Pourquoi Gmail n'est toujours pas sûr pour les communications professionnelles sensibles

Le nouveau cryptage de bout en bout de Gmail marque un progrès, mais ne garantit pas une protection complète des données

Le déploiement par Google du chiffrement de bout en bout (E2EE) pour Gmail est une bonne chose. Il montre que l’entreprise prend au sérieux l’évolution de sa pile de sécurité. Les entreprises, en particulier celles qui souscrivent à un plan Workspace de niveau supérieur, ont désormais la possibilité de gérer leurs propres clés de chiffrement. Ce n’est pas rien. Cela signifie que vos données ne sont pas seulement protégées en transit ou au repos ; vous pouvez désormais exclure Google de la boucle si vous le configurez correctement. Vous contrôlez mieux qui peut accéder à quoi et quand.

Toutefois, ne pensez pas que cette fonction résout tous les problèmes. Le chiffrement de bout en bout n’est pas activé par défaut. Il ne protégera pas vos communications si personne ne le configure correctement. Pour les dirigeants, c’est ce qui compte. Si les outils de sécurité ne sont pas automatiques et faciles à déployer à grande échelle, la plupart des entreprises ne les activeront pas ou les configureront mal. Il en résulte des lacunes. Dans les environnements à fort enjeu, les lacunes en matière de sécurité du courrier électronique sont inacceptables.

John Spencer-Taylor, PDG de BrainGu, a souligné un point essentiel : cette mise à jour améliore la sécurité sans ajouter de complexité, du moins pour les organisations qui savent comment l’utiliser. C’est de la bonne ingénierie. Mais pour l’entreprise moyenne, qui ne dispose pas d’une équipe de sécurité interne solide, même les outils à faible friction peuvent être ignorés ou sous-utilisés. Ensar Seker, RSSI chez SOCRadar, a insisté sur ce point. Les fonctionnalités qui ne sont pas appliquées automatiquement sont souvent des fonctionnalités inutilisées.

Les dirigeants doivent aborder cette question avec clarté. Les nouvelles fonctionnalités de Gmail sont prometteuses, mais seulement si vos équipes les comprennent et les activent. Il ne s’agit pas de déléguer aveuglément cette tâche à l’informatique. Si votre entreprise traite de la propriété intellectuelle sensible, des données financières ou des informations réglementées, vous devez vous assurer que le chiffrement est activé, que les clés sont contrôlées en interne et qu’il existe une responsabilité quant à la manière dont il est déployé.

Des communications sécurisées signifient que vous devez maîtriser votre surface de risque. Gmail vient de vous donner plus de contrôle. L’idéal est de l’utiliser intelligemment et délibérément.

L’accès aux données par des tiers reste un problème de sécurité

Même avec de solides protocoles de cryptage, si vos données transitent ou résident chez un tiers, vous êtes exposé. C’est la réalité avec Gmail, même après le déploiement du nouveau chiffrement de bout en bout. Google touche encore des parties de votre infrastructure de communication. À moins que votre équipe ne détienne exclusivement les clés de chiffrement et ne contrôle entièrement les deux extrémités du chemin du message, vous n’avez pas un contrôle absolu sur vos données.

Raj Rajarajan, directeur de l’Institute for Cyber Security à City St George’s, Université de Londres, l’explique simplement : même lorsque Gmail est configuré correctement, Google a toujours accès à votre contenu. Ce seul fait en fait un point de défaillance potentiel. Il y a une grande différence entre le fait de disposer d’un cryptage et celui d’avoir l’autorité exclusive sur les personnes qui peuvent décrypter.

Lawrence Pingree, vice-président de Dispersive, évoque un autre risque évident. Si votre organisation ne détient pas ses propres clés de chiffrement, alors techniquement, quelqu’un d’autre les détient, et ce « quelqu’un d’autre » peut accéder à vos données. Pire encore, cela ouvre la voie à un risque à long terme. Le chiffrement peut être forcé ou cassé, en particulier au fur et à mesure que la puissance informatique progresse. L’informatique quantique n’est pas encore là, mais lorsqu’elle le sera, toutes les données stockées sécurisées par les algorithmes actuels pourraient être vulnérables à un décryptage rétrospectif.

Pour les chefs d’entreprise, il s’agit là d’un point essentiel : l’utilisation de Gmail, ou de tout autre fournisseur de messagerie SaaS tiers, entraîne un partage des responsabilités. Et qui dit responsabilité partagée dit risque partagé. Même si le chiffrement est en place, vous ne pouvez être pleinement propriétaire de vos informations sensibles que si vous contrôlez entièrement vos flux de données, d’un bout à l’autre de la chaîne.

Les données sont un atout pour les entreprises. Si quelqu’un d’autre peut les lire, les conserver ou mal configurer leur stockage, elles ne vous appartiennent pas entièrement. Avec Gmail, ou tout autre système de messagerie basé sur le Cloud, les dirigeants doivent mettre en balance la commodité et le contrôle stratégique. Vous pouvez externaliser l’infrastructure. Vous ne pouvez pas externaliser la responsabilité.

