Configurer Stormshield Data Mail
Stormshield Data Mail permet de chiffrer et signer des messages électroniques afin de garantir leur confidentialité, leur intégrité et l'identité de l'émetteur. Stormshield Data Mail fonctionne grâce à une extension qui s'intègre dans le client de messagerie Outlook des utilisateurs.
Pour plus d'informations, reportez-vous à la section Sécuriser des messages électroniques du Guide d'utilisation avancée SDS Enterprise.
Connaître les concepts liés à la sécurisation des messages
Stormshield Data Mail met en œuvre des moyens de cryptographie dits « à clé publique ».
Chaque correspondant possède un ou plusieurs couples de clés : une clé privée et une clé publique. La clé privée doit être conservée de façon confidentielle par son propriétaire. En revanche, la clé publique (certificat) est destinée à être distribuée.
Stormshield Data Mail peut mettre en œuvre :
- Un couple de clés unique pour le chiffrement et la signature,
- Deux couples de clés différents, l'un pour le chiffrement, l'autre pour la signature.
Pour plus d'informations sur les couples de clés, reportez-vous à la section Définir les paramètres de création de comptes.
Niveau de sécurité
La norme S/MIME V3 permet de sécuriser un message, c'est-à-dire son texte et ses pièces jointes.
L'enveloppe du message (en-tête rfc822), qui contient notamment le nom de l'émetteur, la liste des destinataires, la date d'émission et surtout l'objet du message, n'est quant à elle pas sécurisée.
Ainsi, même si un message est sécurisé, son objet peut être lu ou modifié lors de son acheminement sur le réseau.
Chiffrement
L'émetteur chiffre un message avec la clé publique du destinataire ; ce dernier utilise sa clé privée pour déchiffrer le message. Le destinataire étant le seul à posséder cette clé privée, l'émetteur est assuré que le message ne peut pas être lu par un tiers.
NOTE
L’émetteur ne pourra chiffrer un message que s’il possède une clé de chiffrement dans son porte-clés. Un compte SDS Enterprise ne détenant qu’une clé de signature ne pourra donc pas servir au chiffrement de messages.
Signature électronique
Une signature électronique est un «sceau» numérique appliqué sur le message : elle garantit l'intégrité du message et l'identité du signataire.
Le signataire signe un message au moyen de sa clé privée. Le destinataire vérifie la signature au moyen de la clé publique du signataire. Le signataire étant le seul à posséder la clé privée ayant signé le message, le destinataire est assuré que le message a bien été émis par le signataire et qu'il n'a pas été falsifié au cours de son transfert.
NOTE
L’émetteur ne pourra signer un message que s’il possède une clé de signature dans son porte-clés. Un compte SDS Enterprise qui ne détient qu’une clé de chiffrement ne pourra donc pas servir à la signature de messages.
Il existe deux types de signature : les signatures opaques et les signatures détachées (i.e. en clair). Stormshield Data Mail supporte ces deux types de signature pour l'émission et la réception de messages.
L'utilisation de la signature en clair permet aux destinataires de lire le message même si leur client de messagerie ne prend pas en compte le format S/MIME ou refuse d'afficher les messages avec des signatures qui ne peuvent être validées. Par exemple si les certificats et les listes de révocation ne sont pas disponibles.
Cependant, une signature en clair est susceptible d'être modifiée pendant l'émission du message. En règle générale, les serveurs ne modifient pas les messages, mais des balises peuvent être ajoutées, des lignes blanches ajoutées ou enlevées. La signature du message est alors invalide.
Lorsque le destinataire reçoit un message signé et l'ouvre dans le volet de lecture ou dans une nouvelle fenêtre, SDS Enterprise vérifie entre autres que l'adresse e-mail de l'émetteur et l'adresse indiquée dans le certificat associé correspondent. Dans le cas contraire, un avertissement s'affiche dans le bandeau de sécurité du message reçu.
