Même l'entreprise la plus expérimentée et la mieux préparée peut être prise au dépourvu par une compromission du courrier électronique. C'est pourquoi il est essentiel d'élaborer un modèle de conformité efficace en matière de sécurité des e-mails.
Qu'est-ce que la conformité de la sécurité des e-mails ?
Sécurité des e-mails La conformité est le processus de surveillance, de maintien et d'application des politiques et des contrôles visant à garantir la confidentialité des communications électroniques. Cela peut se faire par le biais d'audits réguliers des e-mails ou d'efforts de surveillance continus.
Chaque organisation devrait disposer d'un modèle de conformité à la sécurité (SCM) documenté qui décrit ses politiques, procédures et activités liées à la conformité de la sécurité des e-mails. Cela permet de s'assurer qu'aucune violation de la communication ne se produit au sein de votre organisation et de retenir les partenaires commerciaux qui peuvent se méfier des entreprises ayant de mauvaises pratiques en matière de sécurité.
Comprendre les règles de conformité en matière de sécurité du courrier électronique pour les entreprises
Les lois sur la conformité de la sécurité des e-mails servent de cadre juridique pour garantir la sécurité et la confidentialité des informations stockées dans les e-mails. Ces lois sont appliquées par divers gouvernements nationaux et constituent une préoccupation croissante pour les entreprises de toutes formes et de toutes tailles.
Nous vous présentons ci-dessous un bref aperçu des exigences imposées aux entreprises qui traitent des communications par courrier électronique, ainsi qu'un aperçu général des différents cadres juridiques applicables à respecter pour établir une conformité adéquate en matière de sécurité du courrier électronique pour votre entreprise.
a. HIPAA/SOC 2/FedRAMP/PCI DSS
La loi sur la portabilité et la responsabilité en matière d'assurance maladie(HIPAA), les normes de sécurité des systèmes d'information fédéraux, 2e édition (SOC 2), FedRAMP et PCI DSS sont autant de réglementations qui obligent les organisations à protéger la confidentialité et la sécurité des informations de santé protégées par voie électronique (ePHI), c'est-à-dire toute information transmise par voie électronique entre des entités couvertes ou des associés commerciaux.
Ces lois exigent des entités couvertes qu'elles mettent en œuvre des politiques, des procédures et des contrôles techniques adaptés à la nature des données qu'elles traitent, ainsi que d'autres mesures de protection nécessaires pour assumer leurs responsabilités en vertu de l'HIPAA et du SOC 2. Ces réglementations s'appliquent à toutes les entités qui transmettent ou reçoivent des RPS sous forme électronique au nom d'une autre entité ; cependant, elles s'appliquent également à tous les associés commerciaux et autres entités qui reçoivent des RPS d'une entité couverte.
À quelle entreprise ce règlement s'applique-t-il ?
Ce règlement s'applique à toute entreprise qui collecte, stocke ou transmet des PHI (Protected Health Information) par voie électronique. Il s'applique également à toute entreprise qui participe à la fourniture d'un dossier médical électronique couvert (eHealth Record) ou d'autres services de soins de santé couverts par voie électronique. Ces règlements sont conçus pour protéger à la fois la vie privée des patients et la sécurité de leurs données contre tout accès non autorisé par des tiers.
b. GDPR
Le règlement général sur la protection des données (RGPD) est un règlement mis en œuvre par l'Union européenne. Il vise à protéger les données personnelles des citoyens de l'UE, et a été qualifié de "loi sur la protection de la vie privée la plus importante depuis une génération".
Le GDPR exige des entreprises qu'elles soient transparentes sur la manière dont elles utilisent les données des clients, et qu'elles fournissent des politiques claires sur la manière dont elles traitent ces données. Il exige également des entreprises qu'elles divulguent les informations qu'elles collectent et stockent sur les clients, et qu'elles offrent aux individus des moyens faciles d'accéder à ces informations. En outre, le GDPR interdit aux entreprises d'utiliser les données personnelles à des fins autres que celles pour lesquelles elles ont été collectées.
À quelle entreprise ce règlement s'applique-t-il ?
