Publicité en cours de chargement...
Le chiffrement de mails, tour d 'horizon de quelques solutions – partie 1
Or, il y a de multiples et bonnes raisons de vouloir chiffrer un message : soit qu'il contient des données sensibles, soit que la réglementation nous l'impose (par exemple pour les données médicales), soit enfin parce que l'on n'a tout simplement pas envie qu'une tierce personne prenne connaissance de notre prose sans avoir à justifier le pourquoi du comment. Petit tour d'horizon de quelques solutions techniques intéressantes.
Première solution : utilisation de PGP
Programme phare en matière de chiffrement, le PGP est basé sur le principe des clés asymétriques, il est par essence assez technique à utiliser et sera plutôt réservé aux technophiles.
Dans les grandes lignes, la première étape est de télécharger un plugin pour son outil de messagerie : Thunderbird, Gmail, etc. Il faut ensuite générer un couple de clés et prendre garde à bien stocker et protéger sa clé privée, ce qui n'est pas si simple qu'il y paraît - là est d'ailleurs la faille dans laquelle la NSA tente de s'introduire. Il faut ensuite envoyer sa clé publique à ses correspondants, dont il faudra avoir en retour stocker les clés publiques, etc...
Cela impose donc de gérer un trousseau de clés, de le sauvegarder de façon sécurisée : on entre là clairement dans le monde de la PKI (Public Key Infrastructure). Sans infrastructure ad hoc l’usage est limité à un petit groupe d’individus acculturés.
Avantages : coût nul, niveau de chiffrement excellent (pour peu que l'on choisisse le niveau adéquat), intégration aux outils de messageries grand public. Le lecteur intéressé trouvera des liens explicatifs ci-dessous[1][2].
Inconvénients : pas mal de manipulations techniques pour installer, un niveau de protection des clés privées complexe à garantir, une gestion manuelle d'un trousseau de clés publiques, pas d'authentification forte (à deux facteurs) même si à priori rien n'interdit de coupler ce genre de mécanisme.
Deuxième solution : la messagerie sécurisée de santé
La messagerie sécurisée de santé en est à son troisième avatar. Dans la première version (début des années 2000), il était nécessaire que chaque praticien connecte physiquement sa carte CPS à un lecteur de carte adjoint au PC, se signe (code PIN) pour chiffrer le message. Le hic est qu'à l'époque, les lecteurs de cartes à puce intégrées étaient assez rares et que les outils de messagerie (Lotus dans 90% des cas) n'étaient pas nativement interfacés avec le middleware CPS. Le résultat a été l'apparition de la solution alternative Apycript qui a tellement bien pris que 15 ans après les pouvoirs publics ont arrêté de vouloir tuer ce logiciel tant il est déployé dans les cabinets de ville, et surtout intégré aux logiciels de ces cabinets, ce qui est le point faible de toutes les solutions de messagerie sécurisée officielles.
Dans la deuxième version, le certificat de chiffrement est déployé sur une passerelle de messagerie, ce qui limite l'usage aux établissements de santé ayant une DMZ ou oblige les utilisateurs à consulter une seconde boite aux lettres (sécurisée) en plus de leur BAL quotidienne (non sécurisée).
Dans la troisième mouture (en cours de déploiement), les défauts des solutions précédents ont été gommés, mais ce n'est pas gagné pour autant : impossibilité de lire les messages sur un terminal sans authentification forte (ce qui rend hasardeux la synchronisation avec smartphones), pas de BAL dédiée pour les secrétariats médicaux, etc...
Avantages : outil conforme à la réglementation, dans sa troisième mouture, le concept de « zone de confiance » le rend utilisable aussi bien par des cabinets de ville que des grands établissements de santé.
Inconvénients : de nombreux cas d'usages ne sont pas traités ou impossibles, temps de mise en œuvre à l'échelon national.
[1] http://openpgp.vie-privee.org
[2] http://korben.info/comment-chiffrer-ses-emails-thunderbird-gpg.html
Avez-vous apprécié ce contenu ?
A lire également.

Dedalus France : une nouvelle étape dans la trajectoire de transformation
24 juin 2025 - 07:50,
Actualité
- DSIHDedalus France annonce le départ de Frédéric Vaillant, Directeur Général Délégué, au 30 juin 2025, après plus de 25 ans d’engagement. Fondateur de Medasys, acteur central des grandes étapes de structuration de l’entreprise, il a contribué à façonner Dedalus France comme acteur majeur du numérique en...

Interopérabilité en santé : FHIR on fire
23 juin 2025 - 21:47,
Actualité
- DSIH, Guilhem De ClerckHLTH 2025 – Amsterdam, 17 juin 2025 – Sur la scène du congrès HLTH, l’interopérabilité des données de santé s’est imposée comme un enjeu central, illustrant les limites persistantes des systèmes actuels et les espoirs placés dans la norme FHIR (Fast Healthcare Interoperability Resources). Au cœur de...

« Data Opt-in-imism : pourquoi la confiance est-elle la clé du succès de l’EHDS », une question débattue au HLTH 2025
23 juin 2025 - 21:23,
Actualité
- DSIH, Mehdi LebranchuLe 18 juin dernier, au Salon HLTH Europe d’Amsterdam, la conférence « Data Opt-in-imism: Why trust is key to the success of EHDS » a réuni des voix institutionnelles du nord de l’Europe autour d’une question déterminante pour l’avenir du partage de données de santé : la confiance. Prévu pour 2029, l...

HLTH 2025, un Salon sous le signe de l’innovation distribuée
23 juin 2025 - 21:18,
Actualité
- DSIH, Mehdi LebranchuHLTH Europe 2025, qui s’est tenu cette année à Amsterdam, a offert un panorama dense et incarné de l’écosystème européen de la santé numérique. Le Salon a rassemblé géants technologiques, institutions publiques, start-up prometteuses et hôpitaux à la recherche de nouveaux modèles de collaboration. U...