Sécuriser les communications par courriel est essentiel à la confiance numérique, mais choisir la méthode de chiffrement appropriée peut s’avérer complexe. Cet article examine deux normes de chiffrement du courriel : Microsoft Purview Message Encryption et Secure/Multipurpose Internet Mail Extensions (S/MIME).
Ces deux normes protègent le contenu des courriels, mais diffèrent au niveau de l’architecture de chiffrement, de la gestion des clés et de l’expérience utilisateur. Comprendre ces différences permet aux équipes informatiques de déterminer la meilleure approche pour protéger les données sensibles à différents niveaux.
Microsoft Purview Message Encryption est un service cloud basé sur Azure Rights Management (Azure RMS). Il intègre le chiffrement aux stratégies d’identité et d’autorisation.
MS Purview met l’accent sur le contrôle d’accès. Lorsqu’un e-mail répond à certains critères, par exemple si un utilisateur sélectionne « Chiffrer » ou si une règle de flux de messagerie est activée, le service sécurise le message à l’aide de clés Azure spécifiques au locataire. Les expéditeurs peuvent également appliquer des stratégies de droits, telles que « Ne pas transférer » ou « Chiffrer uniquement ».
MS Purview est pratique car il est facile à utiliser. Les utilisateurs internes peuvent l’utiliser sans difficulté, et les destinataires externes reçoivent les messages via un portail web sécurisé ou en s’authentifiant auprès de services comme Google ou Microsoft. Les clés de chiffrement étant gérées soit par le client, soit par Microsoft, MS Purview n’offre pas un chiffrement de bout en bout. Le fournisseur de services peut néanmoins déchiffrer le contenu si nécessaire pour son traitement.
L’un des principaux soucis des entreprises est que Microsoft soit basée aux États-Unis. Les agences gouvernementales américaines peuvent demander l’accès aux clés de chiffrement en vertu de lois telles que le Patriot Act. Si les autorités obtiennent ces clés, les utilisateurs pourraient perdre l’accès à leurs courriels chiffrés.
La loi américaine CLOUD Act oblige Microsoft à se conformer aux injonctions valides du gouvernement américain concernant les données clients, même si ces données sont stockées hors des États-Unis ou si les clients utilisent la méthode BYOK (Bring Your Own Key). Cela signifie que Microsoft pourrait être amené à fournir du contenu déchiffré, si possible, puisqu’il conserve l’accès aux services même lorsque les clients utilisent leurs propres clés. Les critiques soulignent que la méthode BYOK protège contre le vol de données par les locataires, mais n’empêche pas de répondre aux injonctions légales. Pour une meilleure protection, les clients devraient utiliser la méthode HYOK (Hold Your Own Key) ou choisir des fournisseurs non américains, même si l’utilisation de HYOK peut limiter certaines fonctionnalités.
Si certaines organisations peuvent y voir un avantage, cela peut s’avérer problématique pour celles qui souhaitent un contrôle total sur leurs clés de chiffrement. Compte tenu du contexte géopolitique actuel, ce risque pourrait avoir de graves répercussions sur leurs activités.
S/MIME est une norme ouverte basée sur une infrastructure à clés publiques (PKI). Contrairement à l’approche par locataire d’MS Purview, S/MIME utilise des paires de clés publiques et privées uniques pour chaque utilisateur.
Cette norme offre deux propriétés de sécurité essentielles :
Le choix entre MS Purview et S/MIME dépend de la priorité accordée au contrôle centralisé ou à la garantie cryptographique.
Pour utiliser MS Purview, vous avez besoin d’un abonnement Microsoft 365 éligible, tel que :
Ces offres incluent Azure Rights Management, que le locataire peut activer. Aucun logiciel supplémentaire n’est requis sur les appareils des utilisateurs. Les utilisateurs internes accèdent directement à leurs e-mails chiffrés dans Outlook, tandis que les destinataires externes utilisent un portail web sécurisé.
Pour les abonnements de niveau inférieur, tels que Exchange Online Plan 1/2, Microsoft 365 Business Basic/Standard ou Office 365 F1/E1/F3, vous devez acheter un module complémentaire, tel qu’Azure Information Protection Plan 1 ou le module complémentaire Microsoft Purview Message Encryption, pour activer cette fonctionnalité.
