Protection des données sur les clients avec

TLS eMail Security

Sécurité, respect de la vie privée et tranquillité d’esprit – l’importance du protocole TLS eMail Security pour

l’industrie de l’assurance dommages.

mai 2015

© 2015 Centre d’étude de la pratique d’assurance

1155 Robert-Bourassa Boulevard bureau 1305 Montreal, QC H3B 3A7

1

Table des matières

Pourquoi TLS est-il si important pour les courtiers?....................3

Qu’est-ce que Transport Layer Security ou TLS?..........................4

Quels sont les risques des courtiers s’ils décident de ne pas adopter TLS?.......................................................................................4TLS aidera les courtiers à rester avec leur propre BMS................5

De nombreux assureurs et courtiers utilisent déjà TLS...............6

Combien TLS coûtera-t-il aux courtiers?........................................6 Combien de temps faudra-t-il aux courtiers pour mettre en œuvre TLS?..........................................................................................6Quel effet TLS aura-t-il sur les clients des courtiers?...................7

D’autres avantages TLS......................................................................7 CheckTLS.com.......................................................................................7Le protocole TLS est-il activé pour les services de messagerie publique tels que Gmail et Yahoo! ?.............................................8

Comment puis-je mettre en œuvre le protocole TLS?..................9

L’adoption du protocole TLS par les courtiers membres du CSIO - Carte interactive......................................................................9Ressources TLS..............................................................................10

Webinaire du CSIO sur le protocole TLS.......................................10 Articles du CSIO sur le protocole TLS...........................................10Infographie TLS eMail Security....................................................11

2

Pourquoi TLS est-il si important pour les courtiers?

T ransport Layer Security (TLS) est une solution eMail Security facilement disponible et peu coûteuse qui crypte les courriels pour un maximum de confidentialité. Depuis que le CSIO a commencé à promouvoir cette technologie en 2013, plusieurs courtiers et assureurs l’ont adoptée.

Tous les courtiers tiennent à protéger l’intégrité et la confidentialité des informations de leurs clients. Une quantité incroyable de renseignements délicats est transférée régulièrement par courriel, entre les courtiers et les assureurs.

Bon nombre de courtiers continuent d’échanger des courriels non sécurisés sur le réseau ouvert de l’internet, incluant des renseignements privés sur leurs clients. Si un courriel insécurisé contenant les informations personnelles d’un client est intercepté, la réputation des maisons de courtage pourrait être sévèrement endommagée. Les courtiers ont la possibilité de sécuriser convenablement ces courriels et protéger les informations de leurs clients en adoptant TLS.

« Les courtiers doivent être prudents lors de la transmission des renseignements personnels des clients par voie électronique. Le protocole TLS est un outil efficace qui leur permet de le faire d’une manière prudente. La LPRPDE et la vie privée sont des questions importantes auxquelles nous pensons lorsque nous mettons en place des procédures et créons des systèmes. Lors de la mise en place des systèmes, vous devez engager une réflexion adéquate afin de vous assurer que vous faites tout votre possible pour protéger la vie privée. »

Ted Harman

Président, Accent Insurance Solutions

Vice-président, Conseil d’administration du CSIO

3

Qu’est-ce que Transport Layer Security ou TLS?TLS peut servir à créer un environnement sécurisé pour la navigation sur le Web et la communication par courriel. TLS assure qu’aucune autre personne ne soit en mesure d’intercepter ou manipuler vos courriels. TLS fournit les transmissions de courriels cryptés entre les courtiers et les assureurs. Chaque partie doit permettre l’installation de certificats de sécurité sur leur serveur de messagerie; ainsi une transaction sécurisée pour courriel est créée.

Quels sont les risques des courtiers s’ils décident de ne pas adopter TLS?

Ne pas adopter TLS, peut engendrer des risques majeurs. Sans TLS, les courriels d’un courtier peuvent être interceptés ou altérés par une tierce partie malicieuse. Certains ont tendance à penser “ça ne m’arrivera pas. Personne n’essaye de compromettre mon système de messagerie.” Mais en réalité: cela peut arriver à n’importe qui dans toute industrie, spécifiquement à ceux qui utilisent régulièrement la communication par courriels.

Il existe des programmes d’ordinateur appelés « spammeurs » qui récoltent régulièrement des adresses courriel provenant de documents trouvés en ligne. Les « spammeurs » sont souvent capables de déchiffrer des mots de passe et d’envoyer des courriels indésirables, en utilisant les comptes d’autres personnes, un processus connut sous le nom de “hameçonnage” ou “mystification”. Ceci pourrait conduire à la fraude électronique, si un courtier se fait piéger en cliquant sur des liens, qui envoient des informations personnelles sur un compte qui parait légitime, mais qui, en réalité, ne l’est pas. TLS peut aider à prévenir:

• La falsification de courriel

• L’interception/la manipulation de courriel

• L’hameçonnage/la mystification de courriel

Les spammeurs sont aussi capables de récolter la liste d’adresses électroniques du courtier et d’envoyer des courriels frauduleux à la liste d’adresse entière de celui-ci. Ceci serait, bien sûr, un vrai cauchemar pour un courtier, qui résulterait probablement en perte d’affaires et nuirait à la réputation du courtier. Mettez en œuvre TLS pour être confiant que votre maison de courtage évite de telles situations.

