Barracuda full logo

Les dangers pour l'entreprise d'utiliser des comptes e-mail personnels

Thèmes:
2 août 2019
|
Dave Hunt

Dans le cas où des personnes utilisent des comptes personnels comme Hotmail ou Yahoo pour envoyer des e-mails à caractère professionnel, un client nous a récemment posé une question qui soulève quelques points intéressants : « Quand est-il acceptable d’utiliser un compte e-mail personnel à des fins professionnelles ? »

Pour faire court, jamais. Néanmoins, il arrive souvent que les microentrepreneurs, les consultants, utilisent des comptes de messagerie « personnels ».   Les plus avisés créeront un compte secondaire qui reflétera leur activité ou le nom de leur entreprise (pratiquement tous les fournisseurs de services, c’est-à-dire des sociétés comme Verizon, Comcast, etc. offrent la possibilité de créer plusieurs comptes e-mail et ce, sans frais supplémentaires).

Pour les grandes entreprises, les risques existants et la disponibilité généralisée de la messagerie mobile devraient suffire à exclure toute utilisation d’un compte de messagerie personnel à des fins professionnelles.   Si, par exemple, l’utilisateur n’est pas au bureau, il doit pouvoir accéder à sa boîte de réception professionnelle à partir d’un smartphone ou d’un ordinateur, ce qui constitue une bien meilleure alternative que le simple recours à sa boîte de réception personnelle.


Les comptes de messagerie personnels échappent à la vigilance du service informatique.   Ils ne sont pas soumis aux procédures de backup, d’archivage, de sécurité ou de gouvernance. Leur utilisation à des fins professionnelles constitue donc une violation manifeste des règles de conformité.

Et dans la mesure où les e-mails personnels ne sont pas stockés sur les serveurs de l’entreprise, les demandes de consultation et d’accès à l’information (en vertu de la FOIA) sont sérieusement compromises et présentent des risques juridiques.

Quels sont les risques juridiques liés à l’utilisation d’un compte personnel à des fins professionnelles ?


Permettre aux employés d’utiliser des comptes e-mail personnels pour mener leurs activités implique que les informations commerciales de votre entreprise soient stockées sur des serveurs de messagerie échappant à votre contrôle, partout dans le monde.  Vous n’avez aucun moyen de savoir où sont stockées toutes les données de votre entreprise, ni à qui elles ont été communiquées.

Et un compte de messagerie personnel n’est pas couvert par les politiques de sécurité de votre entreprise. Votre employé a peut-être accepté les conditions générales de Gmail (qui autorisent les recherches dans le contenu des e-mails), alors votre entreprise ne l’a pas fait. Vous avez peut-être mis en place une bonne politique de confidentialité des données, mais les comptes de messagerie personnels peuvent la contourner en cliquant simplement sur le bouton « Envoyer ».

Connaître les risques et les conséquences de l’utilisation de comptes personnels à des fins professionnelles n’est pas toujours évident tant qu’il n’y a pas de demandes d’accès à l’information, d’enquêtes internes ou d’eDiscovery.  Dans tous ces cas, ces comptes personnels peuvent contenir des informations précieuses et, à ce titre, doivent être disponibles pour consultation et récupération.

Le processus de consultation lui-même est complexe. Les e-mails personnels ne peuvent pas être consultés dans le cadre des procédures de consultation légales standard. Google, par exemple, interdit l’analyse externe des e-mails des utilisateurs (plusieurs affaires sont en cours), ce qui signifie que l’entreprise devra demander à l’utilisateur d’analyser lui-même ses e-mails et encourt un risque important de poursuites pour spoliation.   Si le problème est d’ordre réglementaire, l’entreprise risque d’être déclarée non conforme.

Si un employé utilise des comptes de messagerie personnels pour envoyer des e-mails professionnels sur un appareil professionnel, cela ne signifie pas nécessairement que l’entreprise a le droit de faire des recherches dans ces e-mails.  Dans l’affaire « Stengart vs. Loving Care », la Cour suprême du New Jersey a jugé qu’un employé « pouvait raisonnablement s’attendre à ce que les communications par e-mail avec son avocat utilisant son compte e-mail personnel, protégé par un mot de passe et hébergé sur Internet restent privées, et que le fait de les envoyer et de les recevoir en utilisant un ordinateur portable de l’entreprise ne permettait pas de rompre le secret professionnel qui les protégeait ».

Il pourrait s’avérer très difficile de convaincre l’auteur d’une demande ou un tribunal que toutes les informations pertinentes ont été recueillies et produites, même si des mesures surhumaines (et coûteuses) ont été prises, comme la copie de l’intégralité de la boîte de réception d’une personne sur un serveur de l’entreprise à des fins de consultation et de récupération.  Et peu d’utilisateurs accepteraient qu’une copie complète de leurs e-mails personnels soit conservée sur les serveurs de leur entreprise.

Il existe également un risque pour l’entreprise, et il doit être pris en compte


Il existe plusieurs autres exemples de risques liés à l’utilisation de comptes personnels à des fins professionnelles.  Permettre aux employés d’utiliser leur messagerie personnelle au travail présente de sérieux risques de vol de propriété intellectuelle, de perte de confidentialité de l’entreprise ou de violation de la vie privée des clients, et de perturbation des opérations réseau en raison des exploitations qui pourraient être lancés sur des ordinateurs non sécurisés par vos politiques internes.

