Qu’est-ce que le chiffrement et pourquoi est-il important ?

Le chiffrement est un processus mathématique utilisé pour brouiller un message ou un fichier afin que seule une personne ou une entité possédant la clé puisse le « déchiffrer » et le lire. Sans chiffrement, nos messages peuvent être lus par des adversaires potentiels, notamment des gouvernements étrangers hostiles ou des pirates informatiques. Ce type de chiffrement est important non seulement pour les communications parlementaires internes, mais aussi pour les communications externes dans lesquelles la vie privée et l’intégrité doivent être protégées. Le guide d’autodéfense en matière de surveillance de l’Electronic Frontier Foundation fournit une explication pratique (avec des graphiques) de ce que représente le chiffrement :

Comme vous pouvez le voir sur l’image ci-dessus, un smartphone envoie un message texte vert et non chiffré (« hello ») à un autre smartphone situé à l’extrême droite. En cours de route, une tour de téléphonie mobile (ou, dans le cas d’un message envoyé par internet, votre fournisseur d’accès à internet, appelé FAI) transmet le message aux serveurs de l’entreprise. De là, il traverse le réseau jusqu’à une autre tour de téléphonie mobile, qui peut voir le message « hello » non chiffré, et est finalement acheminé vers sa destination. Il est important de noter que sans aucun chiffrement, toutes les personnes impliquées dans la transmission du message, ainsi que toute personne qui peut jeter un coup d’œil au moment où il passe, peuvent lire son contenu. Cela n’a peut-être pas beaucoup d’importance si vous ne faites que dire « bonjour », mais cela peut être un problème si vous communiquez quelque chose de plus privé ou de plus sensible que vous ne voulez pas que votre télécom, votre FAI, un gouvernement hostile ou tout autre adversaire voie. Pour cette raison, il est essentiel d’éviter d’utiliser des outils non chiffrés pour envoyer des messages sensibles (et idéalement tout message). N’oubliez pas que certaines des méthodes de communication les plus populaires (comme les SMS et les appels téléphoniques) fonctionnent pratiquement sans aucun chiffrement (comme sur l’image ci-dessus).

Il existe deux manières de chiffrer des données lors de leur déplacement : le chiffrement de la couche de transport et le chiffrement de bout en bout. Il est important de connaître le type de chiffrement pris en charge par un fournisseur de services lorsque votre parlement fait des choix pour adopter des pratiques et des systèmes de communication plus sûrs. De telles différences sont bien décrites par le guide d’autodéfense en matière de surveillance , qui est à nouveau adapté ici :

Le chiffrement de la couche de transport, également connu sous le nom de Sécurité de la couche de transport (TLS), protège les messages lorsqu’ils transitent de votre appareil vers les serveurs de l’application ou du service de messagerie et, de là, vers l’appareil de votre destinataire. Ils sont ainsi protégés des regards indiscrets des pirates informatiques qui se trouvent sur votre réseau ou chez vos fournisseurs de services Internet ou de télécommunications. Cependant, entre les deux, votre fournisseur de services de messagerie ou de courriel, le site web sur lequel vous naviguez ou l’application que vous utilisez peuvent voir des copies non chiffrées de vos messages. Étant donné que vos messages peuvent être consultés par les serveurs de l’entreprise (et sont souvent stockés sur ces derniers), ils peuvent être vulnérables aux demandes des forces de l’ordre ou au vol si les serveurs de l’entreprise sont compromis.

L’image ci-dessus montre un exemple de chiffrement de la couche de transport. Sur la gauche, un smartphone envoie un message vert, non chiffré : « Hello. » Ce message est chiffré et ensuite transmis à une tour de téléphonie mobile. Au milieu, les serveurs de l’entreprise sont en mesure de déchiffrer le message, de lire son contenu, de décider où l’envoyer, de le rechiffrer et de l’envoyer à la prochaine tour de téléphonie mobile vers sa destination. A la fin, l’autre smartphone reçoit le message chiffré et le déchiffre pour lire « Hello. »

Le chiffrement de bout en bout protège les messages en transit, de l’expéditeur au destinataire. Il garantit que l’information est transformée en un message secret par son expéditeur initial (le premier « bout ») et décodée uniquement par son destinataire final (le second « bout »). Personne, y compris l’application ou le service que vous utilisez, ne peut « écouter » et mettre sur écoute votre activité.

