Gmail est souvent loué pour sa commodité et son intégration transparente avec G Suite (anciennement Google Apps), mais ses fonctions de sécurité sont tout aussi impressionnantes. Le cryptage natif et les contrôles administratifs étendus permettent aux entreprises et aux utilisateurs de sécuriser Gmail, en réduisant les risques associés aux pirates informatiques ainsi qu’aux initiés malveillants.
Le cryptage Gmail a certes ses limites, mais il peut être facilement renforcé par une couche supplémentaire de cryptage côté client, via des modules complémentaires tiers. Le chiffrement par défaut de Gmail protège les emails autant que possible. Google crypte les e-mails à la fois lorsqu’ils sont stockés (données au repos) et lorsqu’ils sont envoyés (données en mouvement).
Cryptage TLS
Comme la plupart des fournisseurs soucieux de la sécurité, Google utilise Transport Layer Security (TLS) pour crypter les e-mails en transit. Il fournit un tuyau crypté par lequel vos courriels peuvent voyager. Mais TLS dépend à la fois du fournisseur de messagerie de l’expéditeur et du destinataire, et ne fonctionne donc pas toujours.
Lorsque vous envoyez un e-mail crypté par Gmail, votre navigateur contacte le serveur de Google et crée une connexion sécurisée. Le message est crypté, envoyé au serveur et décrypté. Le serveur répète le processus avec le serveur suivant, jusqu’à ce qu’il atteigne le serveur de votre destinataire.
Pour éviter l’exposition des e-mails non cryptés, Google avertit les utilisateurs lorsque TLS ne fonctionne pas ; un symbole de cadenas rouge ouvert signifie qu’un message entrant ou sortant n’est pas crypté.
Les utilisateurs de Google for Work peuvent également exiger TLS, empêchant leur messagerie d’envoyer ou d’accepter des messages qui ne peuvent pas être sécurisés par le cryptage Gmail. Vous pouvez exiger TLS pour tous les messages entrants, tous les messages sortants ou seulement certains domaines et adresses électroniques.
Gmail Confidential
Gogle a récemment déployé le mode confidentiel de Gmail pour augmenter ses services de cryptage TLS. Le mode confidentiel est une fonctionnalité qui permet aux utilisateurs de mettre en œuvre une gestion de base de l’accès à leur courrier électronique. Cela signifie que les utilisateurs pourront définir des dates d’expiration pour les messages, révoquer l’accès de certains utilisateurs ou empêcher des actions telles que le transfert et l’impression.
Les points faibles du chiffrement Gmail
Si les deux parties utilisent le chiffrement Gmail, le risque que votre message soit compromis est très faible. Cependant, si le service de messagerie de votre destinataire n’utilise pas TLS, les messages ne seront pas chiffrés et, dans certains cas, le message ne sera tout simplement pas envoyé.
Même si les deux parties utilisent TLS, le message pourrait passer par un serveur piraté ou mal configuré en dehors
du réseau de Google, permettant à un tiers de le déchiffrer et de le lire.
De même, le contrôle d’accès fourni par Gmail Confidential améliore certainement la sécurité – mais il ne va pas assez loin. Il offre une visibilité limitée aux expéditeurs et aux administrateurs, ne prend pas en compte les problèmes de conformité ou d’accès des tiers et n’ajoute aucun chiffrement supplémentaire aux données des e-mails. Vos destinataires ne pourront peut-être pas transférer cet e-mail, mais ils peuvent contrôler entièrement vos données s’ils les téléchargent ou les transfèrent hors de Gmail.
En d’autres termes, le réseau de Gmail est sécurisé. Mais si vos données sensibles ne sont pas correctement configurées au sein du réseau ou le quittent entièrement, les données ne sont plus cryptées et sont exposées au risque.
Prenez la sécurité de Gmail un peu plus loin
La meilleure façon de sécuriser vos données est la protection centrée sur les données. La sécurité centrée sur les données se concentre sur la protection des données elles-mêmes, quel que soit l’endroit où elles sont hébergées, des applications au corps d’un e-mail.
Le chiffrement de bout en bout de Gmail
Le chiffrement de bout en bout est au cœur des stratégies de sécurité centrées sur les données. Le cryptage de bout en bout enveloppe chaque élément de données dans une couche de protection à tout moment, pas seulement en transit et au repos ; il garantit également que seuls l’expéditeur et le destinataire peuvent voir le contenu d’un e-mail. Cette protection reste avec vos données, où qu’elles aillent, même après avoir quitté la plateforme de messagerie.
Si vos données elles-mêmes ne sont pas cryptées et qu’elles reposent sur le cryptage TLS, elles présentent un risque d’exposition plus élevé, ce qui peut entraîner des problèmes de conformité. La mise en œuvre du chiffrement de bout en bout contribue à garantir que votre organisation est entièrement conforme aux réglementations en matière de sécurité des données, qu’il s’agisse de règles sectorielles, de HIPAA, de FERPA, de CJIS ou de GDPR.