Les organisations ne disposant pas de MS Purview ou du module complémentaire Azure Information Protection Plan 1 ne peuvent pas envoyer d’e-mails chiffrés avec cette fonctionnalité. Les utilisateurs ne verront pas l’option « Chiffrer » dans Outlook ou OWA, et les règles de flux de messagerie n’appliqueront pas le chiffrement.
Les utilisateurs internes peuvent toujours recevoir et consulter dans Outlook les courriels chiffrés avec MS Purview provenant d’expéditeurs externes. Le déchiffrement dépend du système RMS de l’expéditeur et de l’authentification du destinataire.
Pour utiliser S/MIME, les éléments suivants sont requis :
Le certificat de chaque utilisateur doit être installé dans son client de messagerie, tel qu’Outlook, ou via un module complémentaire. Les utilisateurs peuvent choisir de chiffrer ou de signer les messages, ou définir le chiffrement comme comportement par défaut. Les destinataires doivent utiliser un client de messagerie compatible S/MIME et posséder leur propre certificat pour déchiffrer les messages. Aucun portail web n’est utilisé.
L’automatisation étant désormais essentielle pour gérer la réduction continue des périodes de validité SSL/TLS, elle est également cruciale pour tirer pleinement parti des avantages de sécurité du S/MIME sans charge administrative supplémentaire.
KeyTalk CKMS (Certificate and Key Management System) transforme la gestion S/MIME, auparavant complexe, en une solution automatisée et évolutive. KeyTalk élimine les difficultés traditionnelles liées à S/MIME en automatisant l’intégralité du cycle de vie des certificats, de leur émission à leur révocation, en passant par leur renouvellement.
KeyTalk CKMS répond aux défis technologiques et opérationnels souvent associés à l’adoption de S/MIME, facilitant ainsi la mise en œuvre et l’automatisation d’une architecture S/MIME complète dans toute organisation.
Pour les organisations exigeant une authentification forte et un chiffrement de bout en bout, S/MIME demeure la référence. Grâce à des solutions de gestion automatisées, les équipes informatiques peuvent mettre en œuvre ces normes de sécurité rigoureuses tout en évitant les difficultés opérationnelles liées à la gestion manuelle des certificats.
Cet article de blog a examiné Microsoft Purview Message Encryption et Secure/Multipurpose Internet Mail Extensions (S/MIME) pour le chiffrement des e-mails. Bien que les deux solutions protègent le contenu des e-mails, elles utilisent des technologies, des méthodes de chiffrement, d’authentification et des modèles de confiance différents. Leur expérience utilisateur, leur facilité de configuration et leur compatibilité au sein des organisations varient également.
MS Purview repose sur Azure Rights Management (Azure RMS), ce qui simplifie son installation et son utilisation avec Microsoft 365. Cependant, il n’offre pas un chiffrement de bout en bout complet, car Microsoft peut toujours accéder aux messages. Compte tenu de l’évolution de la situation géopolitique, cette approche doit être réexaminée avec attention, car les agences gouvernementales peuvent avoir accès à toute information sensible contenue dans les courriels et, par conséquent, impacter les opérations commerciales.
S/MIME utilise une infrastructure à clé publique (PKI) pour fournir un chiffrement plus fort et des signatures numériques, mais il est plus difficile à gérer et l’expéditeur et le destinataire doivent utiliser des certificats.
de KeyTalk facilite l’utilisation de S/MIME en automatisant la gestion des certificats, en simplifiant l’installation et la configuration, en prenant en charge les destinataires externes et en contribuant à améliorer la sécurité et la conformité.
——-
Vous avez des questions concernant cet article ou la manière dont KeyTalk CKMS simplifie la gestion et l’automatisation des certificats numériques ? Notre équipe d’assistance est disponible 24 h/24 et 7 j/7 pour vous accompagner dans la mise en œuvre d’une architecture PKI entièrement automatisée, par e-mail ou via notre page de contact .
L’équipe KeyTalk