Il est essentiel d’assurer une sécurité multicouche des messages électroniques au-delà des outils natifs de Gmail

Les outils intégrés de Gmail sont un point de départ, pas une solution complète. Pour les entreprises confrontées à de réels problèmes de sécurité, de propriété intellectuelle, de données personnelles de clients ou d’informations réglementées, vous avez besoin de plus que ce que Google propose dans sa version standard. Gmail peut crypter. Il peut acheminer le trafic de manière efficace. Mais il ne peut pas répondre à lui seul aux normes de sécurité d’entreprise de haut niveau.

Ensar Seker, RSSI chez SOCRadar, le dit clairement : une seule couche de protection ne suffit pas. Il recommande d’utiliser des passerelles de chiffrement dédiées pour contrôler les flux de messages, de déployer des outils de outils de prévention de la perte de données (DLP) pour surveiller et restreindre les contenus sensibles, et de mettre en œuvre une vérification de l’identité pour limiter les accès non autorisés. Votre organisation dispose ainsi de plusieurs points de contrôle entre la création du message et sa livraison finale. Cela réduit le risque que des éléments sensibles passent inaperçus.

Il est également important de gérer la périphérie. Cela signifie qu’il faut verrouiller l’accès mobile et toutes les intégrations d’applications tierces liées à votre espace de travail. Ces éléments sont souvent négligés et représentent des points d’entrée à haut risque pour les attaquants. Si un téléphone est compromis ou si une application est mal configurée, même un chiffrement de premier ordre n’empêchera pas la fuite de données.

Pour les dirigeants, la priorité devrait être de maintenir une posture de sécurité stratifiée, résiliente et gérable sur le plan opérationnel. Pour cela, il faut investir dans des systèmes qui prennent en charge vos seuils de risque spécifiques, et ne pas se contenter de ce qui est simple ou préinstallé. Les mises à jour de Gmail ne doivent pas remplacer votre système actuel. Elles doivent compléter une stratégie plus large fondée sur le contrôle, la visibilité et la réactivité.

Les menaces de sécurité évoluent. Votre pile doit évoluer plus rapidement. Ne vous fiez pas aux promesses d’une seule plateforme. Construisez le cadre qui correspond à ce que vous protégez.

L’éducation et la sensibilisation proactives des utilisateurs sont essentielles pour atténuer les menaces liées au courrier électronique.

La technologie ne résout pas l’erreur humaine. La plupart des attaques par courrier électronique qui réussissent aujourd’hui ne reposent pas sur la rupture du cryptage, mais sur la manipulation des personnes. Il s’agit notamment du phishing, de la compromission des courriers électroniques professionnels (BEC) et de l’ingénierie sociale. Ces menaces contournent les contrôles de sécurité en ciblant le comportement des employés et non l’infrastructure.

James McQuiggan, défenseur de la sensibilisation à la sécurité chez KnowBe4, reconnaît cette lacune. Il préconise une formation pratique des utilisateurs dans le cadre d’une stratégie de sécurité globale. Les outils tels que les politiques DLP et les filtres de courrier sont précieux, mais ils n’attrapent pas tout. Si un utilisateur clique sur un courriel d’hameçonnage de haute qualité, les dégâts peuvent se produire avant que les défenses techniques ne réagissent.

Les programmes de formation ne doivent pas se limiter à des cours annuels de type « check-the-box ». Les employés doivent apprendre à reconnaître les demandes suspectes, le langage urgent, les modèles d’usurpation d’identité et les tentatives d’accès non autorisé. Ces menaces évoluent constamment. La formation doit évoluer avec elles.

Pour les dirigeants, il s’agit d’une question d’exposition au risque. Les utilisateurs sont une extension de votre infrastructure de sécurité. Ils agissent soit comme des barrières, soit comme des points d’accès. Si vous investissez dans des outils de sécurité mais pas dans votre personnel, vous laissez ouverte l’une des plus grandes vulnérabilités.

La sensibilisation à la sécurité est un levier opérationnel. Elle s’étend à tous les services, réduit le temps de réponse aux menaces réelles et renforce l’ensemble de votre couche de communication. Que votre directeur technique soit responsable de la pile technique ou que vous ayez réparti cette responsabilité entre plusieurs équipes, les dirigeants doivent définir les attentes : la cybersécurité concerne les utilisateurs, et pas seulement les systèmes. Créez une culture qui la soutienne.

Le courrier électronique ne doit pas être considéré comme le moyen de communication privilégié pour les communications sensibles.

Le courrier électronique est un outil polyvalent, et non un canal spécialisé dans la transmission d’informations hautement sensibles ou réglementées. Même avec le chiffrement de bout en bout (E2EE) amélioré de Gmail, la plateforme fonctionne toujours dans un environnement cloud plus large qui comporte des risques d’exposition inhérents. Les messages peuvent être stockés indéfiniment. Les appareils utilisés pour accéder aux messages peuvent ne pas bénéficier d’une protection adéquate. Et selon la manière dont votre organisation gère les terminaux de messagerie, les vulnérabilités peuvent persister longtemps après l’application du chiffrement.