Il s'applique à toutes les entreprises qui collectent des données dans l'UE et exige que les entreprises obtiennent le consentement explicite des personnes dont elles recueillent les informations personnelles. Le GDPR prévoit également des amendes en cas de non-conformité. Vous devez donc vous mettre en ordre avant de commencer à collecter des informations personnelles.
c. CAN-SPAM
CAN-SPAM est une loi fédérale adoptée par le Congrès en 2003 qui exige que les courriers électroniques commerciaux comportent certaines informations sur leur origine, notamment l'adresse physique et le numéro de téléphone de l'expéditeur. La loi exige également que les messages commerciaux comportent une adresse de retour, qui doit être une adresse du domaine de l'expéditeur.
La loi CAN-SPAM a ensuite été mise à jour pour inclure des exigences plus strictes pour les courriers électroniques commerciaux. Les nouvelles règles exigent que les expéditeurs de courriels s'identifient clairement et précisément, fournissent une adresse de retour légitime et incluent un lien de désabonnement au bas de chaque courriel.
Pour plus d'informations sur la conformité juridique et le droit de la cybercriminalité, envisagez d'explorer des ressources telles que Lawrina, qui vous aidera à protéger les informations sensibles et à respecter les cadres juridiques en constante évolution dans le domaine de la cybersécurité.
À quelle entreprise ce règlement s'applique-t-il ?
Le CAN-SPAM Act s'applique à tous les messages commerciaux, y compris ceux envoyés par les entreprises aux consommateurs et vice-versa, pour autant qu'ils répondent à certaines exigences. Cette réglementation vise à protéger les entreprises contre le spamming, c'est-à-dire l'envoi d'un message dans l'intention de vous faire cliquer sur un lien ou d'ouvrir une pièce jointe. La loi protège également les consommateurs contre le spam envoyé par des entreprises qui tentent de leur vendre quelque chose.
Comment élaborer un modèle de conformité à la sécurité du courrier électronique pour votre entreprise ?
Le modèle de conformité à la sécurité de la messagerie électronique est conçu pour vérifier que les serveurs et les applications de messagerie d'une organisation sont conformes aux lois, normes sectorielles et directives applicables. Le modèle aide les organisations à établir des politiques et des procédures qui assurent la collecte et la protection des données des clients par la détection, la prévention, l'investigation et la remédiation des incidents de sécurité potentiels.
Vous apprendrez ci-dessous comment construire un modèle qui contribue à la sécurité des e-mails, ainsi que des conseils et des technologies avancées pour aller au-delà de la conformité.
1. Utiliser une passerelle de messagerie sécurisée
Une passerelle de sécurité du courrier électronique est une ligne de défense importante pour protéger les communications électroniques de votre entreprise. Elle permet de s'assurer que seul le destinataire prévu reçoit l'e-mail, et elle bloque également les spams et les tentatives de phishing.
Vous pouvez utiliser la passerelle pour gérer le flux d'informations entre votre organisation et ses clients. Vous pouvez également tirer parti de fonctionnalités telles que le cryptage, qui permet de protéger les informations sensibles envoyées par courrier électronique en les cryptant avant qu'elles ne quittent un ordinateur et en les décryptant lorsqu'elles arrivent sur un autre ordinateur. Cela peut contribuer à empêcher les cybercriminels de lire le contenu des courriels ou des pièces jointes envoyés entre différents ordinateurs ou utilisateurs.
Une passerelle de messagerie sécurisée peut également offrir des fonctions telles que le filtrage des spams et l'archivage, qui sont toutes essentielles pour maintenir une atmosphère organisée et conforme dans votre entreprise.
2. Exercer la protection post-livraison
Il existe plusieurs façons d'élaborer un modèle de conformité à la sécurité des e-mails pour votre entreprise. La méthode la plus courante consiste à utiliser le modèle pour identifier les risques potentiels, puis à appliquer la protection post-livraison (PDP) à ces risques.
La protection après livraison est le processus qui consiste à vérifier qu'un courriel a été remis à son destinataire. Il s'agit notamment de s'assurer que le destinataire peut se connecter à son logiciel client de messagerie et vérifier la présence du message, ainsi que de confirmer que l'e-mail n'a pas été filtré par des filtres anti-spam.
