Placé à la croisée de nombreux usages dans l’entreprise et premier vecteur de cyber attaques, l’email est soumis à de nombreuses réglementations et pratiques sensibles. Dont le RGPD qui s’applique depuis 25 mai 2018.
L’email est un courrier électronique, message édité par une personne et destiné à une autre personne, qui transite d’un serveur de messagerie vers un second serveur de messagerie via un réseau informatique.
Cette définition simplifiée de l’email suffit à poser la problématique sécuritaire de ce procédé de communication qui détient deux records : celui d’être le plus utilisé dans l’entreprise pour communiquer, et celui d’être le plus menacé et menaçant puisque l’email est aujourd’hui le premier vecteur d’attaque utilisé par les pirates (1).
La cybersécurité adaptée au RGPD
L’email doit donc être placé au cœur de la stratégie de cybersécurité des organisations, à la fois parce qu’il est vital pour communiquer en interne comme en externe, qu’il est un outil personnel qui concerne tous les collaborateurs et s’étend sur tous les individus qui composent l’écosystème de l’entreprise, et qu’il est la cible des pirates qui cherchent à attaquer l’entreprise pour détruire ou dérober ce qui fait désormais sa valeur, les données. La messagerie doit en particulier être protégée des abus du phishing (hameçonnage) et du spear-phishing ou encore des malwares introduits pour faire de l’espionnage industriel, c’est-à-dire de toute technique qui cherche à dérober des données pour les utiliser à des fins frauduleuses.
En parallèle de ce contexte de protection des données contre la cybercriminalité vient s’ajouter de nouvelles règles qui concernent la protection des données personnelles avec la mise en application du RGPD (Règlement Général sur la Protection des Données) ou GDPR (General Data Protection Regulation). Depuis le 25 mai 2018, toute entreprise européenne, ou qui échange avec des citoyens relevant de la Communauté européenne, est soumise au Règlement européen RGPD. Celui-ci impose notamment à l’entreprise de protéger les données personnelles qu’elle détient dans ses bases de données, que ce soient les données des clients, des fournisseurs, des salariés ou de toute personne en relation avec elle. Il définit également deux concepts auxquels les entreprises doivent maintenant se soumettre : le « Privacy by Design (tout nouveau processus doit être conçu au travers du prisme de la cybersécurité) et le « Privacy by Default (toute donnée stockée doit au préalable avoir eu un traitement à minima de pseudonimisation, c’est à dire ne permettant pas l’identification formelle d’une personne).
Cela signifie que les entreprises doivent mettre en place les moyens pour protéger les données personnelles qu’elles détiennent et garantir qu’elles ne seront pas utilisées en dehors du cadre pour lequel elles ont été collectées, ni de les diffuser à des tiers sans le consentement éclairé des personnes concernées.
Dans ce nouveau cadre réglementaire, l’entreprise doit donc prouver qu’elle a bien pris les mesures appropriées pour que les données qu’elle détient ne risque pas d’être piratées. D’où la nécessité de protéger la principale porte d’entrée vers le piratage des données, à savoir la messagerie électronique, et ceci est encore plus indispensable pour les entreprises qui utilisent des plateformes applicatives sur le Cloud telles que G Suite ou Office 365. La mise en place de solutions qui permettent de se protéger contre la cybercriminalité, et notamment de protéger sa messagerie, est donc totalement adaptée à ce nouveau contexte et apporte un élément de preuve de la mise en conformité au RGPD.
Protéger ses emails pour être en conformité au RGPD : 4 éléments clés
En protégeant sa messagerie, c’est-à-dire ses flux d’emails reçus, envoyés mais également échangés au sein de l’entreprise, on apporte une réponse à la demande du législateur concernant la garantie de protection des données personnelles. Plus précisément, protéger ses emails a un impact sur différents éléments demandés par le législateur : protéger les données, tracer les données et restreindre les accès, se prémunir contre la fuite de données, et enfin gérer les identités des utilisateurs.
