Posts

Même l'entreprise la plus expérimentée et la mieux préparée peut être prise au dépourvu par une compromission du courrier électronique. C'est pourquoi il est essentiel d'élaborer un modèle de conformité efficace en matière de sécurité des e-mails.

Qu'est-ce que la conformité de la sécurité des e-mails ?

Sécurité des e-mails La conformité est le processus de surveillance, de maintien et d'application des politiques et des contrôles visant à garantir la confidentialité des communications électroniques. Cela peut se faire par le biais d'audits réguliers des e-mails ou d'efforts de surveillance continus.

Chaque organisation devrait disposer d'un modèle de conformité à la sécurité (SCM) documenté qui décrit ses politiques, procédures et activités liées à la conformité de la sécurité des e-mails. Cela permet de s'assurer qu'aucune violation de la communication ne se produit au sein de votre organisation et de retenir les partenaires commerciaux qui peuvent se méfier des entreprises ayant de mauvaises pratiques en matière de sécurité.

Comprendre les règles de conformité en matière de sécurité du courrier électronique pour les entreprises

Les lois sur la conformité de la sécurité des e-mails servent de cadre juridique pour garantir la sécurité et la confidentialité des informations stockées dans les e-mails. Ces lois sont appliquées par divers gouvernements nationaux et constituent une préoccupation croissante pour les entreprises de toutes formes et de toutes tailles.

Nous vous présentons ci-dessous un bref aperçu des exigences imposées aux entreprises qui traitent des communications par courrier électronique, ainsi qu'un aperçu général des différents cadres juridiques applicables à respecter pour établir une conformité adéquate en matière de sécurité du courrier électronique pour votre entreprise.

a. HIPAA/SOC 2/FedRAMP/PCI DSS

La loi sur la portabilité et la responsabilité en matière d'assurance maladie(HIPAA), les normes de sécurité des systèmes d'information fédéraux, 2e édition (SOC 2), FedRAMP et PCI DSS sont autant de réglementations qui obligent les organisations à protéger la confidentialité et la sécurité des informations de santé protégées par voie électronique (ePHI), c'est-à-dire toute information transmise par voie électronique entre des entités couvertes ou des associés commerciaux.

Ces lois exigent des entités couvertes qu'elles mettent en œuvre des politiques, des procédures et des contrôles techniques adaptés à la nature des données qu'elles traitent, ainsi que d'autres mesures de protection nécessaires pour assumer leurs responsabilités en vertu de l'HIPAA et du SOC 2. Ces réglementations s'appliquent à toutes les entités qui transmettent ou reçoivent des RPS sous forme électronique au nom d'une autre entité ; cependant, elles s'appliquent également à tous les associés commerciaux et autres entités qui reçoivent des RPS d'une entité couverte.

À quelle entreprise ce règlement s'applique-t-il ?

Ce règlement s'applique à toute entreprise qui collecte, stocke ou transmet des PHI (Protected Health Information) par voie électronique. Il s'applique également à toute entreprise qui participe à la fourniture d'un dossier médical électronique couvert (eHealth Record) ou d'autres services de soins de santé couverts par voie électronique. Ces règlements sont conçus pour protéger à la fois la vie privée des patients et la sécurité de leurs données contre tout accès non autorisé par des tiers.

b. GDPR

Le règlement général sur la protection des données (RGPD) est un règlement mis en œuvre par l'Union européenne. Il vise à protéger les données personnelles des citoyens de l'UE, et a été qualifié de "loi sur la protection de la vie privée la plus importante depuis une génération".

Le GDPR exige des entreprises qu'elles soient transparentes sur la manière dont elles utilisent les données des clients, et qu'elles fournissent des politiques claires sur la manière dont elles traitent ces données. Il exige également des entreprises qu'elles divulguent les informations qu'elles collectent et stockent sur les clients, et qu'elles offrent aux individus des moyens faciles d'accéder à ces informations. En outre, le GDPR interdit aux entreprises d'utiliser les données personnelles à des fins autres que celles pour lesquelles elles ont été collectées.

