Un risque de piratage avéré

Quoi de plus simple pour les pirates informatiques que de s’emparer de vos e-mails aux contenus sensibles ou d’usurper votre identité ? En l’absence de signature électronique, rien ne garantit que le contenu d’un e-mail n’a pas été altéré ou que son expéditeur est bien la personne qu’il prétend être. Un hacker peut en effet manipuler les feuilles de style CSS hébergées sur un serveur tiers dans le but de modifier le contenu d’un e-mail. Les cybercriminels peuvent également subtiliser votre serveur de messagerie pour envoyer frauduleusement des e-mails infectés de virus en votre nom et à partir de votre boîte mail.

Autre technique de piratage de plus en plus répandue et en tête du palmarès des cybermenaces, l’hameçonnage ou « phishing » : dans cette forme d’escroquerie, les fraudeurs usurpent l’identité d’une personne, d’une entreprise ou d’une organisation, dans le but d’obtenir des informations personnelles ou confidentielles, telles des identifiants bancaires ou des mots de passe. Les e-mails reçus dans ce cadre semblent en effet émaner de sites Internet familiers ou d’organismes officiels (banque, impôts, CAF, Ameli, etc.), gagnant ainsi la confiance des destinataires. Afin de sécuriser les e-mails de l’ensemble de vos collaborateurs, il vous faudra créer une signature électronique et la mettre en place dans votre organisation.

 

La signature électronique de mail : une pratique loin d’être anodine

De plus en plus répandue, la création de signature électronique ne doit pas pour autant être confondue avec la signature d’e-mail ajoutée à la fin de vos messages, carte de visite virtuelle qui contient votre nom, adresse, numéro de téléphone, etc. Ce type de signature, qui peut même être ajoutée automatiquement à chacun de vos e-mails, par le biais de la configuration de vos paramètres de messagerie, ne garantit en aucun cas la sécurisation des messages que vous envoyez sur le web. Il s’agit en effet d’une simple signature textuelle : à ce titre, elle peut être copiée, altérée, et le contenu de votre e-mail, transformé. Cette signature ne vaut donc pas preuve d’authenticité. Les pirates informatiques n’auront en outre aucun mal à modifier la signature que vous apposez classiquement au bas d’un e-mail. Par conséquent, le destinataire de vos messages ne pourra avoir la certitude que vous en êtes bien l’expéditeur.

Seule solution, choisir une signature électronique de mail pour votre entreprise. En droit français, créer une signature numérique doit permettre à une entreprise de répondre à minima à deux objectifs essentiels : être en mesure d’identifier formellement le signataire d’un document numérique et garantir l’intégrité de ce document, dont les données doivent être exemptes de toute altération ou modification. En adoptant cette nouvelle signature pour les e-mails de votre organisation, vous vous assurez que l’identité de vos collaborateurs ne sera pas usurpée et que des personnes malveillantes n’intercepteront pas leurs e-mails pour en modifier le contenu.

 

Comprendre le principe de non-répudiation

Utiliser un générateur de signature électronique représente un enjeu majeur de la transformation numérique des entreprises. Les e-mails sont très fréquemment les vecteurs de transmission d’informations personnelles ou sensibles, notamment via les pièces jointes qui y sont attachées. Tous types de documents naviguent donc sur le web, au risque d’être captés par les cybercriminels pour ensuite être détournés de leur objectif et utilisés à votre insu : contrat de travail, de crédit, compromis de vente immobilier, souscription d’assurance-vie, etc.

Les données qui transitent par le biais de vos e-mails doivent rester confidentielles et intègres. Selon le principe de non-répudiation, les contrats signés via Internet ne peuvent pas être remis en cause par les parties. Et ceci vaut également pour les e-mails signés électroniquement. À l’évidence, ce principe est particulièrement important à l’heure de la montée en puissance du commerce en ligne et de la numérisation massive des usages. Concrètement, comment fonctionne-t-il ? Il s’agit de pouvoir s’assurer que l’expéditeur est bien la partie qui prétend avoir envoyé le message : on parle alors de non-répudiation de l’origine. Ici encore, il va sans dire que votre signature par défaut, automatisée ou non, ne vous protège pas du risque de répudiation. Seul l’emploi d’une technologie de signature par certificat électronique peut vous en prémunir.

