Considérations de sécurité

Cet article traite des considérations de sécurité de Secure Mail et des paramètres spécifiques que vous pouvez activer pour accroître la sécurité des données.

Prise en charge de Microsoft IRM

Secure Mail pour Android et iOS prennent en charge les messages protégés par la gestion des droits relatifs à l’information (IRM) de Microsoft, sous réserve de la stratégie IRM configurée.

Cette fonctionnalité permet aux organisations d’utiliser la Gestion des droits relatifs à l’information (IRM) pour appliquer une protection permanente à l’envoi de contenu via e-mail et permettre aux utilisateurs d’appareils mobiles de créer et consommer le contenu protégé par IRM. La prise en charge IRM est désactivée par défaut. Pour l’activer, définissez la stratégie Gestion des droits relatifs à l’information sur Activé.

Secure Mail prend en charge les attributs de modèle suivants :

Important :

Les pièces jointes ne sont pas incluses dans la prise en charge de IRM.

Attribut Libellé dans Secure Mail Description
ContentExpiryDate Pas d’expiration ou la date d’expiration Vous permet de supprimer le corps et les pièces jointes du message e-mail lorsque la date ContentExpiryDate est dépassée. En outre, Secure Mail offre la possibilité de récupérer de nouveau le contenu depuis le serveur.
EditAllowed Modifier le contenu Spécifie si l’utilisateur peut modifier le message e-mail lorsque l’utilisateur transfère répond ou répond à tous pour le message.
ExportAllowed   Spécifie si l’utilisateur peut supprimer la protection IRM sur le message e-mail.
ExtractAllowed Copier le contenu Spécifie si l’utilisateur peut copier le contenu des messages e-mail.
ForwardAllowed Transférer Spécifie si l’utilisateur est autorisé ou non à transférer le courrier électronique.
ModifyRecipientsAllowed Modifier les destinataires Spécifie si l’utilisateur peut modifier la liste de destinataires lorsqu’il transfère ou répond au message e-mail.
ProgrammaticAccessAllowed Envoyer à d’autres applications Spécifie si des applications tierces peuvent accéder via un programme au contenu du message e-mail.
ReplyAllAllowed Répondre à tous Spécifie si l’utilisateur peut répondre à tous les destinataires du message e-mail d’origine.
ReplyAllowed Répondre Spécifie si l’utilisateur est autorisé à répondre au message e-mail.

Les utilisateurs voient l’écran de restrictions suivant.

Écran de restrictions IRM Secure Mail

Certaines organisations peuvent nécessiter un strict respect de la stratégie IRM. Les utilisateurs ayant accès à Secure Mail peuvent essayer de contourner la stratégie IRM en altérant Secure Mail, le système d’exploitation ou même la plate-forme matérielle.

Bien que Endpoint Management puisse détecter certaines attaques, les mesures de prévention suivantes peuvent accroître la sécurité :

  • Consultez le guide de sécurité fourni par le fabricant de l’appareil.
  • Configurez les appareils en conséquence, à l’aide des fonctions de Endpoint Management ou d’autres fonctions.
  • Conseillez vos utilisateurs dans le cadre de l’utilisation appropriée des fonctionnalités IRM, y compris Secure Mail.
  • Déployez des logiciels de sécurité tiers conçus pour résister à ce type d’attaque.

Classifications de sécurité de la messagerie

Secure Mail pour iOS et Android prend en charge les marquages de classification de messagerie, ce qui permet aux utilisateurs de spécifier des marqueurs SEC (sécurité) et DLM (dissemination limiting markers) lors de l’envoi d’e-mails. SEC comprend les marquages suivants : Protected, Confidential et Secret. DLM comprend les marquages suivants : Sensitive, Legal ou Personal. Lors de la composition d’un e-mail, un utilisateur Secure Mail peut sélectionner un marquage pour indiquer le niveau de classification de l’e-mail, comme indiqué dans les images suivantes.