L’image ci-dessus montre un exemple de chiffrement de bout en bout. Sur la gauche, un smartphone envoie un message vert, non chiffré : « Hello. » Ce message est chiffré, puis transmis à une tour de téléphonie mobile, puis aux serveurs de l’application ou du service, qui ne peuvent pas lire le contenu, mais transmettent le message secret à sa destination. A la fin, l’autre smartphone reçoit le message chiffré et le déchiffre pour lire « Hello. » Contrairement au chiffrement de la couche de transport, votre FAI ou votre hôte de messagerie n’est pas en mesure de déchiffrer le message. Seuls les points d’extrémité (les dispositifs d’origine qui envoient et reçoivent les messages chiffrés) disposent des clés pour déchiffrer et lire le message.

De quel type de chiffrement avons-nous besoin ?

Lorsque vous déterminez si votre parlement a besoin d’un chiffrement de la couche transport ou d’un chiffrement de bout en bout pour vos communications (ou d’une combinaison des deux pour différents systèmes et activités), les grandes questions que vous devez poser portent sur la confiance. Par exemple, faites-vous confiance à l’application ou au service que vous utilisez ? Faites-vous confiance à son infrastructure technique ? Êtes-vous préoccupé par la possibilité qu’un gouvernement étranger hostile puisse forcer l’entreprise à remettre vos messages et, si c’est le cas, faites-vous confiance aux politiques de l’entreprise pour se protéger contre les demandes des forces de l’ordre étrangères ?

Si vous répondez « non » à l’une de ces questions, vous avez besoin d’un chiffrement de bout en bout. Si vous répondez « oui » à ces questions, un service qui ne prend en charge que le chiffrement de la couche de transport peut suffire, mais il est généralement préférable d’opter pour des services qui prennent en charge le chiffrement de bout en bout lorsque cela est possible.

Une autre série de questions à se poser est de savoir si, en tant que parlement, vous êtes tenu par la loi de maintenir un accès unique à toutes les communications parlementaires, s’il existe des exigences en matière de localisation des données dans votre pays, et/ou si certaines communications doivent être conservées (par exemple, ne pas être supprimées définitivement par le personnel) afin de respecter les lois et les engagements en matière de transparence gouvernementale. Si c’est le cas, vous pourriez envisager un système de communication d’entreprise avec chiffrement de bout en bout dans lequel vous, en tant que parlement, pouvez contrôler vous-même les clés de chiffrement. De tels systèmes (qui seront abordés plus en détail dans la section Stocker les données en toute sécurité du manuel) peuvent être puissants, mais leur mise en œuvre nécessite des compétences techniques avancées.

Par ailleurs, lorsque vous envoyez des messages à des groupes, gardez à l’esprit que la sécurité de vos messages est fonction de la sécurité effective de tous ceux qui les reçoivent. En plus de choisir soigneusement des applications et des systèmes sécurisés, il est important que tous les membres du groupe suivent d’autres bonnes pratiques concernant la sécurité des comptes et des appareils. Il suffit d’un seul mauvais intervenant ou d’un seul appareil infecté pour que le contenu d’une conversation ou d’un appel de groupe entier soit divulgué.

Que devons-nous faire à propos des e-mails ?

En général, le courrier électronique n’est pas la meilleure option en matière de sécurité. Même les meilleures options de chiffrement de bout en bout des courriels laissent généralement à désirer du point de vue de la sécurité, par exemple en ne chiffrant pas les lignes d’objet des courriels et en ne protégeant pas les métadonnées (un concept important qui sera décrit ci-dessous). Si vous devez communiquer des informations très sensibles qui ne doivent pas être conservées dans les archives publiques, gardez à l’esprit qu’il est préférable d’éviter le courrier électronique (à la fois le système du parlement et surtout le compte personnel de quelqu’un) au profit d’options de messagerie sécurisée (qui seront mises en évidence dans la section suivante).