Protéger les données
La mise en place d’une solution de protection des emails permet de bloquer toutes les tentatives d’attaques, que ce soient des malwares, phishing, spear phishing, et donc d’éviter le vol de données isolées ou de masse. L’important est de se doter d’une solution qui permet de bloquer les menaces connues mais surtout les menaces inconnues et donc d’avoir une protection contre les attaques 0 days (attaques qui exploitent des failles qui n’ont pas encore été révélées et documentées). En matière de sécurité, une seule attaque réussie peut avoir des conséquences importantes ! Des solutions telles que la nôtre, basée sur un filtrage heuristique et des algorithmes de machine learning et d’intelligence artificielle, permettent de bloquer ces nouvelles attaques contrairement aux solutions utilisant des technologies traditionnelles basées sur la signature ou la réputation de l’adresse IP.
Tracer les données et restreindre les accès
La traçabilité est assurée par les journaux de filtrage pour les emails, les journaux d’événements, et des statistiques aussi bien précises que sur de longues périodes. Les statistiques reposent sur le déploiement de mesures de consommation de données (temps de vie de la donnée, workflow de suppression et migration, contrôle des accès, etc.).
Se prémunir contre la fuite des données
Pour se prémunir contre la fuite des données il faut à la fois sensibiliser les utilisateurs et se doter de solutions de protection efficaces notamment contre le phishing et le spear phishing.
La sensibilisation et la vigilance doivent être au cœur de la sécurisation des données car les utilisateurs sont les premiers visés par les attaques et considérés par les pirates comme le maillon faible. Ce sont donc les utilisateurs qu’ils essaient de tromper pour franchir les barrières de défense de l’entreprise et accéder aux données.
Se prémunir contre la fuite des données c’est également se doter d’une solution de protection des emails qui soit capable de détecter ce type de menace et bloquer toute attaque visant à voler les données. Elle doit par exemple offrir une analyse des liens présents dans les emails, y compris au moment où ils sont ouverts (anti-phishing). Ou encore proposer une protection spécifique contre les usurpations d’identité et le vol de données (anti-spear phishing).
Gérer les identités des utilisateurs
L’authentification est un facteur clé de la protection des individus et de l’entreprise, dont la nécessité s’étend bien au-delà de l’email. Au niveau de la protection des emails, il faut pouvoir s’appuyer sur des règles de filtrage par utilisateur (notamment pour détecter les attaques ciblées de spear phishing), et une authentification pour l’accès à chaque quarantaine utilisateur.
Rappel des principaux droits associés au RGPD :
- Droit à l’accès: Savoir où et dans quel but les données sont utilisées. Possibilité d’obtenir une copie électronique des données gratuitement.
- Droit à la limitation du traitement: Droit de demander la limitation du traitement s’il y a un doute sur l’exactitude des données, sur la licéité ou la nécessité du traitement.
- Droit à la rectification: Droit de demander la rectification de données personnelles inexactes ou incomplètes.
- Droit à l’effacement: Les données personnelles doivent être supprimées et le traitement et la diffusion stoppée.
- Droit d’opposition: Le consentement doit être clairement exprimé et il doit être possible de le retirer aussi facilement qu’il a été donné.
- Droit à la portabilité des données: Droit de recevoir les données personnelles précédemment fournies à une machine et de les transmettre à un autre organisme.
L’entreprise va s’efforcer de respecter ces droits – le RGPD repose sur la démarche, c’est à dire la volonté affichée dans les faits de protéger les données personnelles – et pour cela elle est soumise dans les textes du RGPD à des obligations.
Rappel des principales obligations :
- Privacy by design and by default: Les données doivent être protégées par défaut dès la conception et à chaque utilisation. L’entreprise ne peut conserver que les données nécessaires et limiter l’accès aux personnes qui traitent les données.
- Tenir un registre des traitements: Toutes les exigences et les traitements des données personnelles doivent être enregistrés.
- Nommer un DPO (Délégué à la protection des données personnelles): Un DPO (Data Protection Officer) doit être assigné pour les organismes publics et ceux dont l’activité de base les amènent à traiter à grande échelle des données dites « sensibles » (art 37).
- Informer en cas d’incident: Il est obligatoire d’informer les personnes concernées (dont les données sont en fichier) des failles susceptibles d’entrainer un risque pour les données, sous 72 heures.
1 - Dark Reading: enquête The Impact of a Security Breach 2017