La protection après livraison peut être obtenue en disposant d'un réseau ou d'un serveur sécurisé où vos courriels sont stockés, puis en les cryptant avant qu'ils ne soient remis aux destinataires. Il est important de noter que seule une personne autorisée doit avoir accès à ces fichiers afin qu'ils ne puissent être décryptés que par elle.
3. Mettre en œuvre des technologies d'isolation
Un modèle de conformité à la sécurité des e-mails est construit en isolant tous les points d'extrémité de vos utilisateurs et leur trafic web. Les technologies d'isolation fonctionnent en isolant tout le trafic web d'un utilisateur dans un navigateur sécurisé basé sur le cloud. Cela signifie que les courriers électroniques envoyés par le biais de la technologie d'isolation sont cryptés côté serveur et décryptés côté client dans un poste "isolé".
Par conséquent, aucun ordinateur externe ne peut accéder à leurs courriels, et ils ne peuvent télécharger aucun programme ou lien malveillant. Ainsi, même si quelqu'un clique sur un lien dans un courriel qui contient un logiciel malveillant, ce dernier ne pourra pas infecter son ordinateur ou son réseau (car le lien malveillant s'ouvrira en lecture seule).
Les technologies d'isolation permettent aux entreprises de se conformer facilement aux réglementations telles que PCI DSS et HIPAA en mettant en œuvre des solutions de messagerie électronique sécurisées qui utilisent le cryptage basé sur l'hôte (HBE).
4. Créer des filtres anti-spam efficaces
Le filtrage des e-mails consiste à vérifier les messages électroniques par rapport à une liste de règles avant qu'ils ne soient transmis au système de réception. Les règles peuvent être définies par les utilisateurs ou automatiquement en fonction de certains critères. Le filtrage est généralement utilisé pour vérifier que les messages envoyés par certaines sources ne sont pas malveillants ou ne contiennent pas de contenu inattendu.
La meilleure façon de créer un filtre anti-spam efficace est d'analyser comment les spammeurs utilisent des techniques qui rendent leurs messages difficiles à détecter avant qu'ils n'atteignent la boîte de réception des destinataires. Cette analyse devrait vous aider à développer des filtres qui identifieront le spam et l'empêcheront d'atteindre la boîte de réception.
Heureusement, il existe des solutions (comme DMARC) qui automatisent une grande partie de ce processus en permettant aux entreprises de définir des règles spécifiques pour chaque message, de sorte que seuls ceux qui correspondent à ces règles soient traités par les filtres.
5. Mettre en œuvre les protocoles d'authentification du courrier électronique
Le site DMARC est une étape importante pour garantir que vos utilisateurs reçoivent les messages qu'ils attendent de votre entreprise et que les informations sensibles ne tombent jamais entre des mains non intentionnelles.
Il s'agit d'un protocole d'authentification des e-mails qui permet aux propriétaires de domaines de rejeter les messages qui ne répondent pas à certains critères. Il peut être utilisé comme moyen de prévenir le spam et le phishing, mais il est également utile pour empêcher l'envoi d'e-mails trompeurs à vos clients.
Si vous élaborez un modèle de conformité de la sécurité des courriers électroniques pour votre entreprise, vous avez besoin de DMARC pour protéger votre marque contre les courriers électroniques malveillants envoyés par des sources extérieures qui peuvent tenter d'usurper le nom ou le domaine de l'entreprise pour escroquer vos clients fidèles. .
En tant que client d'une entreprise dont les messages électroniques sont compatibles avec la norme DMARC, vous pouvez être certain de recevoir des communications légitimes de la part de l'entreprise.
6. Aligner la sécurité du courrier électronique sur une stratégie globale
La stratégie globale de votre programme de conformité à la sécurité des e-mails consiste à garantir que votre organisation respecte toutes les réglementations gouvernementales pertinentes. Il s'agit notamment des réglementations relatives aux domaines suivants : identifiants de l'expéditeur, opt-in, opt-out, et temps de traitement des demandes.
Pour y parvenir, vous devez élaborer un plan qui aborde chacun de ces domaines séparément, puis les intégrer de manière à ce qu'ils se renforcent mutuellement.