Cependant, en tant que parlement, il se peut que vous souhaitiez ou ayez besoin que les membres et le personnel communiquent des contenus sensibles ou privés par le biais d’un système géré de manière centralisée dans le cadre de leurs activités quotidiennes. Un système de messagerie électronique à l’échelle du parlement, avec des contrôles de compte appropriés bien sûr, peut être utile dans ce cas. Si, d’après votre analyse ci-dessus, le chiffrement de la couche de transport suffit, les offres professionnelles standard des fournisseurs de messagerie tels que Google Workspace (Gmail) et Microsoft 365 (Outlook) pourraient constituer des options solides pour votre parlement. Cependant, si vous craignez que votre fournisseur de courriel ne soit légalement tenu de fournir des informations sur vos communications à un gouvernement étranger ou à un autre adversaire, ou si les exigences locales en matière de résidence des données peuvent poser problème, vous devriez envisager d’utiliser une option de courriel chiffré de bout en bout. Parmi ces options, citons l’ajout de votre propre gestion des clés de chiffrement à Google Workspace ou Microsoft 365 (comme décrit dans la section Stocker les données en toute sécurité du présent manuel), ou l’adoption de services de messagerie chiffrés de bout en bout conçus pour les grandes organisations, tels que ProtonMail Business ou Tutanota Business.

Quels outils de messagerie chiffrée de bout en bout devrions-nous utiliser (à partir de 2022) ?

Si vous devez utiliser le chiffrement de bout en bout, ou si vous souhaitez simplement adopter la meilleure pratique quel que soit le contexte de menace de votre parlement, voici quelques exemples fiables de services qui, à partir de 2022, offrent une messagerie et des appels chiffrés de bout en bout. Cette section du manuel sera régulièrement mise à jour en ligne, mais veuillez noter que les choses évoluent rapidement dans le monde de la messagerie sécurisée, de sorte que ces recommandations peuvent ne pas être à jour au moment où vous lisez cette section. Gardez à l’esprit que la sécurité de vos communications dépend de celle de votre appareil. Ainsi, en plus d’adopter des pratiques de messagerie sécurisée, il est essentiel de mettre en œuvre les meilleures pratiques décrites dans la section Sécurité des dispositifs de ce manuel.

Qu’est-ce que les métadonnées et devons-nous nous en préoccuper ?

Les personnes à qui vous, vos membres et votre personnel parlez et quand et où vous leur parlez, tout cela peut souvent être aussi problématique que ce dont vous parlez. Il est important de se rappeler que le chiffrement de bout en bout ne protège que le contenu (le « quoi ») de vos communications. C’est là que les métadonnées entrent en jeu. Le guide d’autodéfense en matière de surveillance de l’EFF donne une présentation des métadonnées et explique pourquoi elles sont importantes (en incluant une illustration de ce à quoi ressemblent les métadonnées) :

Les métadonnées sont souvent décrites comme étant tout sauf le contenu de vos communications. Vous pouvez considérer les métadonnées comme l’équivalent numérique d’une enveloppe. Tout comme une enveloppe contient des informations sur l’expéditeur, le destinataire et la destination d’un message, il en va de même pour les métadonnées. Les métadonnées sont des informations sur les communications numériques que vous envoyez et recevez. Voici quelques exemples de métadonnées :

• avec qui vous communiquez
• la ligne d’objet de vos courriels
• la durée de vos conversations
• l’heure à laquelle une conversation a eu lieu
• votre localisation lors de la communication

Si la transparence des opérations parlementaires applicables est essentielle, il est également important de limiter l’accès non autorisé aux métadonnées (en plus de protéger le contenu des communications). Après tout, les métadonnées peuvent révéler des informations sensibles à des pirates informatiques, à des gouvernements étrangers, à des entreprises ou à d’autres personnes dont l’accès n’est pas souhaité. Voici quelques exemples de la façon dont les métadonnées peuvent être révélatrices :

