Sécurité de la messagerie électronique : quelle confidentialité ?

Les messageries instantanées ont connu un regain d’intérêt avec la COVID-19, notamment au niveau professionnel. Entre fluidification des communications et échange facilité des documents, elles simplifient grandement le quotidien. Même les instances qui manipulent les données les plus sensibles, comme les directions générales et les conseils d’administration, se montrent particulièrement adeptes de ces outils informatiques. Le récent scandale lié aux nouvelles conditions d’utilisation de WhatsApp montre pourtant les limites de ce genre d’applis. Pourquoi faut-il investir dans la sécurité de la messagerie électronique du CA, et vers quelles solutions se tourner ?

Données confidentielles du conseil d’administration et nouvelles conditions WhatsApp

Devant le tollé qu’a provoqué l’annonce de son changement de réglementation, le système de courrier électronique WhatsApp a décidé de reporter de trois mois sa mise en vigueur. Il s’agit là d’un temps finalement assez court pour prendre ses dispositions, et faire les bons choix pour assurer la sécurité de sa messagerie électronique. Une nécessité particulièrement criante pour le conseil d’administration, qui manipule de nombreuses informations confidentielles.

Une nouvelle réglementation aux dépens des données utilisateurs

Que prévoit la nouvelle réglementation WhatsApp ? Selon la notification envoyée aux utilisateurs courant janvier 2021, les nouvelles conditions d’utilisation de cette messagerie électronique sont les suivantes :

• Les usagers de WhatsApp doivent donner leur accord pour que leurs contenus soient partagés avec Facebook, propriétaire de la messagerie ;
• Parmi les principales datas concernées : numéro d’utilisateur, numéros de téléphone enregistrés dans le répertoire, informations du profil, adresse IP ;
• La collecte de ses données devait commencer le 8 février, mais se voit reportée jusqu’à avril 2021.

Comme le souligne l’avocate et enseignante Merav Griguer dans un article sur la monétisation de WhatsApp par Facebook, les messages échangés via l’application restent cependant cryptés. Il faut préciser, par ailleurs, qu’en Europe seule la version professionnelle de WhatsApp, WhatsApp Business, fait l’objet de cette nouvelle réglementation. Il s’agit d’une version de la messagerie électronique qui permet aux entreprises de communiquer avec leurs clients.

La monétisation de la data au cœur des projets WhatsApp

Pourquoi le groupe WhatsApp se lance-t-il dans une politique de partage de datas aussi impopulaire ? Pour le moment, ce système de courrier électronique ne rapporte pas de revenus à Facebook. Quand Mark Zuckerberg a annoncé son rachat en 2014, l’objectif premier relevait pourtant clairement de la monétisation des données personnelles récupérées sur l’appli mobile. En se saisissant de ces datas, Facebook veut en fait développer des annonces publicitaires sur WhatsApp.

Les conseils d’administration sont directement concernés par ce type de problématique sécuritaire. Les administrateurs occupent effectivement des postes qui les poussent à manipuler plus de données confidentielles qu’aucun autre employé. Un tiers d’entre eux déclare pourtant avoir déjà perdu un appareil mobile. La moitié des membres des conseils d’administration utilise par ailleurs encore leurs courriels personnels pour communiquer avec le reste du CA.

Ces réalités, que nous devons à notre étude sur le numérique et les conseils d’administration menée en collaboration avec Forrester Research, montrent que les administrateurs doivent rester particulièrement vigilants dans le choix de leur messagerie électronique et dans leurs usages du web.

Quels problèmes y a-t-il à utiliser des moyens de communication non-sécurisés ?

La sécurité des messageries électroniques que manient les conseils d’administration est au cœur du métier de Diligent. La plupart des entreprises qui nous consultent affrontent effectivement de graves problématiques de fuites de données confidentielles. Ces manquements à la sécurité informatique ne s’expliquent pas seulement par l’échange non-sécurisé d’informations sensibles.