Vous devez également envisager de différencier votre stratégie d'envoi d'e-mails selon les régions, en fonction des politiques distinctes de chacune d'entre elles. Par exemple, aux États-Unis, il existe de nombreuses réglementations différentes concernant le spamming, qui nécessitent des moyens de mise en œuvre différents de ceux requis dans d'autres pays comme l'Inde ou la Chine, où les réglementations sur le spamming sont moins strictes.
Consultez notre sécurité des e-mails d'entreprise pour sécuriser vos domaines et systèmes d'entreprise.
Construire un modèle de conformité à la sécurité du courrier électronique pour votre entreprise : Étapes supplémentaires
- Élaborez un plan de collecte des données qui comprend les types d'informations que vous souhaitez collecter, la fréquence à laquelle vous souhaitez les collecter et le temps nécessaire à la collecte.
- Former les employés à l'aide d'un logiciel de formation à la conformité sur la manière d'utiliser le courrier électronique en toute sécurité en mettant en place des politiques, des procédures et des modules de formation sur l'utilisation correcte du courrier électronique sur le lieu de travail.
- Évaluez vos mesures actuelles de sécurité du courrier électronique pour voir si elles sont conformes aux meilleures pratiques du secteur, et envisagez de les mettre à niveau si nécessaire.
- Déterminez le type de données relatives aux ressources humaines qui doivent rester privées ou confidentielles et la manière dont elles seront communiquées à vos employés, partenaires et vendeurs, y compris les tiers impliqués dans la création de contenu pour votre site web ou vos canaux de médias sociaux.
- Créez une liste de tous les employés qui ont accès à des informations sensibles/confidentielles et élaborez un plan pour surveiller leur utilisation des outils de communication par courriel.
Qui est responsable de la conformité de la sécurité du courrier électronique dans votre entreprise ?
Responsables informatiques - Le responsable informatique est chargé de la conformité globale de l'organisation en matière de sécurité du courrier électronique. C'est lui qui s'assure que les politiques de sécurité de l'entreprise sont respectées et que tous les employés ont été formés à ces politiques.
Les administrateurs système - Les administrateurs système sont responsables de l'installation et de la configuration des serveurs de messagerie ainsi que de toute autre infrastructure informatique nécessaire au bon fonctionnement du système de messagerie. Ils doivent comprendre quel type de données est stocké, qui y a accès et comment elles seront utilisées.
Responsables de la conformité - Ils sont chargés de veiller à ce que l'entreprise respecte toutes les lois relatives à la conformité de la sécurité du courrier électronique.
Employés - Les employés sont tenus de respecter les politiques et procédures de sécurité du courrier électronique de l'entreprise, ainsi que toute instruction ou directive supplémentaire de leur responsable ou de leur superviseur.
Prestataires de services tiers - Vous pouvez confier la sécurité de votre courrier électronique à des tiers qui vous feront gagner du temps et de l'argent. Par exemple, un service géré par un tiers DMARC géré par un tiers peut vous aider à mettre en œuvre vos protocoles en quelques minutes, à gérer et à surveiller vos rapports DMARC, à résoudre les erreurs et à fournir des conseils d'experts pour vous permettre de vous mettre facilement en conformité.
Comment pouvons-nous contribuer à votre parcours de conformité à la sécurité des e-mails ?
PowerDMARC, fournit des solutions de sécurité du courrier électronique pour les entreprises du monde entier, rendant votre système de courrier d'entreprise plus sûr contre le phishing et l'usurpation d'identité. .
Nous aidons les propriétaires de domaines à passer à une infrastructure de messagerie conforme à la norme DMARC et à appliquer une politique de rejet (p=reject) sans perte de qualité de livraison. Notre solution est fournie avec une période d'essai gratuite (pas de données de carte nécessaires) afin que vous puissiez la tester avant de prendre une décision à long terme. essai DMARC maintenant !
- Comment trouver le meilleur fournisseur de solutions DMARC pour votre entreprise ? - 25 avril 2024
- PowerDMARC et Zendata forment un partenariat pour renforcer la sécurité des domaines - 25 avril 2024
- PowerDMARC s'associe à CNS pour faire progresser les pratiques de sécurité du courrier électronique au Moyen-Orient - 24 avril 2024