soit pas aussi direct que celui attendu. Quand vous aurez besoin de résoudre un problème, monter en compétences sur la solution ou vous faire conseiller en prévision de l’évolution de votre structure, il est probable que la réactivité du support ne soit pas au rendez-vous. Et pour des questions touchant à l’infogérance informatique de votre hébergement, vous devrez attendre une réponse suite à votre dernier ticket support.

 

MS Office 365 pour les entreprises

 

Le cas particulier de la messagerie de santé sécurisée

Dans ce cas précis, aucun doute à avoir. L’hébergement de données de santé, qu’il s’agisse d’un service de e-santé ou une messagerie email, requière un protocole strict et incontournable pour sécuriser les données médicales des individus.

De nombreuses solutions proposées par des ESN existent déjà. Le prérequis fondamental étant de trouver un Datacenter HDS, c’est-à-dire certifié Hébergeur de Données de Santé par l’AFAQ.

Cette certification répond de la capacité d’un Datacenter à fournir toutes les garanties quant à la protection, la préservation et la sauvegarde des données de santé. Il existe 6 paliers de certification à franchir avant de pouvoir se présenter comme hébergeur HDS :

  1. Mise à disposition et maintien en condition opérationnelle des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé.
  2. Mise à disposition et maintien en condition opérationnelle de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé.
  3. Mise à disposition et maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information.
  4. Mise à disposition et maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé.
  5. Administration et exploitation du système d’information contenant les données de santé.
  6. Sauvegardes externalisées des données de santé.

 

Autant dire que ces conditions d’obtention de la certification HDS vous garantissent un très haut niveau de sécurité pour les données médicales que vous pourriez être amené à gérer ainsi qu’aux outils numériques utiles à leur gestion, comme une messagerie mssanté par exemple.

A noter qu’il existe pour les professionnels de santé des solutions de messagerie sécurisée de santé gratuite comme Mailiz. Cependant, ne serait-ce que d’un point de vue infogérance informatique et accompagnement, il reste préférable de confier la gestion de ses données de santé à un hébergeur certifié disposant des systèmes de sécurité minimum et des équipes techniques en capacité de vous accompagner sur périmètre allant au-delà de l’administration de votre serveur de messagerie santé. Car dans bien des cas, ce sont les situations non anticipées qui un jour font défaut.

 

Comment sécuriser son serveur de messagerie professionnelle ?

Anti-spam

Afin de préserver sa boite de messagerie, l’un des premiers recours est l’installation d’un filtre anti-spam de sortes à éviter la submersion de messages non sollicités.

Par des règles de filtrage ou en interrogeant des bases de données qui recensent les spammers, il va être possible de limiter la réception et la surcharge d’emails intempestifs voire dangereux. Les domaines ou adresses IP utilisées par les expéditeurs vont être répertoriés pour placer les emails dans un dossier à part de la boite principale nommé SPAM. C’est le principe de filtrage par liste noire.

Une autre voie est de ne laisser passer que les expéditeurs dignes de confiance désignés par l’utilisateur. Ainsi, les messages en provenance d’autres expéditeurs seront omis. On est dans le cas ici d’une liste blanche, mais qui peut parfois être plus restrictive lorsqu’il s’agira de la réception des courriels entrants.

 

Anti-phishing

Cas de piratage plus délicat à identifier et à prévoir, le phishing ou hameçonnage en français.

Celle-ci se définit comme une fraude utilisant des astuces d’ingénierie sociale afin d’obtenir des données confidentielles auprès d’individus. Elle est souvent menée par e-mail et a pour objectif d’obtenir des informations sensibles comme des identifiants de connexion ou un numéro de carte de crédit. Concrètement, plusieurs éléments sont réunis afin de persuader une victime de cliquer sur un lien, d’effectuer un paiement ou de télécharger une pièce jointe.

En regroupant un ensemble d’information sur leurs cibles, les hackers simulent un message en apparence véritable. Logo, objet de l’email, contenu, signature d’email vont être utilisés pour faire croire à la légitimé de l’expéditeur et à la véracité de la demande. Si le leur fonctionne, le destinataire en interagissant avec l’e-mail reçu va déclencher l’intrusion d’un programme malveillant sur son poste de travail, dans son compte email ou voir ses données subtilisées.

Ainsi une solution anti-phishing, grâce à un système de détection intelligente des menaces, va repérer les liens malveillants et les pièces jointes infectées des courriels. Ce tri opéré par l’anti-phishing va permettre de réduire le risque auquel tout utilisateur est exposé. Mais sachant que les campagnes d’attaques massives sont devenues courantes depuis plusieurs années, il s’agira d’un point de vue individuel, de rester vigilant et de se renseigner sur la forme que peuvent prendre ce type d’attaque pour mieux les détecter en amont.