À quelle entreprise ce règlement s'applique-t-il ?

Il s'applique à toutes les entreprises qui collectent des données dans l'UE et exige que les entreprises obtiennent le consentement explicite des personnes dont elles recueillent les informations personnelles. Le GDPR prévoit également des amendes en cas de non-conformité. Vous devez donc vous mettre en ordre avant de commencer à collecter des informations personnelles.

c. CAN-SPAM

CAN-SPAM est une loi fédérale adoptée par le Congrès en 2003 qui exige que les courriers électroniques commerciaux comportent certaines informations sur leur origine, notamment l'adresse physique et le numéro de téléphone de l'expéditeur. La loi exige également que les messages commerciaux comportent une adresse de retour, qui doit être une adresse du domaine de l'expéditeur.

La loi CAN-SPAM a ensuite été mise à jour pour inclure des exigences plus strictes pour les courriers électroniques commerciaux. Les nouvelles règles exigent que les expéditeurs de courriels s'identifient clairement et précisément, fournissent une adresse de retour légitime et incluent un lien de désabonnement au bas de chaque courriel.

À quelle entreprise ce règlement s'applique-t-il ?

Le CAN-SPAM Act s'applique à tous les messages commerciaux, y compris ceux envoyés par les entreprises aux consommateurs et vice-versa, pour autant qu'ils répondent à certaines exigences. Cette réglementation vise à protéger les entreprises contre le spamming, c'est-à-dire l'envoi d'un message dans l'intention de vous faire cliquer sur un lien ou d'ouvrir une pièce jointe. La loi protège également les consommateurs contre le spam envoyé par des entreprises qui tentent de leur vendre quelque chose.

Comment élaborer un modèle de conformité à la sécurité du courrier électronique pour votre entreprise ?

Le modèle de conformité à la sécurité de la messagerie électronique est conçu pour vérifier que les serveurs et les applications de messagerie d'une organisation sont conformes aux lois, normes sectorielles et directives applicables. Le modèle aide les organisations à établir des politiques et des procédures qui assurent la collecte et la protection des données des clients par la détection, la prévention, l'investigation et la remédiation des incidents de sécurité potentiels.

Vous apprendrez ci-dessous comment construire un modèle qui contribue à la sécurité des e-mails, ainsi que des conseils et des technologies avancées pour aller au-delà de la conformité.

1. Utiliser une passerelle de messagerie sécurisée

Une passerelle de sécurité du courrier électronique est une ligne de défense importante pour protéger les communications électroniques de votre entreprise. Elle permet de s'assurer que seul le destinataire prévu reçoit l'e-mail, et elle bloque également les spams et les tentatives de phishing.

Vous pouvez utiliser la passerelle pour gérer le flux d'informations entre votre organisation et ses clients. Vous pouvez également tirer parti de fonctionnalités telles que le cryptage, qui permet de protéger les informations sensibles envoyées par courrier électronique en les cryptant avant qu'elles ne quittent un ordinateur et en les décryptant lorsqu'elles arrivent sur un autre ordinateur. Cela peut contribuer à empêcher les cybercriminels de lire le contenu des courriels ou des pièces jointes envoyés entre différents ordinateurs ou utilisateurs.

Une passerelle de messagerie sécurisée peut également offrir des fonctions telles que le filtrage des spams et l'archivage, qui sont toutes essentielles pour maintenir une atmosphère organisée et conforme dans votre entreprise.

2. Exercer la protection post-livraison

Il existe plusieurs façons d'élaborer un modèle de conformité à la sécurité des e-mails pour votre entreprise. La méthode la plus courante consiste à utiliser le modèle pour identifier les risques potentiels, puis à appliquer la protection post-livraison (PDP) à ces risques.

