La numérisation avance, et avec elle l'importance de la communication sécurisée. Un arrêt de justice récent met en évidence l'importance des mesures de sécurité appropriées lors du traitement d'e-mails – notamment lorsqu'il s'agit de transactions financières. Qu'est-ce que cela signifie pour les entreprises ? Et quelles méthodes de cryptage sont vraiment sûres ?
Arrêt de justice: L'insuffisance de sécurité peut être coûteuse
Une entreprise a été récemment poursuivie en justice car une facture envoyée avait été manipulée par un hacker. Le client s'est refusé à payer la facture falsifiée et le tribunal lui a donné raison ! La raison: l'entreprise n'avait pas pris suffisamment de mesures de sécurité lors du renvoi de la facture.
La décision de la Cour d'appel du Schleswig-Holstein du 18.12.2024 (Numéro 12 U 9/24) est claire: les entreprises sont responsables en vertu de la réglementation générale sur la protection des données (RGPD), si elles ne protègent pas suffisamment des données sensibles. L'utilisation pure et simple de la cryptage des transports n'est pas suffisante, notamment lorsqu'il s'agit de risques financiers élevés. La révision du jugement a été admise.
Un autre tribunal a rendu un jugement contraire, au moins pour les autorités: Le OVG de Münster Le 20 février 2025, il a été décidé (Az. 16 B 288/23), que les autorités ne sont pas obligées d'envoyer des e-mails chiffrés de bout en bout.
Les décisions judiciaires ont les conséquences suivantes sur le courrier électronique sécurisé:
L'importance de la cryptage pour des e-mails sûrs
La base de courriels sûrs est la cryptage. Cette technologie a pour but de protéger les informations sensibles pendant le transit et de les conserver à l'abri d'un accès non autorisé.
Imaginez que votre e-mail est comme une lettre qui passe par différentes mains avant d'atteindre son destinataire. Sans cryptage, le contenu de la lettre serait accessible à tout le monde qui la tiendrait dans ses mains. La cryptage, en revanche, assure que le contenu de votre e-mail ne peut être lu que par l'expéditeur et le destinataire.
Les e-mails peuvent être lus sur Internet, donc la cryptage de bout en bout protège les données sensibles. Les méthodes de cryptage hybrides combinent des procédés pour une communication sécurisée. Les signatures numériques garantissent l'intégrité des e-mails.
Il existe deux principales formes de cryptage: la cryptage en transport et le cryptage d'extrémité à extrémité. Les e-mails sont généralement aujourd'hui cryptés lors du transport, mais ils ne sont pas cryptés d'extrémité à extrémité.
La sécurisation du transport protège vos e-mails pendant le transport entre votre logiciel de messagerie et le serveur de votre fournisseur. Beaucoup de fournisseurs de messagerie supportent ce type de sécurisation pour protéger vos données dès cette étape.
La cryptage de bout en bout offre une protection encore plus élevée. Cette technologie crypte vos e-mails de telle sorte que seuls l'expéditeur et le destinataire peuvent les décrypter. Même votre fournisseur d'accès à Internet ne peut pas lire le contenu de vos messages.
En ce qui concerne la décision, cela signifie:
- La cryptage des transports: protège les données pendant le transport de A à B. Imaginez-le comme un envoi dans une enveloppe fermée, protégé pendant son trajet jusqu'à la poste. Mais cela ne suffit pas au tribunal car l'entreprise de transport officiel n'est pas aussi fiable que la poste allemande.
- Chiffrement de bout en bout: Chiffre les données de telle sorte que seules l'expéditeur et le destinataire puissent les lire. L'expéditeur chiffre les données, et seul le destinataire peut les déchiffrer avec une clé. Le fournisseur d'e-mail n'a pas accès au contenu. Le tribunal a souligné que lors de l'envoi d'invoices comportant des risques financiers potentiels, la cryptage end-to-end est un bon moyen de protection. La cryptage du transport est certes mieux qu'aucune cryptage, mais il ne fournit pas une protection complète contre les attaques ciblées.
Pour une encryption de bout en bout, l'expéditeur et le destinataire doivent individuellement prendre une convention. Généralement, ceci se produit par l'échange de clés ou d'attestations électroniques.
La communication entre vous et le destinataire est absolument sûre avec la cryptage de bout en bout. Il existe divers plugins pour les clients e-mail, qui permettent d'activer cette méthode de cryptage. L'utilisation du cryptage de bout en bout est particulièrement importante lorsque vous échangez des informations sensibles comme des mots de passe, des données financières ou des affaires personnelles par courriel.