• Ils savent qu’un député ou un membre du personnel a appelé un journaliste et parlé avec lui pendant une heure avant que ce dernier ne publie un article avec une citation anonyme. Cependant, ils ne savent pas de quoi vous avez parlé.
• Ils savent que vous avez reçu un e-mail d’un service de test de COVID, puis que vous avez appelé votre médecin, puis que vous avez visité le site web de l’Organisation mondiale de la santé dans la même heure. Cependant, ils ne savent pas ce que contenait l’e-mail ni ce dont vous avez parlé au téléphone.

Les métadonnées ne sont pas protégées par le chiffrement fourni par la plupart des services de messagerie. Si vous envoyez un message sur WhatsApp, par exemple, n’oubliez pas que, même si le contenu de votre message est chiffré de bout en bout, il est toujours possible pour d’autres personnes de savoir à qui vous envoyez des messages, à quelle fréquence et, dans le cas des appels téléphoniques, pendant combien de temps. Par conséquent, vous devez garder à l’esprit les risques qui existent (le cas échéant) si certains adversaires sont en mesure de savoir à qui vous parlez, quand vous leur avez parlé et (dans le cas des e-mails) les lignes d’objet générales des communications de votre parlement.

L’une des raisons pour lesquelles Signal est si fortement recommandé est que, en plus de fournir un chiffrement de bout en bout, il a introduit des fonctionnalités et pris des engagements afin de réduire la quantité de métadonnées qu’il enregistre et stocke. Par exemple, la fonction « Expéditeur scellé » de Signal chiffre les métadonnées relatives à la personne qui parle à un autre, de sorte que Signal ne connaît que le destinataire d’un message, mais pas l’expéditeur. Par défaut, cette fonction ne fonctionne que lorsque vous communiquez avec des contacts ou des profils existants (personnes) avec lesquels vous avez déjà communiqué ou que vous avez enregistrés dans votre liste de contacts. Cependant, vous pouvez activer ce paramètre « Expéditeur scellé » pour « Autoriser de n’importe qui » s’il est important pour vous d’éliminer ces métadonnées dans toutes les conversations Signal, même celles avec des personnes qui vous sont inconnues. Cela n’est peut-être pas essentiel pour la majorité des communications parlementaires, mais il est important d’être conscient des risques posés par les métadonnées et de choisir en conséquence les outils et les politiques de communication appropriés.

Peut-on vraiment faire confiance à WhatsApp ?

WhatsApp est un choix populaire en matière de messagerie sécurisée et peut constituer une bonne option compte tenu de son omniprésence. Certains s’inquiètent du fait qu’il est détenu et contrôlé par Facebook, qui s’est efforcé de l’intégrer à ses autres systèmes. D’autres sont également préoccupées par la quantité de métadonnées (c’est-à-dire des informations sur les personnes avec qui vous communiquez et quand) que WhatsApp collecte. Si vous choisissez d’utiliser WhatsApp comme option de messagerie sécurisée, veillez à lire la section ci-dessus sur les métadonnées. Il y a également quelques paramètres dont il est nécessaire de s’assurer qu’ils soient correctement configurés. Plus important encore, assurez-vous de désactiver les sauvegardes dans le nuage ou, à tout le moins, d’activer la nouvelle fonctionnalité de sauvegardes chiffrées de bout en bout de WhatsApp en utilisant une clé de chiffrement à 64 chiffres ou un code de passe long, aléatoire et unique enregistré dans un endroit sûr (comme votre gestionnaire de mots de passe). Veillez également à afficher les notifications de sécurité et à vérifier les codes de sécurité. Vous pouvez trouver des guides pratiques simples pour configurer ces paramètres sur les téléphones Android ici et les iPhones ici. Si votre personnel *et ceux avec qui vous communiquez tous* ne configurent pas correctement ces options, alors il ne faut pas considérer WhatsApp comme une bonne option pour les communications sensibles qui nécessitent un chiffrement de bout en bout. Signal reste la meilleure option pour ces besoins de messagerie chiffrée de bout en bout, compte tenu de ses paramètres par défaut sécurisés ainsi que de ses mesures de protection des métadonnées.