La protection après livraison est le processus qui consiste à vérifier qu'un courriel a été remis à son destinataire. Il s'agit notamment de s'assurer que le destinataire peut se connecter à son logiciel client de messagerie et vérifier la présence du message, ainsi que de confirmer que l'e-mail n'a pas été filtré par des filtres anti-spam.

La protection après livraison peut être obtenue en disposant d'un réseau ou d'un serveur sécurisé où vos courriels sont stockés, puis en les cryptant avant qu'ils ne soient remis aux destinataires. Il est important de noter que seule une personne autorisée doit avoir accès à ces fichiers afin qu'ils ne puissent être décryptés que par elle.

3. Mettre en œuvre des technologies d'isolation

Un modèle de conformité à la sécurité des e-mails est construit en isolant tous les points d'extrémité de vos utilisateurs et leur trafic web. Les technologies d'isolation fonctionnent en isolant tout le trafic web d'un utilisateur dans un navigateur sécurisé basé sur le cloud. Cela signifie que les courriers électroniques envoyés par le biais de la technologie d'isolation sont cryptés côté serveur et décryptés côté client dans un poste "isolé".

Par conséquent, aucun ordinateur externe ne peut accéder à leurs courriels, et ils ne peuvent télécharger aucun programme ou lien malveillant. Ainsi, même si quelqu'un clique sur un lien dans un courriel qui contient un logiciel malveillant, ce dernier ne pourra pas infecter son ordinateur ou son réseau (car le lien malveillant s'ouvrira en lecture seule).

Les technologies d'isolation permettent aux entreprises de se conformer facilement aux réglementations telles que PCI DSS et HIPAA en mettant en œuvre des solutions de messagerie électronique sécurisées qui utilisent le cryptage basé sur l'hôte (HBE).

4. Créer des filtres anti-spam efficaces

Le filtrage des e-mails consiste à vérifier les messages électroniques par rapport à une liste de règles avant qu'ils ne soient transmis au système de réception. Les règles peuvent être définies par les utilisateurs ou automatiquement en fonction de certains critères. Le filtrage est généralement utilisé pour vérifier que les messages envoyés par certaines sources ne sont pas malveillants ou ne contiennent pas de contenu inattendu.

La meilleure façon de créer un filtre anti-spam efficace est d'analyser comment les spammeurs utilisent des techniques qui rendent leurs messages difficiles à détecter avant qu'ils n'atteignent la boîte de réception des destinataires. Cette analyse devrait vous aider à développer des filtres qui identifieront le spam et l'empêcheront d'atteindre la boîte de réception.

Heureusement, il existe des solutions (comme DMARC) qui automatisent une grande partie de ce processus en permettant aux entreprises de définir des règles spécifiques pour chaque message afin que seuls ceux qui correspondent à ces règles soient traités par les filtres.

5. Mettre en œuvre les protocoles d'authentification du courrier électronique

Le site DMARC est une étape importante pour garantir que vos utilisateurs reçoivent les messages qu'ils attendent de votre entreprise et que les informations sensibles ne tombent jamais entre des mains non intentionnelles.

Il s'agit d'un protocole d'authentification des e-mails qui permet aux propriétaires de domaines de rejeter les messages qui ne répondent pas à certains critères. Il peut être utilisé comme moyen de prévenir le spam et le phishing, mais il est également utile pour empêcher l'envoi d'e-mails trompeurs à vos clients.

Si vous élaborez un modèle de conformité de la sécurité des courriers électroniques pour votre entreprise, vous avez besoin de DMARC pour protéger votre marque contre les courriers électroniques malveillants envoyés par des sources extérieures qui peuvent tenter d'usurper le nom ou le domaine de l'entreprise pour escroquer vos clients fidèles. .

En tant que client d'une entreprise dont les messages électroniques sont compatibles avec la norme DMARC, vous pouvez être certain de recevoir des communications légitimes de la part de l'entreprise.