Lien de classification de sécurité dans Secure Mail

Liste de classification de sécurité dans Secure Mail

Les destinataires peuvent afficher le marquage de classification dans l’objet de l’e-mail. Par exemple :

  • Objet : Planification [SEC = PROTECTED, DLM = Sensitive]
  • Objet : Planification [SEC = PROTECTED, DLM = Sensitive]
  • Objet : Planification [SEC = UNCLASSIFIED]

Les en-têtes d’e-mail incluent les marquages de classification comme une extension d’en-tête de message Internet, affiché en gras dans cet exemple :

Date : Ven, 01 Mai 2015 12:34:50 +530

Objet : Planification [SEC = PROTECTED, DLM = Sensitive]

Priorité : normale

X-Priority : normale X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com

De : operations@example.com

À : Équipe <mylist@example.com>

Version MIME : 1.0 Type de contenu : multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"

Secure Mail affiche uniquement les marquages de classification. L’application ne prend aucune action basée sur ces marquages.

Lorsqu’un utilisateur répond ou transfère un e-mail contenant des marquages de classification, les valeurs SEC et DLM utilisées par défaut sont celles de l’e-mail d’origine. L’utilisateur peut choisir un autre marquage. Secure Mail ne valide pas de telles modifications en relation avec le message d’origine.

Vous configurez les marquages de classification de messagerie par le biais des stratégies MDX suivantes.

  • Classification de la messagerie : si ce paramètre est défini sur Activé, Secure Mail prend en charge les marquages de classification de messagerie pour SEC et DLM. Les marquages de classification apparaissent dans les en-têtes d’e-mail en tant que valeurs « X-Protective-Marking ». Veillez à configurer les stratégies de classification de messagerie associées. La valeur par défaut est Désactivé.

  • Espace de noms de classification de la messagerie : spécifie l’espace de noms de la classification requis dans l’en-tête de l’e-mail par la norme de classification utilisée. Par exemple, l’espace de noms « gov.au » apparaît dans l’en-tête comme « NS=gov.au ». La valeur par défaut est vide.

  • Version de classification de la messagerie : spécifie la version de la classification requise dans l’en-tête de l’e-mail par la norme de classification utilisée. Par exemple, la version « 2012.3 » apparaît dans l’en-tête comme « VER=2012.3 ». La valeur par défaut est vide.

  • Classification de messagerie par défaut : spécifie le marquage de protection que Secure Mail applique à un e-mail si un utilisateur ne choisit pas un marquage. Cette valeur doit figurer dans la liste de la stratégie Marquages de classification de la messagerie. La valeur par défaut est UNOFFICIAL.

  • Marquages de classification de la messagerie : spécifie les marquages classification à mettre à la disposition des utilisateurs. Si la liste est vide, Secure Mail ne comprend pas de liste des marquages de protection. La liste des marquages contient des paires de valeurs qui sont séparées par des points-virgules. Chaque paire comprend la valeur de liste qui apparaît dans Secure Mail et la valeur de marquage qui correspond au texte ajouté à l’objet et l’en-tête de l’e-mail dans Secure Mail. Par exemple, dans la paire de marquage « UNOFFICIAL SEC=UNOFFICIAL; », la valeur de liste est « UNOFFICIAL » et la valeur de marquage est « SEC=UNOFFICIAL ».

La valeur par défaut est une liste des marquages de classification que vous pouvez modifier. Les marquages suivants sont fournis avec Secure Mail.

  • UNOFFICIAL,SEC=UNOFFICIAL
  • UNCLASSIFIED,SEC=UNCLASSIFIED
  • For Official Use Only,DLM=For-Official-Use-Only
  • Sensitive,DLM=Sensitive
  • Sensitive:Legal,DLM=Sensitive:Legal
  • Sensitive:Personal,DLM=Sensitive:Personal
  • PROTECTED,SEC=PROTECTED
  • PROTECTED+Sensitive,SEC=PROTECTED
  • PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
  • PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
  • PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
  • CONFIDENTIAL,SEC=CONFIDENTIAL
  • CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
  • CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
  • CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
  • CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
  • SECRET,SEC=SECRET
  • SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
  • SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
  • SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
  • SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
  • TOP-SECRET,SEC=TOP-SECRET
  • TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
  • TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRET DLM=Sensitive:Legal
  • TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRET DLM=Sensitive:Personal
  • TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRET DLM=Sensitive:Cabinet