 

Les bonnes pratiques à appliquer pour une messagerie sécurisée

Au-delà des solutions logicielles pour protéger ses données de toutes attaques, il reste encore l’une des meilleures stratégies dont le but est de s’informer pour mieux comprendre d’où et sous quelle forme peut se manifester une attaque.

Ne pas répondre directement à un mail, rester vigilant avant de cliquer sur un lien ou s’assurer de la légitimité de l’expéditeur évitera de nombreuses déconvenues.

D’autres bonnes pratiques comme la mise à jour régulière de ses mots de passe, l’application de correctifs dès leur publication ou savoir identifier un site web non sécurisé sont des réflexes qui de même limiteront votre exposition aux attaques.

En clair, plus votre connaissance et l’identification du piratage sous ces diverses formes sera poussée, plus vous disposerez de moyens de protection.

 

7 bonnes pratiques pour éviter une cyberattaque

 

Élever le niveau de protection en sauvegardant sa messagerie via un plan de reprise d’activité 

Vous aurez beau vous mettre en quête de la boite mail la plus sécurisée du marché, lancer un benchmark complet et détaillé, il vous sera difficile de vous passer d’une option de sauvegarde.

Plus la volumétrie de comptes de messagerie d’une entreprise est importante, plus cela induit un équipement matériel conséquent, des To de données à stocker et à sauvegarder, des systèmes d’authentification et de contrôles des accès, des systèmes de protection face aux cyberattaques, etc.

La complexité de l’infrastructure serveurs et les enjeux économiques pour une entreprise, doivent l’amener à envisager le fonctionnement de son organisation dans un mode dégradé. Cyberattaques, crises sanitaires, catastrophes naturelles, les arguments ne manquent pas pour que chaque entreprise prenne la mesure du risque et par anticipation, optent pour des choix stratégiques afin de se préserver.

Le PRA (Plan de reprise d’activé) est probablement le procédé qui garantira à n’importe quelle entreprise de poursuivre son activité en cas de sinistre, peu importe la nature. Développer son activité sans avoir le poids et la crainte d’une rupture totale de son fonctionnement est incontestablement une priorité. Le PRA informatique rempli en réalité les fonctions d’une assurance, prise par l’entreprise.

 

Comment fonctionne un plan de reprise d’activité ?

Une entreprise dispose de X serveurs de messageries pour équiper des centaines voire des milliers de collaborateurs avec une messagerie professionnelle. Celle-ci doit être fiable, sécurisée et apporter des fonctionnalités facilitant le travail et les échanges entre membre d’équipes. Le volume de données hébergées pouvant équivaloir des téraoctets.

Si une interruption totale du service survient sans que de solutions préventives aient été mises en place, il est fort probable que la masse des collaborateurs ne puisse accéder à leurs emails professionnels. Plus dommageable encore, si suite à une cyberattaque les données sensibles de l’entreprise sont volées, elles les resteront définitivement et le préjudice sera immense.

En revanche, si une sauvegarde complète de l’architecture informatique a été réalisée sur un autre site, distant du premier où sont hébergés les serveurs de messagerie d’origines, alors la récupération des données pour repartir d’un état post-incident sera possible. De là, l’activité de l’entreprise pourra rependre dans un délai relativement court.

Contrairement à plusieurs idées reçues, la mise en place d’un PRA (Plan de Reprise d’Activité) n’est pas obligatoirement totale. C’est-à-dire qu’il n’est pas nécessaire de prévoir un plan de reprise d’activité pour l’intégralité du SI de l’entreprise. Seule une partie peut être concernée.

Cela peut être envisagé par étape successive, en fixant un premier périmètre de sauvegarde autour des applicatifs et des données prioritaires. Un serveur de messageries, une solution CRM, un site internet, pris indépendamment les uns des autres peuvent faire l’objet d’un plan de reprise dans le cadre d’une première phase. Puis dans une seconde phase espacée dans le temps, un nouvel applicatif peut venir s’ajouter au PRA initial.

 

Concernant le coût d’un plan de reprise d’activité

A titre d’exemple, le coût moyen d’une sauvegarde standard de machine virtuelle représente 25 % du prix d’une machine virtuelle.

Celui d’un PRA doté d’une rétention de 5h équivaut à 50 % du prix d’une machine virtuelle.

Enfin, le coût d’un PRA sans perte de données équivaut à 100 % du prix d’une machine virtuelle.

 

messagerie sécurisée et évaluation du coût d'une sauvegarde ou d'un pra

 

La mise en place d’un PRA peut donc être graduelle en fonction du besoin et du niveau de priorité consacré aux données faisant l’objet de la sauvegarde. En résumé, le plan de reprise d’activité n’a nullement besoin d’être généralisé à l’ensemble d’une infrastructure informatique et ne peut concerner qu’une seule machine virtuelle par exemple.

 

 

« * » indique les champs nécessaires

Consentement RGPD*
Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
Partager l'actualité sur
Partagez
Tweetez
Partagez

Catégories

Page Linkedin Cyrès