Une large typologie de menaces pour les messageries instantanées et les emails

En réalité, les cyber risques qui menacent le conseil d’administration, et plus généralement les process de l’entreprise, relèvent de différents niveaux :

• Le niveau de protection des messageries électroniques grand public ne suffit pas dans un cadre professionnel. Les piratages se répandent et mettent en péril l’intégrité des entreprises. Les vols de numéros de téléphone via WhatsApp constituent par exemple une porte ouverte aux arnaques au Président ;
• Un contenu partagé sur le cloud ou par mail, via des solutions comme Microsoft Outlook, Office, Gmail ou Yahoo, expose tout autant la société, ne serait-ce que du fait du risque de phishing ;
• Ces messageries exposent par ailleurs à un nombre toujours croissant de virus et de messages piégés ;
• Au-delà des attaques cybercriminelles, les risques liés aux messageries électroniques relèvent principalement des comportements des utilisateurs. On parle alors de “vulnérabilité humaine” : se tromper de destinataire, envoyer une pièce jointe par erreur, perdre son téléphone, etc.
• Les échanges non-sécurisés entre dirigeants ou administrateurs relèvent parfois du cadre légal. Communiquer via une messagerie électronique non-sécurisée revient alors à exposer l’entreprise à des violations de conformité et à des amendes réglementaires.

Le cas particulier des données stratégiques pour la gouvernance

Une messagerie électronique mal utilisée ou trop peu sécurisée met également la société en danger dans certains contextes particuliers où la donnée est stratégique :

• fusions-acquisitions ;
• dépôt de brevets ;
• différends juridiques ;
• licenciements.

Au-delà du coût tangible qu’implique la fuite de données stratégiques, les conséquences en termes de réputation peuvent aussi s’avérer gravissimes. Pour évaluer les risques précisément, nous vous invitons à consulter notre livre blanc sur la sécurité des technologies de communication utilisées par les conseils d’administration.

Quelles sont les alternatives à WhatsApp pour assurer la sécurité de sa messagerie électronique ?

Pour une messagerie instantanée assez sécurisée pour satisfaire aux exigences liées aux échanges des administrateurs, il faut d’abord investir dans une messagerie cryptée. Le chiffrement des messages incarne la condition sine qua non pour protéger les contenus échangés. Ce type de service assure la confidentialité des informations et empêche les fuites de données. Il s’agit aussi d’un garde-fou indispensable contre les piratages.

L’indispensable chiffrement des communications

Dans un précédent article sur les messageries instantanées cryptées, nous revenions également sur un cliché selon lequel celles-ci compliqueraient la vie des dirigeants et des administrateurs. Au contraire, comparée à WhatsApp, une messagerie telle que Diligent Messenger convient aux moins technophiles des membres du CA :

• Le chat fonctionne comme sur WhatsApp, avec autant de fluidité et de simplicité ;
• L’utilisateur définit ses groupes de discussions ;
• Il reçoit des notifications en cas de nouveaux messages ;
• Il peut accéder à tous les documents échangés, classés dans un même fichier ;
• La solution se personnalise selon ses besoins.

Une panoplie sécuritaire pour alléger le quotidien

Une messagerie cryptée permet de communiquer en temps réel, et donc d’améliorer les performances du CA en assurant la fluidité des échanges. Elle comprend également d’autres fonctionnalités très utiles pour assurer la cybersécurité des communications. Les CA de nos clients apprécient particulièrement les outils suivants :

• Service de rappel des messages envoyés par erreur ;
• Envoi des pièces jointes en « boucle fermée » ;
• Possibilité de contrôler les accès, ainsi que les thèmes de discussion ;
• Système d’identification hypersécurisé ;
• Sauvegarde automatique des messages ;
• Possibilité d’effacer des informations à distance, notamment en cas de perte d’appareil ;
• Assistance multilingue 24/7 ;
• Utilisation depuis un ordinateur, une tablette, un smartphone.

De façon plus globale, les produits Diligent relèvent de la certification ISO 27001, qui garantit un système de gestion de la sécurité des informations (ISMS, Information Security Management System) compatible avec les référentiels internationaux.