Protection des données iOS

Les entreprises qui doivent satisfaire aux exigences du ASD (Australian Signals Directorate) en matière de protection des données peuvent utiliser la nouvelle stratégie Activer la protection des données iOS pour Secure Mail et Secure Web. Par défaut, les stratégies sont définies sur Désactivé.

Lorsque la stratégie Activer la protection des données iOS est définie sur Activé pour Secure Web, Secure Web utilise un niveau de protection de classe A pour tous les fichiers du sandbox. Pour obtenir des informations détaillées sur la protection de données Secure Mail, consultez la section Australian Signals Directorate Data Protection. Si vous activez cette stratégie, la classe de protection des données la plus élevée est utilisée. Il n’est donc pas nécessaire de spécifier également la stratégie Classe de protection des données minimum.

Pour modifier la stratégie Activer la protection des données iOS

  1. Utilisez la console Endpoint Management pour charger les fichiers MDX Secure Web et Secure Mail sur Endpoint Management : pour une nouvelle application, accédez à Configurer > Applications > Ajouter, puis cliquez sur MDX. Pour une mise à niveau, consultez la section Mettre à niveau les applications MDX ou d’entreprise.

  2. Pour Secure Mail, accédez aux paramètres d’application, localisez la stratégie Activer la protection des données iOS et définissez-la sur Activé. Les appareils exécutant des systèmes d’exploitation plus anciens ne sont pas affectés lorsque cette stratégie est activée.

  3. Pour Secure Web, accédez au Paramètres d’application, localisez la stratégie Activer la protection des données iOS et définissez-la sur Activé. Les appareils exécutant des systèmes d’exploitation plus anciens ne sont pas affectés lorsque cette stratégie est activée.

  4. Configurez les stratégies applicatives et enregistrez vos paramètres pour déployer l’application sur le magasin d’applications Endpoint Management.

Australian Signals Directorate Data Protection

Secure Mail prend en charge la protection des données du ASD (Australian Signals Directorate) pour les entreprises qui doivent satisfaire aux exigences de sécurité informatique du ASD. Par défaut, la stratégie Activer la protection des données iOS est définie sur Désactivé, et Secure Mail offre une protection des données de classe C ou utilise la protection des données définie dans le profil de provisioning.

Si cette stratégie est définie sur Activé, Secure Mail spécifie le niveau de protection lors de la création et de l’ouverture des fichiers dans le sandbox des applications. Secure Mail définit la protection des données de classe A sur :

  • Les éléments de la Boîte d’envoi
  • Les photos provenant de l’appareil photo ou de l’application pellicule
  • Les images collées à partir d’autres applications
  • Les pièces jointes téléchargées

Secure Mail définit la protection des données de classe B sur :

  • Les messages stockés
  • Les éléments de calendrier
  • Contacts
  • Les fichiers de stratégie ActiveSync

La protection de classe B permet la synchronisation d’un appareil verrouillé et autorise les téléchargements si un appareil est verrouillé après le démarrage du téléchargement.

Lorsque la protection des données est activée, les éléments de la boîte d’envoi en file d’attente ne sont pas envoyés lorsqu’un appareil est verrouillé car les fichiers ne peuvent pas être ouverts. En outre, si l’appareil ferme puis redémarre Secure Mail alors qu’un appareil est verrouillé, Secure Mail ne peut pas se synchroniser tant que l’appareil n’est pas déverrouillé et que Secure Mail n’a pas redémarré.

Citrix vous recommande, si vous activez cette stratégie, d’activer la journalisation Secure Mail uniquement en cas de nécessité pour éviter la création de fichiers journaux avec la protection des données de classe C.