L’utilisation de la messagerie personnelle compromet la confidentialité de l’entreprise et expose potentiellement les communications de l’entreprise aux attaques et aux consultations non autorisées.  Pratiquement tous les comptes personnels peuvent faire l’objet de saisies et de consultations légales (et dans certains cas douteuses) par diverses agences de sécurité.

Selon la loi FISA actuelle, la NSA a le droit d’enregistrer les données émanant des DEUX terminaux d’une conversation électronique, si l’UN de ces terminaux coopère avec la NSA.  Le fait que les grands fournisseurs de messagerie personnelle tels que Google, Microsoft, AOL et Yahoo! coopèrent tous avec la NSA (ce qui leur permet d'analyser et de stocker tous les e-mails qu’ils souhaitent sur les serveurs de la NSA) signifie que toute personne qui reçoit un e-mail provenant de ces comptes risque de faire l’objet d’une surveillance, même si elle n’a pas du tout accepté les conditions générales du fournisseur.  Ainsi, si votre employé utilise sa messagerie personnelle pour envoyer des plans de projets sur la boîte de messagerie professionnelle d’un client, ce dernier a involontairement renoncé à sa vie privée au profit de la NSA !

Le manque de sécurité qui sous-tend la collecte de ces données (pensez à WikiLeaks) a compromis des gouvernements entiers, et les entreprises ne bénéficient d’aucune protection réelle à leur égard ou à l’égard de leurs clients !

La notion de continuité peut être un véritable problème. Que se passe-t-il si cet employé quitte l’entreprise ?  Cette personne emporte ces e-mails avec elle, ainsi que toute information pertinente, ce qui rend les éventuelles consultations ultérieures plus complexes.

Et le problème ne se limite pas aux e-mails. Les employés peuvent utiliser une adresse e-mail personnelle pour configurer un certain nombre de fonctions essentielles aux opérations quotidiennes de votre entreprise, par exemple des comptes d’hébergement web ou le rachat de domaines.   L’adresse e-mail personnelle de l’employé deviendra alors le propriétaire du compte. Si l’employé quitte l’entreprise, vous risquez d’avoir du mal à récupérer les actifs qu’il a configurés au nom de l’entreprise.   Quel impact cela pourrait-il avoir sur votre activité ?

Et sur votre crédibilité ?   Permettre aux employés d’envoyer des e-mails avec une adresse de type nomprénom@gmail.com contribue-t-il à véhiculer une image professionnelle de votre entreprise ?

La solution peut sembler évidente, mais les entreprises doivent encore la renforcer


Tout d’abord, la mise en place de politiques strictes contre l’utilisation de messageries personnelles à des fins professionnelles est la seule ligne de conduite à adopter, mais malgré toutes les raisons pour lesquelles les activités de l’entreprise ne devraient se faire que par le biais des messageries professionnelles, les utilisateurs choisiront toujours la solution la plus simple et utiliseront la messagerie qu’ils préfèrent.  Il incombe donc à l’entreprise de s’assurer que cette « solution de facilité » soit la solution désirée.

Les entreprises peuvent être proactives et s’assurer que les employés en télétravail ou sur le terrain peuvent facilement accéder aux systèmes de messagerie de l’entreprise sur leurs appareils.  Les interfaces de messagerie Web sont faciles à configurer, et toute saisie de conformité verra et conservera ces e-mails, même s’ils sont envoyés à partir d’un ordinateur, d’un portable, d’une tablette ou d’un smartphone personnels.  Lorsqu’ils rédigent un nouvel e-mail, en particulier sur un téléphone portable, il faut rappeler aux employés de toujours utiliser leur e-mail d’entreprise et non leur e-mail personnel.   Pour les travailleurs non salariés tels que les sous-traitants et les consultants, les enjeux sont les mêmes.  Si le sous-traitant ou le consultant travaille pour le compte de l’entreprise, il est judicieux de lui fournir une adresse e-mail de l’entreprise et d’appliquer des directives strictes quant à son utilisation dans le cadre de son contrat.

Afin d’éviter les problèmes résultant de l’utilisation de comptes de messagerie électroniques personnels, les responsables informatiques devraient toujours être en mesure de centraliser la surveillance et la supervision de tous les e-mails envoyés ou reçus au nom de l’entreprise, mais cela nécessite de mettre en place des politiques claires et une organisation des ressources informatiques à la fois proactive et réactive.  Le problème ne disparaîtra sûrement pas du jour au lendemain, mais il peut devenir tout à fait secondaire.

Barracuda propose un certain nombre de solutions de gestion des e-mails et des informations pour aider les entreprises à centraliser et à gérer leurs données commerciales tout en minimisant les risques organisationnels et juridiques.   Pour en savoir plus sur les solutions de sécurité et de protection des données de Barracuda, consultez notre site d’entreprise ici.

types de menace par e-mail

 

Dave Hunt

Billets associés :
Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
 La rentrée scolaire marque aussi le retour des escroqueries
La rentrée scolaire marque aussi le retour des escroqueries
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.