Et les messages texte ?

Les messages texte de base ne sont pas du tout sécurisés (les SMS standard sont effectivement non chiffrés) et doivent être évités pour tout ce qui n’est pas destiné à être connu du public. Bien que les messages entre iPhone d’Apple (connus sous le nom d’iMessages) soient chiffrés de bout en bout, s’il n’y a pas d’iPhone dans la conversation, les messages ne sont pas sécurisés. Il vaut mieux être prudent et éviter les SMS pour tout ce qui est de loin sensible, privé ou confidentiel.

Pourquoi Telegram, Facebook Messenger ou Viber ne sont-ils pas recommandés pour les discussions sécurisées ?

Certains services, comme Facebook Messenger et Telegram, n’offrent un chiffrement de bout en bout que si vous l’activez délibérément (et uniquement pour les discussions en tête-à-tête), ce ne sont donc pas de bonnes options pour les messages sensibles ou privés, en particulier pour les équipes. Ne vous fiez pas à ces outils si vous devez utiliser le chiffrement de bout en bout, car il est assez facile d’oublier de modifier les paramètres par défaut, qui sont moins sûrs. Viber affirme offrir un chiffrement de bout en bout, mais n’a pas mis son code à la disposition des chercheurs en sécurité externes afin qu’ils puissent l’examiner. Le code de Telegram n’a pas non plus été mis à disposition pour un audit public. Par conséquent, de nombreux experts craignent que le chiffrement de Viber (ou les « discussions secrètes » de Telegram) ne soit pas conforme aux normes et ne convienne donc pas aux communications qui nécessitent un véritable chiffrement de bout en bout.

Nos collègues parlementaires et nos électeurs utilisent d’autres applications de messagerie pour communiquer - comment les convaincre de télécharger une nouvelle application pour communiquer avec nous ?

Il faut parfois faire un compromis entre sécurité et praticité, mais un petit effort supplémentaire en vaut la peine afin de garantir la sécurité des communications sensibles. Montrez l’exemple à vos contacts, qu’il s’agisse d’autres agences gouvernementales, d’institutions, de parlementaires ou d’électeurs externes. Si vous devez utiliser d’autres systèmes moins sûrs, faites très attention à ce que vous dites. Évitez de discuter de sujets sensibles. Certains parlements peuvent avoir des protocoles différents pour les conversations générales ou les communications avec le public par rapport aux discussions confidentielles avec les dirigeants, par exemple. Classez vos communications parlementaires (internes et externes) en fonction de leur sensibilité et assurez-vous que les membres et le personnel utilisent les mécanismes de communication appropriés ! Bien sûr, le plus simple est que tout soit automatiquement chiffré en permanence, car ainsi il n’y a rien à oublier ou à penser.

Heureusement, les applications chiffrées de bout en bout comme Signal sont de plus en plus populaires et conviviales ; sans compter qu’elles ont été adaptées dans des dizaines de langues afin de pouvoir être utilisées dans le monde entier. Si vos partenaires ou autres contacts ont besoin d’aide pour passer à une option de chiffrement de bout en bout comme Signal, prenez le temps de leur expliquer pourquoi il est si important de protéger correctement vos communications. Lorsque tout le monde en comprendra l’importance, les quelques minutes nécessaires au téléchargement d’une nouvelle application et les quelques jours qu’il faudra peut-être pour s’habituer à l’utiliser ne sembleront pas être de trop.

Existe-t-il d’autres paramètres pour les applications chiffrées de bout en bout que nous devrions connaître ?

