La sécurité des e-mails, c’est un peu l’arlésienne de la sécurité logique. Ou, dans un autre registre, le maillon faible.
La plupart des utilisateurs de messagerie électronique ne se préoccupe absolument pas de la confidentialité de leurs échanges. Pourtant, si l’on compare un courriel à une carte postale, combien d’entre nous accepterait de faire transiter par la Poste les mêmes informations que ce qui transitent via Internet?
Les décisions sanctionnant l’absence de chiffrement sont légion (Délibération de la formation restreinte n° SAN-2020-006 du 3 septembre 2020 concernant le rectorat de l’académie de Normandie; DPC, 20 décembre 2022, Virtue Integrated Elder Care Ltd, n° IN-21-2-5). Pourtant, force est de constater une incompréhension du sujet, nombres de responsables de traitement confondant le chiffrement des échanges avec leur serveur mail (SSL/TLS) avec le chiffrement du message (IMY, 19 janvier 2023, If Skadeförsäkring AB, n° DI-2021-4355).
Dans la même lignée, le recours à un prestataire de messagerie électronique sécurisée « grand public » ne saurait suffire. Le chiffrement n’a en effet rien d’automatique.
Les courriels entre professionnels de santé et, bientôt, avec leurs patients échappent à cette problématique. L’obligation de recourir à la MSSanté règle la question… En principe. Et pour la France uniquement. Or, l’obligation pour un professionnel de santé de communiquer son adresse électronique à ses patients relève du droit de l’Union Européenne. Elle tend à permettre la prise en charge transfrontalière des malades. Difficile pour un malade allemand de revendiquer un ENS, aux seules fins de pouvoir échanger avec son médecin français.
Et vous, quelles sont vos stratégies pour sécuriser les communications électroniques dans votre organisation ? Comment envisagez-vous le déploiement des MSS « Patients » ?