Une seule erreur s'affiche dans le compte rendu de sécurité. Si plusieurs erreurs ou avertissements surviennent, seul la ou le plus critique s'affiche.
Annuaires de confiance
Stormshield Data Mail permet de gérer un annuaire de confiance : vous y insérez les certificats des correspondants et des autorités auxquels vous faites confiance.
Si vous souhaitez chiffrer un message pour un ou des destinataires pour lesquels vous n'avez pas de certificat valide dans votre annuaire de confiance, l'annuaire LDAP peut être automatiquement interrogé. Pour cela, vous devez avoir déclaré un annuaire LDAP et autorisé la mise à jour automatique à partir de l'annuaire LDAP. Pour plus d'informations, reportez-vous à la section Configurer les annuaires d'entreprise.
Configurer le chiffrement et la signature des messages électroniques
Pour configurer le chiffrement et la signature de messages :
-
Rendez-vous dans le menu Politiques > Fonctionnalités > Mail, et activez les paramètres de votre choix.
| Propriétés |
Sélectionnez le type de signature opaque ou claire (détachée) pour l'émission et la réception des messages. Veuillez vous reporter à la section Signature électronique pour plus d'informations. Si vous choisissez d'activer la signature ou le chiffrement par défaut pour tous les messages, l'utilisateur pourra toujours les désactiver sur un message. |
| Chiffrement PGP | Si vous souhaitez autoriser le chiffrement et déchiffrement de messages au format PGP, vous devez spécifier un ou plusieurs serveurs WKD (Web Key Directories) à consulter. Reportez-vous à la ligne suivante du tableau. |
| Serveur WKD |
Dans le menu Annuaires de la politique, vous pouvez indiquer les serveurs WKD à consulter pour le chiffrement au format PGP. Ces annuaires de clés publiques permettent à Stormshield Data Mail de récupérer les clés publiques PGP des destinataires de messages chiffrés. Pour plus d'informations, reportez-vous à la section Configurer les annuaires d'entreprise. |
| Mise à jour d'annuaire |
A l'envoi de messages chiffrés : Pour mettre à jour l'annuaire de confiance à l'envoi de messages chiffrés, vous devez avoir déclaré un annuaire LDAP. Pour plus d'informations, reportez-vous à la section Configurer les annuaires d'entreprise. A réception d'un message signé : Un utilisateur peut transmettre son certificat de chiffrement (sa clé publique) à un collaborateur en lui envoyant un message signé. Vous pouvez autoriser ou non le destinataire à importer manuellement le certificat dans son annuaire de confiance pour le mettre à jour, et vous pouvez autoriser ou non la mise à jour automatique de l'annuaire. Si vous autorisez ces actions uniquement pour les autorités connues, cela signifie que le certificat de chiffrement de l'utilisateur sera importé seulement s'il est issu d'une autorité dont le certificat est déjà présent dans l'annuaire de confiance du destinataire. |
| Chiffrement et signature automatiques avec Microsoft Purview |
Si votre société utilise le système d'étiquettes de confidentialité proposé par Microsoft Purview Information Protection, vous pouvez déclarer ces étiquettes dans votre politique SDS Enterprise et y associer une action automatique de l'agent (en anglais, sensitivity labels). Lorsque l'utilisateur appliquera une étiquette à un message, l'agent vérifiera sa présence dans la politique et déclenchera l'action de sécurisation correspondante : chiffrement seul du message, signature seule du message ou la combinaison des deux actions. Pour utiliser des étiquettes de confidentialité dans la politique, vous devez connaître leurs noms tels que définis par votre société dans la configuration de Microsoft Purview Information Protection. Pour chaque étiquette :
Le format de chiffrement PGP n'est pas supporté par cette fonctionnalité. NOTE
|
Pour des informations sur une utilisation avancée de la fonctionnalité Mail sur l'agent SDS Enterprise, reportez-vous à la section Stormshield Data Mail.