4

TLS aidera les courtiers à rester avec leur propre BMSUne des raisons majeures pour laquelle les courtiers se sentent obligés de quitter leur système de gestion (BMS) est que les assureurs ne sont pas convaincus des mesures de sécurité de certaines communications existantes chez les courtiers. En conséquence, les assureurs forcent les courtiers à entrer des portails pour industries spécifiques pour remplir des informations sensibles de réclamations.

TLS permettra aux courtiers de garder leur propre BMS lorsqu’ils envoient des pièces jointes et documents aux assureurs. Cela signifie que les courtiers n’auront plus à se connecter sur des portails d’industrie spécifiques afin d’envoyer des lettres signées ou remplir des informations sensibles de réclamations.

« Du fait du protocole TLS, nous n’avons pas besoin d’utiliser autant les portails d’entreprise, qui ont tendance à être lourds pour le lancement des RSC et la navigation. Joindre un fichier PDF à un courriel crypté et l’envoyer à la société est tellement plus rapide. Il ne faut que cinq à dix minutes pour faire une modification simple dans le portail d’entreprise, alors que la même modification dans nos BMS prendrait peut-être trois minutes. Par conséquent, les RSC sont en mesure d’effectuer un volume de travail plus élevé en une journée, ce qui signifie un meilleur niveau d’efficacité. » Aaron Sargeant

Superviseur informatique

Darling Insurance

5

De nombreux assureurs et courtiers utilisent déjà TLSBeaucoup de progrès ont déjà été faits pour le réseau des courtiers grâce à TLS, de telle sorte à ce que les courtiers soient sûrs qu’ils ne partent pas de zéro avec cette initiative. Un nombre croissant d’assureurs et de courtiers ont déjà adopté TLS. Le consensus parmi ses assureurs et courtiers est qu’il y a un besoin de protéger les informations sensibles qui sont échangées par courriel, à l’abri de toute manipulation par des tierces parties. Plusieurs assureurs ont déjà mis en œuvre TLS, ou planifient d’y convertir le plus tôt possible.

Mais l’initiative TLS n’aura de succès que si elle atteint une adoption généralisée.

Combien TLS coûtera-t-il aux courtiers?

Un faible coût de mise en œuvre est associé avec TLS. Les maisons de courtage ont seulement besoin d’acheter des certificats TLS pour les serveurs, à la place de nombreux certificats d’entreprises pour tous les clients. Afin que TLS fonctionne parfaitement, toutes les entreprises, qui veulent obtenir des cryptages, doivent acheter un certificat TLD. Ces certificats peuvent être achetés en ligne par plusieurs revendeurs et le coût est en général de $45 à $100 par an.

Typiquement, il n’y a pas besoin d’acheter de logiciel pour une mise en œuvre TLS. Toutefois, si vous n’avez pas de serveur de messagerie, vous pourriez envisager Microsoft Exchange Online, qui coûte seulement de $4.00 à $10.00 par utilisateur/mois. Grâce à ce service, vous pouvez héberger votre courriel sur Internet.

Combien de temps faudra-t-il aux courtiers pour mettre en œuvre TLS?

TLS permet un déploiement rapide. Les postes de travail n’exigent aucune configuration supplémentaire ; les logiciels uniquement, ont besoin d’être modifiés. Le processus de configuration est tout aussi simple. Le délai de rentabilité est mesuré en jours et semaines, et non pas en mois et années.

6

Quel effet TLS aura-t-il sur les clients des courtiers?En tant que courtiers, vos clients n’auront pas la moindre idée qu’un niveau de sécurité supplémentaire a été ajouté à leurs informations personnelles par le biais de TLS, à moins de les informer à ce sujet.

Le cryptage d’courriel TLS est transparent aussi bien pour l’expéditeur que pour le récepteur. Les deux parties recevront des courriels de la même façon qu’ils le faisaient sans TLS.

TLS ne générera pas de frais généraux pour les clients des courtiers. Aucun logiciel spécifique ne doit être installé sur les machines des clients; le cryptage TLS est « toujours en marche ». Le processus est entièrement transparent vis-à-vis des clients.

Les autres avantages du protocole TLS

• Facile à mettre en œuvre dans les environnements de messagerie d’entreprises

• Cryptage de texte et pièces jointes

• Accepté mondialement et présentement disponible sur la plupart, sinon tous, les logiciels de messagerie

• Une procédure largement reconnue par des organisations comme l’Internet Engineering Task Force (IETF)

• Les courriels peuvent être facilement inspectés afin de détecter les virus

• Amélioration du respect de la législation sur la protection des renseignements personnels telle que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

CheckTLS.com

CheckTLS.com est une ressource utile qui permet à quiconque de vérifier qu’une adresse de courriel utilise le cryptage TLS. Les courtiers peuvent tirer parti de cet outil pour déterminer si oui ou non le client ou l’assureur avec qui ils font affaire, dispose d’un protocole TLS activé.