6. Aligner la sécurité du courrier électronique sur une stratégie globale

La stratégie globale de votre programme de conformité à la sécurité des e-mails consiste à garantir que votre organisation respecte toutes les réglementations gouvernementales pertinentes. Il s'agit notamment des réglementations relatives aux domaines suivants : identifiants de l'expéditeur, opt-in, opt-out, et temps de traitement des demandes.

Pour y parvenir, vous devez élaborer un plan qui aborde chacun de ces domaines séparément, puis les intégrer de manière à ce qu'ils se renforcent mutuellement.

Vous devez également envisager de différencier votre stratégie d'envoi d'e-mails selon les régions, en fonction des politiques distinctes de chacune d'entre elles. Par exemple, aux États-Unis, il existe de nombreuses réglementations différentes concernant le spamming, qui nécessitent des moyens de mise en œuvre différents de ceux requis dans d'autres pays comme l'Inde ou la Chine, où les réglementations sur le spamming sont moins strictes.

Consultez notre sécurité des e-mails d'entreprise pour sécuriser vos domaines et systèmes d'entreprise.

Construire un modèle de conformité à la sécurité du courrier électronique pour votre entreprise : Étapes supplémentaires

  • Élaborez un plan de collecte des données qui comprend les types d'informations que vous souhaitez collecter, la fréquence à laquelle vous souhaitez les collecter et le temps nécessaire à la collecte.
  • Formez les employés à l'utilisation sûre et sécurisée du courrier électronique en instaurant des politiques, des procédures et des modules de formation sur l'utilisation correcte du courrier électronique sur leur lieu de travail.
  • Évaluez vos mesures actuelles de sécurité du courrier électronique pour voir si elles sont conformes aux meilleures pratiques du secteur, et envisagez de les mettre à niveau si nécessaire.
  • Déterminez le type de données relatives aux ressources humaines qui doivent rester privées ou confidentielles et la manière dont elles seront communiquées à vos employés, partenaires et vendeurs, y compris les tiers impliqués dans la création de contenu pour votre site web ou vos canaux de médias sociaux.
  • Créez une liste de tous les employés qui ont accès à des informations sensibles/confidentielles et élaborez un plan pour surveiller leur utilisation des outils de communication par courriel.

Qui est responsable de la conformité de la sécurité du courrier électronique dans votre entreprise ?

Responsables informatiques - Le responsable informatique est chargé de la conformité globale de l'organisation en matière de sécurité du courrier électronique. C'est lui qui s'assure que les politiques de sécurité de l'entreprise sont respectées et que tous les employés ont été formés à ces politiques.

Les administrateurs système - Les administrateurs système sont responsables de l'installation et de la configuration des serveurs de messagerie ainsi que de toute autre infrastructure informatique nécessaire au bon fonctionnement du système de messagerie. Ils doivent comprendre quel type de données est stocké, qui y a accès et comment elles seront utilisées.

Responsables de la conformité - Ils sont chargés de veiller à ce que l'entreprise respecte toutes les lois relatives à la conformité de la sécurité du courrier électronique.

Employés - Les employés sont tenus de respecter les politiques et procédures de sécurité du courrier électronique de l'entreprise, ainsi que toute instruction ou directive supplémentaire de leur responsable ou de leur superviseur.

Prestataires de services tiers - Vous pouvez confier la sécurité de votre courrier électronique à des tiers qui vous feront gagner du temps et de l'argent. Par exemple, un service tiers DMARC managed service peut vous aider à mettre en œuvre vos protocoles en quelques minutes, à gérer et à surveiller vos rapports DMARC, à résoudre les erreurs et à fournir des conseils d'experts pour obtenir facilement la conformité.

Comment pouvons-nous contribuer à votre parcours de conformité à la sécurité des e-mails ?

PowerDMARC, fournit des solutions de sécurité du courrier électronique pour les entreprises du monde entier, rendant votre système de courrier d'entreprise plus sûr contre le phishing et l'usurpation d'identité. .