Avec l’application Signal, la vérification des codes de sécurité (qu’ils appellent numéros de sécurité) est également importante. Pour afficher un numéro de sécurité et le vérifier avec Signal, vous pouvez ouvrir votre discussion avec un contact, appuyer sur son nom en haut de votre écran, puis faire défiler l’écran vers le bas pour appuyer sur « Afficher le numéro de sécurité ». Si votre numéro de sécurité correspond à celui de votre contact, vous pouvez le marquer comme « vérifié » à partir de ce même écran. Il est particulièrement important de prêter attention à ces numéros de sécurité et de vérifier vos contacts si vous recevez une notification dans une discussion indiquant que votre numéro de sécurité avec un contact donné a changé. Si vous ou d’autres membres du personnel ont besoin d’aide pour configurer ces paramètres, Signal lui-même fournit des instructions pratiques.

Si vous utilisez Signal, qui est largement considéré comme la meilleure option conviviale en matière de messagerie sécurisée et d’appels individuels, veillez à définir un code pin fort. Utilisez au moins six chiffres sans utiliser quelque chose de facile à deviner comme votre date de naissance. 

Pour plus de conseils sur la façon de configurer correctement Signal et WhatsApp, vous pouvez consulter les guides d’outils élaborés par l’EFF pour ces deux produits dans son guide d’autodéfense en matière de surveillance.

Qu’en est-il des appels vidéo de groupes plus importants ? Existe-t-il des options de chiffrement de bout en bout ?

Avec l’augmentation du travail à distance, il est important de disposer d’une option sécurisée pour les appels vidéo de grands groupes ou les assemblées générales virtuelles des députés. Malheureusement, il n’existe pas actuellement de grandes options qui remplissent toutes les conditions : convivialité, prise en charge d’un grand nombre de participants et de fonctions de collaboration, et chiffrement de bout en bout par défaut.

Les besoins spécifiques des sessions plénières et des réunions de commissions seront abordés plus loin dans ce manuel, mais pour vos autres réunions plus générales qui ne nécessitent pas de fonctions de collaboration telles que le partage d’écran ou des salles de réunion, il existe quelques options. Les appels vidéo de groupe sur Signal peuvent être rejoints par jusqu’à 40 participants soit à partir d’un smartphone, soit à partir de l’application de bureau Signal sur un ordinateur qui permet le partage d’écran. N’oubliez pas, cependant, que seuls vos contacts qui utilisent déjà Signal peuvent être ajoutés à un groupe Signal.

Si vous recherchez d’autres options, Jitsi Meet est une plateforme qui a récemment intégré une option de chiffrement de bout en bout. Jitsi Meet est une solution d’audioconférence et de vidéoconférence basée sur le web qui peut fonctionner pour de grands publics (jusqu’à 100 personnes) et ne nécessite aucun téléchargement d’application ou de logiciel spécial. Notez que si vous utilisez cette fonction avec des groupes importants (plus de 15-20 personnes), la qualité de l’appel peut baisser. Pour organiser une réunion sur Jitsi Meet, vous pouvez vous rendre sur meet.jit.si, saisir un code de réunion et partager ce lien (via un canal sécurisé tel que Signal) avec les participants souhaités. Pour utiliser le chiffrement de bout en bout, jetez un coup d’œil à ces instructions décrites par Jitsi. Notez que tous les utilisateurs individuels devront eux-mêmes activer le chiffrement de bout en bout pour que cela fonctionne. Lorsque vous utilisez Jitsi, veillez à créer des noms de salle de réunion aléatoires et à utiliser des codes d’accès forts pour protéger vos appels.

Si cette option ne convient pas à vos équipes, vous pouvez envisager d’utiliser une option commerciale populaire comme Webex ou Zoom avec un chiffrement de bout en bout activé. Webex offre un chiffrement de bout en bout depuis longtemps. Toutefois, cette option n’est pas activée par défaut et les participants doivent télécharger Webex pour rejoindre votre réunion. Afin de bénéficier de l’option de chiffrement de bout en bout pour votre compte Webex, vous devez ouvrir un cas d’assistance Webex et suivre ces instructions pour vous assurer que le chiffrement de bout en bout est configuré. Seul l’hôte de la réunion doit activer le chiffrement de bout en bout. De cette manière, la réunion entière sera chiffrée de bout en bout. Si vous utilisez Webex pour des réunions de groupe et des ateliers sécurisés, veillez à activer également des codes d’accès forts pour vos appels.