7

Le protocole TLS est-il activé pour les services de messagerie publique tels que Gmail et Yahoo! ?

De nombreux services de messagerie publique – dont Gmail et Yahoo! – disposent désormais d’un protocole TLS activé.

Au sujet de Gmail, Google écrit sur son blog, « A partir d’aujourd’hui, Gmail utilisera toujours une connexion HTTPS cryptée (TLS crypté) lorsque vous consultez ou envoyez un courriel. » (2014)

Concernant Yahoo!, une source écrit « Yahoo Mail avait pris en charge une session complète HTTPS — cryptage SSL/TLS sur HTTP — depuis la fin de 2012, mais les utilisateurs devaient choisir d’utiliser la fonctionnalité. Mardi, la société a donné suite à la promesse qu’elle avait faite en octobre, d’activer le cryptage pour tout le monde par défaut au plus tard le 8 janvier. » (PCWorld, 2014)

Google a mis en place un rapport de transparence pour le protocole TLS qui indique la quantité de courriels cryptés en termes de volume de courriels vers et à partir de Gmail. Vous pouvez sélectionner par région, ou effectuer une recherche sur un domaine pour voir quelle quantité de courriels échangés avec Gmail est cryptée.

Cela signifie que de plus en plus de clients d’assurance utilisent des adresses de courriel avec un cryptage TLS. Toutefois, en cas de doute, les courtiers doivent encore déterminer, à l’aide de CheckTLS.com, si oui ou non le courriel d’un client dispose d’un protocole TLS activé.

Si le courriel du client ne dispose pas d’un protocole TLS activé, le courtier pourrait envisager de demander au client s’il possède une autre adresse de messagerie qui pourrait être utilisée – peut-être avec Gmail ou Yahoo! – avant que tout renseignement confidentiel soit traité.

8

Comment puis-je mettre en œuvre le protocole TLS?Contactez votre prestataire d’assistance informatique. Renseignez-vous au sujet de la mise en œuvre du protocole TLS dans votre organisation afin de bénéficier des avantages d’avoir la meilleure solution de sécurité de messagerie à faible coût disponible.

Consultez également notre Guide de mise en œuvre de Transport Layer Security (TLS), disponible sur CSIO.com. Ce document aidera les prestataires informatiques à accélérer le processus de mise œuvre du protocole TLS.

L’adoption du protocole TLS par les courtiers membres du CSIO - Carte interactive

Le CSIO a entrepris une étude afin de déterminer la mise en place du protocole TLS parmi ses membres courtiers au Canada. Les résultats ont servi à produire la carte interactive ci-dessous, qui illustre l’adoption du protocole TLS par les maisons de courtage pour chaque province :

(Données actuelles à compter de mai 2015)

9

Ressources TLS

Webinaire du CSIO sur le protocole TLS

Mise en œuvre d’un programme de sécurité des renseignements efficace : protection des données et des courriels sur le réseau grâce au protocole TLS

Articles du CSIO sur le protocole TLS

TLS, La protection des données à peu de frais, Liaison

You’ve Got (Secure) Mail, Top Broker

Providing Client Peace of Mind with TLS, Sask Broker

A Small Price to Pay for Substantial eMail Security, Atlantic Broker

TLS Provides TLC for Client Data, Ontario Broker

The Industry Solution for eMail Security, BC Broker

« Nous avions entendu parler des avantages du protocole TLS et de son faible prix d’installation, la décision a été facile pour notre bureau. L’avantage évident est le cryptage, qui nous permet de nous sentir plus confiant quant à la sécurité derrière les courriels que nous envoyons constamment. »

Rick Orr

Propriétaire, Orr Insurance & Investment et membre du Conseil d’administration du CSIO

Diapositive du webinaire sur le

protocole TLS

10

Infographie TLS eMail Security

Consultez l’infographie complète ici sur CSIO.com.

À propos du CSIO

Références http://checktls.com/

https://www.google.com/transparencyreport/saferemail/

http://www.ietf.org/rfc/rfc5246.txt

http://www.google.com/support/enterprise/static/postini/docs/admin/en/admin_ee_cu/ib_tls_overview.html

http://gmailblog.blogspot.ca/2014/03/staying-at-forefront-of-email-security.html

http://www.pcworld.com/article/2085700/as-yahoo-makes-encryption-standard-for-email-weak-implementation-seen.html

Le CSIO est l’association de normalisation nationale du Canada

des assureurs de dommages, des courtiers et des fournisseurs

en logiciel. Depuis plus de trente ans, le CSIO est engagé à

améliorer l’efficacité et la position concurrentielle du réseau des

courtiers en supervisant la mise en œuvre et la maintenance de

solutions technologiques telles que l’XML, l’EDI et les formulaires

normalisés. De plus, le CSIO est responsable de la maintenance

et de l’exploitation du service réseau courriel EDI détenu par

l’industrie, CSIOnet. Les bureaux du CSIO se situent à Toronto et

Montréal. Pour plus d’informations, visitez le site www.csio.com.