Lorrie Cranor, directeur et Bosch Distinguished Professor au CyLab de Carnegie Mellon, a expliqué que l’E2EE de Gmail, à supposer qu’il soit utilisé, n’offre pas de protection garantie sur l’ensemble du chemin de communication. Si le serveur de réception ne prend pas en charge le chiffrement, les messages peuvent être interceptés en cours de route. Et si les utilisateurs utilisent des mots de passe faibles, manquent d’authentification multifactorielle ou utilisent des points de terminaison non protégés, tous ces éléments peuvent être exploités, quel que soit le chiffrement du back-end.

Ensar Seker, RSSI de SOCRadar, est allé plus loin. Il a souligné que Gmail, même avec son modèle de sécurité actualisé, n’est pas suffisant pour les entreprises qui traitent des informations réglementées. Si votre organisation est soumise à des normes telles que HIPAA (pour les soins de santé), GDPR (pour la protection des données) ou CMMC (pour les entreprises de défense), le fait de s’appuyer uniquement sur Gmail ouvre la porte à des lacunes en matière de conformité. Celles-ci peuvent entraîner des amendes, une perte de réputation et des violations ayant des conséquences à long terme.

Pour les cadres, la logique est simple : ne traitez pas tous les canaux de communication sur un pied d’égalité. Les contenus sensibles, tels que les contrats juridiques, les dossiers médicaux, les documents financiers ou la propriété intellectuelle de niveau militaire, nécessitent plus qu’un simple cryptage. Ils nécessitent des flux de travail sécurisés dans lesquels vous contrôlez les outils, la destination et les autorisations d’accès du début à la fin.

Le courrier électronique n’est tout simplement pas conçu pour atteindre ce seuil à lui seul. Et le fait de supposer qu’il peut le faire, même avec des fonctionnalités supplémentaires, crée un faux sentiment de sécurité. La solution la plus intelligente consiste à classer vos données en fonction de leur sensibilité et à associer chaque catégorie au canal de communication conçu pour les traiter en toute sécurité. Cette décision relève de la direction de l’entreprise. Prenez-la délibérément.

Principaux enseignements pour les dirigeants

Le chiffrement de Gmail est un progrès, pas une solution : Les dirigeants doivent s’assurer que les paramètres de chiffrement sont activement activés et gérés. Le nouvel E2EE de Gmail offre davantage de contrôle mais n’est pas appliqué par défaut, ce qui rend l’activation manuelle et la gestion des clés internes essentielles pour une véritable sécurité.
L’accès par des tiers ajoute encore des risques : Les dirigeants doivent évaluer les avantages des plateformes de communication SaaS telles que Gmail. Même avec le chiffrement, les fournisseurs comme Google présentent toujours un risque d’exposition s’ils détiennent ou touchent vos données ou vos clés de chiffrement.
La sécurité à plusieurs niveaux doit être la norme : S’appuyer uniquement sur les protections natives de Gmail n’est pas suffisant. Les dirigeants d’entreprise doivent déployer plusieurs couches, des outils DLP, des passerelles de chiffrement, des contrôles d’accès, afin de protéger les communications critiques sur tous les appareils et dans tous les environnements.
Les utilisateurs font partie du périmètre de sécurité : Les décideurs devraient imposer une formation à l’échelle de l’organisation afin de réduire les violations d’origine humaine telles que le phishing et le BEC. La technologie ne peut à elle seule remédier aux vulnérabilités causées par les utilisateurs.
Le courrier électronique n’est pas adapté aux données très sensibles : Les informations sensibles ou réglementées doivent être acheminées par des canaux sécurisés et dédiés, et non par des courriels à usage général. Les dirigeants doivent classer les données en fonction des risques et utiliser des outils spécialement conçus pour répondre aux exigences de conformité.

Alexander Procter

avril 16, 2025

12 Min

Leadership et management
Comment les dirigeants peuvent-ils aider leurs équipes à rester concentrées lorsque tout les distrait ?
Mai 15, 2025
13 min
Leadership et management
Le compromis que les travailleurs feraient pour un salaire plus élevé
Mai 15, 2025
11 min
Technologies et innovation
Choisir entre ERP et CRM
Mai 15, 2025
23 min

Pourquoi Gmail n’est toujours pas sûr pour les communications professionnelles sensibles

Le nouveau cryptage de bout en bout de Gmail marque un progrès, mais ne garantit pas une protection complète des données

L’accès aux données par des tiers reste un problème de sécurité

Il est essentiel d’assurer une sécurité multicouche des messages électroniques au-delà des outils natifs de Gmail

L’éducation et la sensibilisation proactives des utilisateurs sont essentielles pour atténuer les menaces liées au courrier électronique.

Le courrier électronique ne doit pas être considéré comme le moyen de communication privilégié pour les communications sensibles.

Principaux enseignements pour les dirigeants

Comment les dirigeants peuvent-ils aider leurs équipes à rester concentrées lorsque tout les distrait ?

Le compromis que les travailleurs feraient pour un salaire plus élevé

Choisir entre ERP et CRM

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation!!