En outre, le chiffrement de bout en bout à partir d’un plugin tiers empêche l’exposition de vos données à votre fournisseur de plateforme. Les données cryptées sont décryptées à l’aide de clés de cryptage qui déchiffrent ces données. Lorsque les clés et les données sont stockées au même endroit ou par le même fournisseur, ce dernier peut utiliser ces clés pour décrypter vos données si nécessaire. Cela présente des risques inhérents, comme la divulgation obligatoire ou l’accès à vos courriels par un initié malveillant. La meilleure pratique consiste donc à stocker les clés de chiffrement et le contenu sensible séparément : Si une entreprise, telle que Google, contrôle à la fois vos données et vos clés de chiffrement, elle peut accéder à vos données non chiffrées à votre insu.
Mettre en œuvre le chiffrement avec un fournisseur tiers
Pour véritablement éliminer les risques et développer une stratégie de protection complète des e-mails, renforcez le chiffrement natif de Gmail avec une application tierce qui fournit un chiffrement fort et centré sur les données. Cela garantit que les utilisateurs non autorisés – tels que les pirates, Google ou même votre fournisseur tiers – ne sont pas en mesure d’accéder à votre contenu.
Le cryptage natif de Gmail est automatique, il ne nécessite donc aucune configuration, et il fonctionne avec la plupart des destinataires. Votre module complémentaire de cryptage des e-mails doit présenter une facilité d’utilisation comparable et une interopérabilité encore meilleure. Recherchez un fournisseur qui offre un cryptage en un clic et qui peut envoyer des e-mails cryptés à n’importe quel destinataire, même si celui-ci n’a pas installé le plug-in de cryptage. Le cryptage doit fonctionner comme un module complémentaire de navigateur et s’installer rapidement avec peu ou pas de configuration.
Votre plugin de cryptage Gmail doit également remédier aux faiblesses de TLS. Choisissez un cryptage côté client qui protège les e-mails et les pièces jointes, plutôt que de se contenter de la connexion entre les serveurs. Les e-mails chiffrés côté client restent chiffrés jusqu’à ce que votre destinataire prévu les ouvre. Même si un pirate informatique intercepte un message sécurisé en transit, il ne pourra pas le lire.
Cryptage : Options traditionnelles et innovantes
S/MIME et PGP Gmail Encryption Plugins
S/MIME et Pretty Good Privacy (PGP) sont deux options traditionnelles pour une sécurité accrue du courrier électronique. Les deux fournissent une sécurité centrée sur les données via différentes méthodes.
- S/MIME vous permet de signer numériquement votre courriel avec une clé privée. Le destinataire vérifie ensuite le message avec votre clé publique, ce qui améliore la sécurité et empêche le phishing. Cependant, pour envoyer et recevoir des e-mails chiffrés, l’expéditeur et le destinataire doivent tous deux disposer du certificat S/MIME de l’autre.
- Les plugins GPP offrent l’inverse : vous chiffrez votre e-mail avec la clé publique du destinataire, et le destinataire déchiffre l’e-mail avec sa clé privée. L’un ou l’autre de ces services présente des défis complexes pour votre gestion des clés de chiffrement.
Les deux plugins fournissent une couche supplémentaire de chiffrement. Cependant, ils nécessitent tous deux que les utilisateurs échangent manuellement des clés de chiffrement. Cela ajoute un risque de sécurité important : si vos clés se retrouvent dans de mauvaises mains à la suite de cet échange, vos données sont soudainement non protégées. De plus, cela limite considérablement la facilité d’utilisation pour les utilisateurs finaux : cela ralentit le processus de messagerie, nécessite davantage de connaissances techniques et ajoute des étapes supplémentaires pour qu’un utilisateur final puisse lire un courriel. La sécurité supplémentaire augmente considérablement la friction dans l’utilisation des e-mails.
Solution de Virtru
Virtru fournit un chiffrement complet de bout en bout pour vos e-mails et toutes les données qu’ils contiennent, conçu spécifiquement pour Gmail. Les services de cryptage de Virtru sont intégrés directement dans Gmail pour une plus grande facilité d’utilisation : envoyez et recevez des e-mails comme vous le feriez normalement, mais avec une protection robuste centrée sur les données incluse. Vos utilisateurs finaux ne seront pas affectés – il n’y a pas d’étapes supplémentaires ou de processus manuels encombrants. Le service offre également un contrôle administratif important qui va au-delà de Gmail Confidential, avec une véritable visibilité et des capacités de gestion et d’audit complètes
Vous pouvez également être tranquille en sachant que des yeux indésirables ne pourront pas voir vos données : La gestion des clés de chiffrement de Virtru vous permet d’héberger vos clés de chiffrement séparément de la plateforme de Virtru. Personne, de Virtru à Gmail en passant par les menaces extérieures, ne pourra accéder à vos données sans autorisation. Vous serez également averti si des utilisateurs non autorisés tentent d’accéder à vos données. Si vous soupçonnez une violation de données, Virtru vous permet de suspendre tout accès aux données jusqu’à ce que la menace soit atténuée.
Prenez votre protection un peu plus loin en chiffrant votre Google Drive et les autres apps G Suite, qui reposent toutes sur le chiffrement TLS. Ainsi, la protection voyage avec vos données sensibles, même lorsqu’elles quittent le serveur.
Obtenez le guide de la protection de Gmail ici.
.