 

La signature électronique de mail Certigna : le Certigna ID RGS*

Certigna, autorité de certification respectant le référentiel général de sécurité (RGS), norme française, vous propose une solution de signature électronique d’e-mails basée sur la délivrance de certificats de niveau RGS*. Ce certificat numérique contient l’ensemble de vos informations professionnelles (nom, prénom, e-mail, nom de société, etc.) et agit comme une carte de visite virtuelle. Le certificat Certigna ID RGS* est disponible sous format logiciel : il permet de signer vos e-mails afin que leurs destinataires n’aient aucun doute quant à l’identité de leur émetteur ou à l’intégrité de leur contenu. Cette solution vous permet ainsi d’écarter le risque de phishing ou d’usurpation d’identité.

La solution de signature électronique de mail Certigna, proposée à partir de 35 € HT/an, vous sera délivrée dans les 5 jours ouvrés et inclut une refabrication gratuite dans un délai de trois mois. Le certificat Certigna ID RGS* est compatible Windows et Mac et est également qualifié selon la norme européenne ETSI EN 319 411-1.

La cybersécurité est un sujet stratégique pour l’ensemble des entreprises et administrations qui déploient une énergie considérable pour mettre en œuvre des dispositifs afin de se protéger efficacement. Dans ce contexte, la cybersécurité revêt différents visages en fonction du sujet qu’elle aborde. Dans notre cas, nous allons nous concentrer sur les documents et échanges électroniques, en évoquant trois briques fondamentales qui sont le certificat numérique personnel, l’horodatage et le certificat SSL/TLS.


Le certificat numérique RGS ou eIDAS pour s’identifier sur le web de façon sécurisée

Ce certificat personnel est une réelle carte d’identité numérique universelle. Reconnu dans les logiciels de messagerie, ce certificat permet de certifier ses emails et de lui apporter une valeur juridique. Le destinataire peut en effet vérifier l’identité de l’émetteur (en cliquant sur une enveloppe jointe au mail) ainsi que l’intégrité du contenu du mail. Il sera également possible de garantir la confidentialité du contenu du mail en utilisant le certificat (de chiffrement) du destinataire du mail. Enfin, ce certificat permet de signer éléctroniquement des documents et des contrats en attribuant à cette signature une valeur  légale.

L’horodatage qualifié pour garantir l’intégrité et la preuve d’antériorité d’un document

Pour un document numérique, l’horodatage qualifié permet d’apposer une date fiable sur un fichier. Il permet également de vérifier l’intégrité de ce fichier. Ainsi toute altération volontaire ou involontaire de ce fichier sera détectée.

Pour un document numérique, l’horodatage qualifié permet d’apposer une date fiable sur un fichier. Il permet également de vérifier l’intégrité de ce fichier. Ainsi toute altération volontaire ou involontaire de ce fichier sera détectée.

Cette notion de date certaine est importante dans le cadre de la signature de contrat, de la réception d’un pli sous forme électronique, de la certification des transactions bancaires ou de l’émission de factures.

Le certificat SSL/TLS normé pour authentifier un site et sécuriser les échanges avec ce site

Ce certificat permet à un site internet de passer de HTTP à HTTPS. Avec cette technologie, l’internaute peut vérifier l’authenticité du site et rendre confidentielles les données échangées avec le site, telles que des mots de passe ou des données bancaires.

En cliquant sur un lien situé dans la barre d’adresse (en général ce lien est un cadenas), l’internaute accède à des informations primordiales comme le nom du propriétaire du site, l’Autorité de Certification et les dates de validité du certificat.

Depuis quelques mois, les grands moteurs de recherche tels que Google privilégient le référencement des sites qui sont en HTTPS garantissant ainsi aux internautes une meilleure protection contre le phishing ou les sites frauduleux. Les trois technologies exposées ci-dessus sont à mettre en œuvre dans une démarche de sécurisation de vos documents et de vos échanges électroniques. Encouragés par les pouvoirs publics, voire rendus obligatoires dans certains cas, ces procédés vont continuer de se développer à grande échelle et ce, notamment grâce à l’émergence de nombreux nouveaux usages.

Une recommandation : faire l’acquisition de cers solutions auprès de Tiers de Confiance agréés au niveau français ou européen.

Pour en savoir plus sur les solutions Certigna, contactez-nous.

Un support disponible pour
répondre à toutes vos questions

Consulter le support
Recevez les actualités de Certigna par email
Inscrivez-vous à la newsletter
v1.3.0-pp