Nous aidons les propriétaires de domaines à passer à une infrastructure de messagerie conforme à la norme DMARC et à appliquer une politique de rejet (p=reject) sans perte de qualité de livraison. Notre solution est fournie avec une période d'essai gratuite (pas de données de carte nécessaires) afin que vous puissiez la tester avant de prendre une décision à long terme. essai DMARC maintenant !

La conformité en matière de cybersécurité est un sujet de préoccupation croissant pour de nombreuses entreprises. Il est important que votre entreprise connaisse les exigences et dispose d'un plan pour se mettre en conformité.

La conformité en matière de cybersécurité implique les éléments suivants :

  1. Réaliser des évaluations des risques pour votre entreprise, y compris les risques posés par les menaces externes, telles que les virus et les logiciels malveillants, et les menaces internes, telles que l'utilisation abusive d'informations confidentielles par des initiés.
  2. Créer une équipe de réponse aux incidents qui puisse réagir rapidement à tout incident. Ils doivent également être formés à la manière de réagir aux cyberattaques.
  3. Mise en œuvre d'un système de détection d'intrusion qui surveille le réseau et le trafic de courrier électronique pour détecter toute activité non autorisée, comme un analyseur DMARC.
  4. Élaborer une stratégie de cybersécurité solide qui comprend les meilleures pratiques pour mettre en place des contrôles de sécurité et former les employés à leur utilisation correcte.

Qu'est-ce que la conformité en matière de cybersécurité ?

La conformité en matière de cybersécurité est un ensemble de normes que les entreprises et les organisations doivent respecter afin d'être considérées comme "conformes". Ces normes peuvent varier en fonction du type d'entité ou d'organisation, mais elles comprennent généralement des politiques, des procédures et des contrôles qui garantissent qu'une entreprise se protège des cyberattaques.

Par exemple, si votre organisation utilise les e-mails comme mode de communication, vous devez mettre en œuvre des protocoles de sécurité et d'authentification des e-mails tels que DMARC pour sécuriser vos transactions par e-mail et vérifier les sources d'envoi. L'absence de tels protocoles peut rendre votre domaine vulnérable à l'usurpation de domaine, aux attaques de phishing et aux ransomwares. 

L'une des choses les plus importantes que vous puissiez faire pour protéger votre entreprise est de vous assurer que vos pratiques de cybersécurité sont à la hauteur. Vous ne pouvez pas vous permettre d'ignorer les violations de la cybersécurité : c'est le moyen le plus facile pour les pirates de pénétrer dans votre réseau et de vous causer de graves dommages.

Mais qu'est-ce que la conformité en matière de cybersécurité, exactement ?

La conformité en matière de cybersécurité est un ensemble de bonnes pratiques que les entreprises utilisent dans leurs activités quotidiennes pour s'assurer qu'elles se protègent des cyberattaques. Ces meilleures pratiques sont les suivantes

  • Maintenir un réseau sécurisé
  • Maintenir les systèmes à jour avec les correctifs de sécurité
  • Sauvegarde des informations et des données des clients
  • Protection de vos données et de vos communications par courrier électronique 

Par où commencer pour votre conformité en matière de cybersécurité ?

La première étape pour atteindre la conformité en matière de cybersécurité est de comprendre ce que vous essayez d'accomplir.

Quels sont vos objectifs ? Quelles sont les attentes spécifiques de l'organisation ou de la personne qui gère votre conformité en matière de cybersécurité ? S'agit-il de l'entreprise elle-même, ou d'une entité extérieure qui pourrait être une agence gouvernementale, une organisation comme la NSA, ou même un fournisseur tiers ?

Si c'est pour l'entreprise elle-même, vous devrez comprendre comment elle fonctionne et comment elle interagit avec d'autres entités. Vous voudrez également savoir quel type de données elles collectent et où elles sont stockées. Et si elle utilise des services en nuage comme Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure ou Oracle Cloud Platform (OCP), vous devrez déterminer si des contrôles de sécurité sont en place autour de ces services.

