La réponse courte : vérifiez l'identité de la personne qui demande l'information, utilisez un outil adapté à ce que vous transmettez et ne donnez au destinataire que l'accès nécessaire, pour la durée nécessaire. Pour du texte confidentiel, cela veut généralement dire un message chiffré de bout en bout avec un lien qui expire, et non le corps d'un courriel ordinaire.
Les « renseignements sensibles » ne se limitent pas aux mots de passe. Ils peuvent comprendre des instructions bancaires, des codes de récupération, des identifiants personnels, des renseignements sur un client, des modalités contractuelles ou toute autre information dont la divulgation causerait un préjudice. La méthode la plus sûre dépend de ce que vous partagez : un identifiant, un court message ou un fichier.
Pourquoi le courriel ordinaire ne suffit pas
Le courriel moderne utilise souvent TLS pendant le trajet d'un message entre les serveurs. Cela protège la connexion, mais ce n'est pas la même chose qu'une confidentialité de bout en bout : les systèmes d'envoi et de réception peuvent toujours accéder au message, et des copies peuvent subsister dans les boîtes de réception, les dossiers Envoyés, les archives, les appareils synchronisés et les sauvegardes.
Les conseils du Centre canadien pour la cybersécurité sur le courriel font la même distinction. Ils recommandent de chiffrer les courriels sensibles et soulignent qu'un portail Web sécurisé peut être préférable au courriel ordinaire pour transmettre des renseignements sensibles.
Une liste de vérification en sept étapes
1. Vérifiez la demande et le destinataire
Si quelqu'un vous demande des renseignements confidentiels de façon inattendue, ne vérifiez pas la demande en répondant au même message. Communiquez avec cette personne au moyen d'un numéro ou d'une adresse que vous savez fiable. Cette précaution est particulièrement importante lorsqu'il est question d'instructions de paiement, de coordonnées bancaires ou de pièces d'identité : un courriel convaincant peut tout de même provenir d'un imposteur ou d'un compte compromis.
2. Adaptez l'outil à l'information
- Mots de passe et identifiants de connexion : utilisez la fonction de partage d'un gestionnaire de mots de passe réputé lorsque les deux personnes y ont accès.
- Court texte confidentiel : utilisez un message chiffré de bout en bout ou un portail sécurisé doté d'une expiration et d'une révocation.
- Documents et autres fichiers : utilisez un service approuvé de transfert de fichiers chiffrés ou un portail sécurisé conçu pour les pièces jointes.
- Renseignements réglementés ou liés au travail : respectez la politique de traitement de votre organisation, même si une autre option semble plus pratique.
Ne déguisez pas un fichier en texte et ne collez pas une grosse pièce jointe encodée dans un champ de message sécurisé. Un service conçu pour le texte peut ne pas offrir les contrôles de stockage, l'analyse contre les logiciels malveillants ou la piste d'audit qu'exige un fichier.
3. Vérifiez ce que « chiffré » veut vraiment dire
Recherchez un chiffrement sur votre appareil avant le téléversement et un déchiffrement uniquement sur l'appareil du destinataire. « Chiffré en transit » protège une connexion; cela n'empêche pas nécessairement le service qui exploite l'une ou l'autre extrémité de lire le contenu. Vérifiez aussi ce que le fournisseur conserve, qui détient les clés et s'il peut récupérer le message.
4. Séparez le lien de la phrase secrète
Si un message sécurisé emploie à la fois un lien et une phrase secrète, transmettez-les par des canaux différents. Par exemple, envoyez le lien par courriel et communiquez la phrase secrète par téléphone ou en personne. Mettre les deux dans le même courriel annule cette séparation.
5. Limitez l'exposition avant l'envoi
Fixez l'expiration pratique la plus courte, ajoutez une limite d'ouvertures lorsque c'est possible et assurez-vous de pouvoir révoquer l'accès. N'incluez que l'information dont le destinataire a besoin. Évitez les détails confidentiels dans l'objet du courriel, le nom du fichier ou l'aperçu de notification, car les métadonnées peuvent demeurer visibles même lorsque le contenu est chiffré.
6. Faites un essai ou demandez une confirmation lorsque l'enjeu est important
Avec un nouveau destinataire ou pour une transaction importante, confirmez qu'il peut ouvrir le canal sécurisé avant d'envoyer les vrais renseignements. Si des instructions de paiement ont changé, confirmez les nouvelles coordonnées de façon indépendante auprès d'une personne connue avant d'agir.
7. Révoquez et intervenez en cas d'erreur
Si vous avez utilisé la mauvaise adresse ou le mauvais canal, révoquez immédiatement le lien lorsque l'outil le permet. Communiquez ensuite avec la personne ou l'organisation touchée par une voie fiable. Si un identifiant a été exposé, changez-le; si des renseignements financiers peuvent avoir été compromis, communiquez avec l'institution financière concernée.
La place de l'Envoi sécurisé
L'Envoi sécurisé de Privatt sert aux messages texte confidentiels, et non aux pièces jointes. Il chiffre le message dans votre navigateur avant le téléversement. Le destinataire l'ouvre dans son navigateur avec une phrase secrète que vous lui transmettez séparément; Privatt ne reçoit jamais cette phrase secrète et ne peut pas lire le contenu du message.
Vous pouvez choisir une expiration et une limite d'ouvertures, puis révoquer le lien depuis votre liste d'envois. Le destinataire n'a besoin d'aucun compte Privatt. Ces contrôles conviennent aux codes de récupération, aux renseignements de compte, aux notes privées ou à une instruction ponctuelle qui ne devrait pas rester cherchable dans deux boîtes courriel.
L'habitude qui compte le plus
La sécurité ne se résume pas au choix d'une application. Vérifiez la personne, réduisez l'information au minimum, choisissez un canal adapté au contenu et limitez la durée de l'accès. Cette courte pause avant l'envoi est souvent le contrôle qui évite la plus grosse erreur.
Pour consulter des conseils officiels, voyez les recommandations du Centre pour reconnaître les courriels malveillants et protéger les renseignements sensibles dans le courriel.