Après des mois de publicité négative, Zoom a développé une option de chiffrement de bout en bout pour ses appels. Cependant, cette option n’est pas activée par défaut, exige que l’hôte de l’appel associe son compte à un numéro de téléphone et ne fonctionne que si tous les participants se joignent via l’application de bureau ou mobile Zoom au lieu de composer un numéro. Comme il est facile de mal configurer ces paramètres par accident, il n’est pas idéal de se fier à Zoom comme option de chiffrement de bout en bout. Toutefois, si vous avez besoin d’un chiffrement de bout en bout et que Zoom est votre seule option, vous pouvez suivre les instructions de Zoom afin de le configurer. N’oubliez pas de vérifier avant le début de l’appel qu’il est bien chiffré de bout en bout en cliquant sur le cadenas vert dans le coin supérieur gauche de l’écran Zoom et en voyant la mention « bout en bout » à côté du paramètre de chiffrement. Vous devez également définir un code d’accès fort pour chaque réunion Zoom.

Il convient toutefois de noter que certaines fonctions populaires des outils ci-dessus ne fonctionnent qu’avec le chiffrement de la couche de transport. Par exemple, l’activation du chiffrement de bout en bout de Zoom désactive les salles de réunion, les fonctions de sondage et l’enregistrement dans le nuage. Avec Jitsi Meet, les salles de pause peuvent désactiver la fonction de chiffrement de bout en bout, ce qui réduit involontairement la sécurité.

Et si nous n’avions vraiment pas besoin d’un chiffrement de bout en bout pour toutes nos communications ?

Si un chiffrement de bout en bout n’est pas nécessaire pour toutes les communications de votre parlement en fonction de votre évaluation des risques, vous pouvez envisager d’utiliser des applications protégées par le chiffrement de la couche de transport. N’oubliez pas que ce type de chiffrement exige que vous fassiez confiance au fournisseur de services, tel que Google pour Gmail, Microsoft pour Outlook/Exchange ou Facebook pour Messenger, car il peut consulter/entendre vos communications (ainsi que toute personne avec laquelle il pourrait être contraint de partager des informations). Une fois encore, les meilleures options dépendront de votre profil de menace (par exemple, si vous ne faites pas confiance à Google ou si le gouvernement américain est votre adversaire, Gmail n’est pas une bonne option), mais voici quelques options populaires et généralement fiables :

Une note sur le partage de fichiers

Outre le partage sécurisé des messages, le partage sécurisé des fichiers est probablement un élément important du programme de sécurité de votre parlement. La plupart des options de partage de fichiers sont intégrées aux applications ou services de messagerie que vous utilisez peut-être déjà. Par exemple, le partage de fichiers via Signal est une excellente option si vous avez besoin d’un chiffrement de bout en bout. Si le chiffrement de la couche de transport est suffisant, l’utilisation de Google Drive ou de Microsoft SharePoint peut être une bonne option pour votre parlement. Veillez simplement à configurer correctement les paramètres de partage afin que seules les personnes autorisées aient accès à un document ou à un dossier donné, et assurez-vous que ces services sont connectés aux comptes courriel de l’organisation (et non aux comptes personnels du personnel). Si vous le pouvez, interdisez le partage de fichiers sensibles via des pièces jointes de courriel ou le partage physique avec des clés USB. L’utilisation de dispositifs tels que des clés USB au sein de votre parlement augmente considérablement la probabilité de voir se manifester des logiciels malveillants ou des vols, et le fait de s’appuyer sur des courriels ou d’autres formes de pièces jointes affaiblit les défenses de votre parlement contre les attaques de hameçonnage.