Si vous travaillez avec une entité extérieure, telle qu'une agence gouvernementale ou un fournisseur tiers, vous devez vous assurer qu'elle comprend bien votre organisation et ses besoins, ainsi que son propre processus de surveillance et de réponse aux menaces. Vous voudrez également qu'il soit familiarisé avec les types d'attaques susceptibles de se produire contre les systèmes de votre entreprise et qu'il sache comment s'y prendre. 

Stratégie de conformité en matière de cybersécurité : Un plan en action

Sécurité du courrier électronique

Commençons par les principes de base : Vous devez sécuriser votre système de messagerie. Cela signifie que vous devez protéger votre courrier électronique par un mot de passe, même s'il ne s'agit que d'un mot de passe unique pour l'ensemble de votre système. Vous devez également vous assurer que tous les services externes qui envoient ou reçoivent des e-mails de votre organisation sont également sécurisés et ont les mêmes exigences en matière de mot de passe que vos systèmes internes.

Le système de messagerie de votre entreprise est un élément essentiel de votre activité. C'est ainsi que vous communiquez avec vos prospects, vos clients et vos employés, et que vous envoyez des mises à jour et des annonces importantes.

Mais c'est aussi l'une des parties les plus vulnérables de votre entreprise.

Si vous voulez vous assurer que vos e-mails restent privés et à l'abri des pirates, la conformité en matière de cybersécurité est indispensable. Voici quelques conseils pour vous assurer que vos e-mails sont à jour en matière de conformité à la cybersécurité :

  1. Veillez à utiliser le cryptage(SSL) lorsque vous envoyez des informations sensibles par courrier électronique. Cela permet de s'assurer que personne ne peut intercepter ou lire ce qui est envoyé entre votre ordinateur et l'appareil du destinataire.
  2. Mettez en place des politiques de mot de passe afin que tous les utilisateurs disposent de mots de passe uniques, changés régulièrement et jamais utilisés dans un autre service ou une autre application sur le même compte ou appareil que le fournisseur de services de messagerie (ESP).
  3. Activez l'authentification à deux facteurs (2FA) chaque fois que cela est possible afin que seules les personnes autorisées puissent accéder aux comptes pour lesquels l'authentification à deux facteurs est activée - et encore, seulement si l'accès leur a été accordé auparavant par une autre personne pour laquelle l'authentification à deux facteurs est déjà activée
  4. Sécurisez votre domaine de messagerie contre l'usurpation d'identité, le hameçonnage, les rançongiciels, etc. en mettant en œuvre des protocoles d'authentification des messages électroniques tels que DMARC, SPFet DKIM
  5. Protégez vos courriels en transit contre les regards indiscrets d'un attaquant de type "man-in-the-middle" en imposant une transaction de courriel cryptée par TLS avec l'aide de MTA-STS

L'importance de la conformité en matière de cybersécurité

Il existe de nombreuses façons pour une entreprise de ne pas être en conformité avec la cybersécurité. Par exemple, si votre entreprise dispose d'un pare-feu obsolète, il est possible que des pirates utilisent votre système comme point de passage pour leurs attaques de logiciels malveillants. Ou si votre réseau n'est pas protégé par une authentification à deux facteurs, vous risquez de voir votre site web piraté. Ou encore, si vos e-mails ne sont pas authentifiés, cela peut ouvrir la voie à des attaques par usurpation d'identité et au phishing. 

Il est important de noter que la conformité ne protège pas contre tous les types de vecteurs de menaces. Les solutions de cybersécurité peuvent aider les organisations à empêcher les pirates d'accéder à leurs réseaux, à prévenir le vol de propriété intellectuelle, à protéger les actifs physiques tels que les ordinateurs et les serveurs, à prévenir les infections par des logiciels malveillants susceptibles de restreindre l'accès à des systèmes ou des informations critiques, à détecter les fraudes sur les transactions de paiement en ligne et à arrêter d'autres cyberattaques avant qu'elles ne se produisent.