Quatre étapes simples pour la conformité des messageriesDes instructions claires et simples pour administrer votre infrastructure de messagerie
Aujourd'hui, la messagerie est le principal moyen de communication utilisé par les entreprises, aussi il est primordial de définir des règles pour une bonne utilisation de celle-ci.
Télécharger le PDF :
Quatre étapes simples pour la conformité des messageries
Les dirigeants d'entreprises ainsi que les responsables informatiques officiant au sein des très sévèrement réglementés industries de la santé et de la finance ou au sein de très grandes entreprises publiques ont généralement une bonne perception de ce qu'ils doivent faire pour mettre leur infrastructure de messagerie en conformité. En revanche, pour les entreprises privées ou familiales et pour les secteurs industriels non réglementés, la conformité de la messagerie est bien souvent floue et la complexité apparente ainsi que les graves conséquences pouvant s'abattre sur les contrevenants peuvent rendre la tâche insurmontable.
Cette préoccupation n'est absolument pas justifiée. D'après la définition ci-contre, la conformité correspond dans beaucoup d’entreprises à l’application d’une série formelle de directives clairement définies garantissant le respect de la législation officielle, des normes éthiques acceptées et des bonnes pratiques. Ces directives doivent aussi couvrir la gestion des écarts, accidentels ou non. En l'absence de directives, il est très difficile de réagir de manière positive et efficace à un audit (ou “eDiscovery), ou pire encore, à une instruction juridique. Ce document se penche sur la notion de conformité des messageries et donne des instructions simples pour gérer son infrastructure* de messagerie.
1. Etablir des règles claires sur l'emploi des messageries
Le courriel est un outil de communication fondamental : en effet, une grande partie de la vie quotidienne d'une entreprise en dépend pour la communication interne et externe. La messagerie peut contenir jusqu'à 80 % des informations professionnelles d'une entreprise, la définition de règles d'utilisation est donc primordiale.
Le point de départ consiste à définir une ligne de conduite claire et transparente en déterminant ce qui est acceptable et ce qui ne l'est pas pour l'utilisation de la messagerie. Une politique d'utilisation acceptable (AUP pour Acceptable Use Policy) explicite pour toute l'entreprise, avec la possibilité d'auditer son utilisation et d'appliquer ses règles, est la première étape simple pour montrer son intention de respecter la règlementation et d'éviter toute poursuite pénale. Voici des exemples de clauses type :
- ne transférez ou n'envoyez pas de courriels contenant des images pornographiques
- limitez absolument la taille des pièces jointes à 5 Mo.
Une fois l'AUP en place, vous pouvez vous concentrer sur la conformité de vos pratiques à l'ensemble des règlementations locales, régionales, nationales et internationales qui s'appliquent à la communication électronique.
De nombreux d'exemples en ligne émanant d'experts industriels comme Forrester, IDC et Gartner sont disponibles.
2. Empêcher la perte de données électroniques par courriel
Les données présentes sur vos systèmes sont des informations professionnelles précieuses. Ces informations confidentielles doivent être soigneusement protégées de toute révélation accidentelle ou délibérée à des tiers et même à l'intérieur de l'entreprise. Certains processus sont couverts par votre AUP, mais les employés nouveaux, distraits, mécontents ou quittant l’entreprise peuvent par inadvertance (ou par malveillance) menacer la sécurité de vos données.
Il est essentiel de mettre en place un système automatique géré de manière centrale pour empêcher la perte de données, quelles que soient les intentions ou la bonne volonté des employés. Cette solution doit permettre de :
- bloquer les courriels selon les types de fichiers des pièces jointes
- contrôler les messages à la recherche de mots de passe
- ajouter aux courriels des avis de non-responsabilité et des bandeaux tant sur les courriels entrants que sortants
- chiffrer des messages de façon à ce que seul le destinataire concerné puisse les consulter
- s'assurer que votre système de messagerie ne fait pas l'objet d'abus par des utilisateurs inconnus et/ou malveillants.
3. Avoir en permanence une vue sur le trafic passé et en cours et gérer son accès
Vous devez surveiller chaque courriel entrant, sortant et circulant dans la société et pouvoir justifier chacun d'entre eux. Ce qui signifie qu'il vous faut :
Conserver des archives accessibles de toutes les communications électroniques, notamment celles de journalisation qui montrent l’expéditeur, le destinataire et la date d’envoi.
- Copier et/ou archiver les messages sensibles internes et externes.
- Pouvoir intercepter et réacheminer les messages frauduleux vers les personnes responsables de l'application de la réglementation afin que les incidents potentiellement préjudiciables puissent être évités et que des mesures correctives puissent être mises en place.
Bien entendu, les courriels ne contiennent pas tous des données sensibles, il n’est donc pas nécessaire de tout archiver et/ou de tout chiffrer. En fonction du domaine dans lequel vous évoluez, il y a par ailleurs des limites à la durée de conservation des copies des communications électroniques.
En fait, le coût du stockage d’un volume important de courriels et leur accès est tel qu’il ne faut rien laisser au hasard en matière d’archivage, de chiffrage et de durée de stockage.
4. Eliminer le spam, le phishing et les malwares
Le courriel est l’un des moyens qu’utilisent les auteurs de virus pour injecter des malwares sur les ordinateurs des utilisateurs et dans les systèmes. Fréquemment modifiées pour tenter d’éviter la détection, les campagnes de spam utilisent des méthodes comme l’injection de chevaux de Troie enregistreurs de touches ou la connexion à des sites Web malveillants pour dérober des informations professionnelles et personnelles confidentielles.
Assurez-vous que votre infrastructure de messagerie est protégée contre les malwares, les virus, les spywares et autres menaces pesant sur les systèmes et sur l’intégrité des données. Pour cela, utilisez une solution bloquant les malwares, le spam, les attaques par déni de service et la collecte d’adresses électroniques.
En bloquant les menaces à la périphérie jusque dans vos serveurs de messagerie et postes de travail internes, vous éliminez la plupart des risques externes associés à la perte de données. Votre AUP couvre ainsi la majeure partie des risques internes restants.
*Avis de non-responsabilité : ce document n'est pas censé remplacer les directives juridiques professionnelles relatives aux questions de conformité auxquelles votre société pourrait être confrontée. Nous vous conseillons fortement de vous renseigner auprès d'experts reconnus en conformité pour déterminer vos besoins.