Signatures numériques: Sécurité par authentification
En plus de la cryptage, la signature numérique offre un autre mécanisme important de protection pour vos e-mails.
Une signature numérique est comme une signature électronique que vous pouvez attacher à vos e-mails. Cette signature confirme que le message provient réellement de vous et qu'il n'a pas été modifié. Le destinataire peut vérifier cette signature pour s'assurer que l'e-mail est authentique et non manipulé.
Les signatures numériques sont particulièrement utiles pour les communications commerciales importantes ou lorsque vous souhaitez vous assurer que vos messages n'ont pas été modifiés.
La bonne choix: Chiffrement vs. signature numérique
La cryptage ainsi que les signatures numériques contribuent à la sécurité de vos courriels, mais remplissent des fonctions différentes.
La cryptage protège le contenu de vos e-mails contre un accès non autorisé, tandis que la signature numérique confirme l'authenticité du message. Dans de nombreux cas, il est sensé combiner les deux technologies pour garantir une protection complète de votre communication.
La charge de la preuve repose sur l'entreprise
Il est également important: les entreprises doivent prouver qu'elles ont pris toutes les mesures de sécurité nécessaires. Lorsque des données sont compromises en raison de précautions de sécurité insuffisantes, l'entreprise doit démontrer qu'elle a rempli ses obligations de diligence.
Qu'est-ce que cela signifie pour les entreprises ?
En contraste avec les autorités, les entreprises ont désormais effectivement plus de tâches à accomplir:
- Évaluation des risques: prenez en compte le risque concret et les dommages potentiels lors du choix de la méthode de cryptage.
- Chiffrement de bout en bout: Utilisez le chiffrement de bout en bout pour les données sensibles, notamment les factures et les demandes de paiement.
- Documentation: Documentez toutes les mesures de sécurité pour pouvoir démontrer, en cas d'incident, que vous avez rempli vos obligations de prudence.
- Formation: Former vos employés à gérer des données sensibles et des méthodes de communication sûres.
Le diagramme suivant illustre les conséquences des décisions rendues dans l'envoi d'e-mails:
Ce diagramme a été créé avec l'aide de l'intelligence artificielle (IA locale).
Résumé
Il est souvent difficile de démontrer les antécédents exacts d'un piratage et de prouver le lien entre la faute du destinataire et le préjudice causé.
La cryptage des transports ne fournit pas un suffisant protection contre le risque financier élevé, la cryptage de bout en bout est recommandé. Le bout en bout est complexe et doit être convenu individuellement. La Compatibilité des services de cryptage varie d'après le programme e-mail ou fournisseur de messagerie (par exemple Gmail, Outlook, Yahoo).
Les entreprises doivent prendre en compte le risque concret et les dommages potentiels lors du choix de la méthode de cryptage. La cryptage empêche que le contenu d'un courriel ne puisse être lu sans la clé correspondante. C'est particulièrement important pour des données personnelles sensibles.
Quels sont les données personnelles sensibles ?
- Données dont l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques d'une personne découlent
- Adhésion à un syndicat
- Données génétiques, données biométriques traitées exclusivement à des fins d'identification unique d'une personne physique
- Données de santé
- Données sur la vie sexuelle ou l'orientation sexuelle d'une personne
Commission européenne ([1])
La charge de la preuve pour le respect des dispositions sur la protection des données incombe au responsable.
De nombreuses assurances cyber ne couvrent pas automatiquement les dommages causés par des attaques de hackers ou offrent un recours limité à l'assurance.
Recommandations
Utilisez une cryptage de bout en bout chaque fois que possible, qui s'offre particulièrement lorsque des communications régulières ont lieu entre plusieurs postes.
Seulement en cas de nécessité, la personne concernée devrait être interrogée sur le fait qu'elle est d'accord avec l'envoi chiffré de ses données par transport. Mais cela risque de réveiller des chiens endormis.
Au lieu d'un courrier électronique non chiffré, le Envoi après le paiement peut être choisi comme méthode de transmission sécurisée. Alternativement, des procédés tels que S/MIME ou PGP peuvent être proposés. Les annexes protégées par mot de passe semblent également appropriées. Le mot de passe devrait alors être transmis via un autre moyen de communication, par exemple par SMS. Il devrait au moins être régulièrement modifié, dans la mesure où une communication plus fréquente (sûre) a lieu.
Les entreprises et les particuliers devraient être toujours prudents lors de l'envoi d'argent et ne pas effectuer de paiements à des comptes inconnus ou suspects.
Les commissaires à la protection des données devraient informer leurs mandants de manière appropriée pour limiter leur propre responsabilité.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
