Comment envoyer un e-mail sécurisé : 5 conseils pour les expéditeurs gouvernementaux

Sécurité de la messagerie et gouvernement

J'ai récemment eu le plaisir de prendre la parole lors d'un panel intitulé : Comment obtenons-nous le Google du gouvernement ? Le panel faisait partie de la conférence Reverb qui associe des dirigeants du secteur privé à ceux qui travaillent au gouvernement pour inspirer et stimuler l'innovation dans ce que nous supposons normalement être des agences à la traîne en termes d'utilisation et de mise en œuvre de la technologie.

Lorsque j'ai été invité à participer à ce panel, j'ai rencontré Kurt Diver, notre responsable de la délivrabilité, pour réfléchir à ce à quoi ressemblait le Google du gouvernement du point de vue de la messagerie. Nous avons plongé profondément dans nos boîtes de réception pour trouver des exemples d'e-mails que nous avions reçus d'agences gouvernementales pour voir s'ils respectaient une barre minimale de sécurité.

Sans surprise, les e-mails que nous avons examinés n'ont pas satisfait à notre test décisif pour une messagerie sûre et sécurisée. (En tant que clause de non-responsabilité, nous n'avons examiné que quelques exemples de San Francisco, Oakland et Denver.) Dans tous les cas, ils manquaient de DKIM (DomainKeys Identified Mail) sur leurs domaines d'envoi pour garantir le contenu du message.

DKIM est une solution cryptographique utilisée par les plates-formes d'envoi du monde entier et les FAI pour garantir que les messages ne sont pas falsifiés en vol et que les domaines ne sont pas usurpés. L'extension de DKIM, DMARC, aide à créer une politique qu'un domaine de réception (comme Gmail ou Hotmail) peut référencer lorsqu'un message arrive qui a échoué à une vérification DKIM. Que doit faire l'opérateur de messagerie avec ce message ? Garde le? Le livrer ? Le mettre en quarantaine ? Ou le laisser tomber par terre parce qu'il est trompeur, conçu pour usurper l'identité de quelqu'un, ou pire ?

Étant donné la prévalence des e-mails dans les actualités nationales, et qu'il s'agit souvent d'un vecteur de violations de données très médiatisées, le fait que les gouvernements locaux et étatiques n'utilisent pas l'authentification des e-mails pour accroître la fiabilité de leurs communications numériques est déconcertant.

Du bon côté, lorsque nous avons examiné l'USPS, nous avons trouvé une politique DKIM valide définie pour rejeter les messages frauduleux. En plus de tirer parti des protocoles d'authentification de base des e-mails tels que SPF, l'e-mail USPS a été envoyé à l'aide de TLS (Transport Layer Security), un moyen opportuniste de chiffrer les e-mails en vol de l'expéditeur au destinataire qui garantit que personne ne peut lire le contenu lorsqu'il traverse Internet. .

Il se peut que les agences gouvernementales ne soient pas conscientes de la vulnérabilité des messages en transit et de la facilité avec laquelle un domaine peut être usurpé. Naturellement, la messagerie n'est pas au cœur de la description de poste du gouvernement local, étatique ou fédéral, mais elle devrait sans doute être sur leur radar compte tenu de son utilité dans l'automatisation des fonctions de service client associées à un gouvernement axé sur les personnes.

La messagerie comme voie vers l'automatisation

L'année dernière, j'ai passé une journée à aller de bureau en bureau à l'hôtel de ville de San Francisco pour essayer d'obtenir une licence commerciale. L'ensemble du processus de candidature était axé sur l'homme et manquait de clarté. Puis, plus récemment, j'ai reçu une facture pour l'une des licences commerciales qui m'obligeait à télécharger une demande au format PDF à partir du Web, à la remplir et à la renvoyer à la mairie. C'est ce que j'aime à considérer comme une tentative à moitié engagée de numérisation d'un processus simple.

Le fait est que les formulaires Web hébergés avec des déclencheurs intelligents peuvent facilement accepter une soumission et émettre instantanément une confirmation de cette soumission avec des informations supplémentaires. Une fois que les documents/la demande ont été approuvés, un autre message peut être envoyé. Bon nombre des processus intensifs téléphoniques et en personne qui ponctuent l'hôtel de ville pourraient être effectués par voie électronique via des e-mails et des applications mobiles.

Après avoir renvoyé ma candidature à la mairie, j'ai reçu un e-mail de confirmation. Je veux vraiment célébrer l'e-mail que j'ai reçu, mais c'est plutôt difficile étant donné qu'il manquait l'une des caractéristiques d'identification de base des communications marketing et transactionnelles courantes d'aujourd'hui. Comme les marques Fortune 100 qui façonnent les attentes des consommateurs, le fonctionnement interne (ou non) du gouvernement façonne les attitudes des citoyens envers les relations avec les agences locales, étatiques et fédérales.

5 Conseils d'envoi pour le secteur public

Après avoir examiné un peu plus l'e-mail, j'ai dressé la courte liste suivante pour aider toute personne travaillant dans une ville ou une agence d'État et pensant à l'e-mail, afin de mieux servir les gens par voie électronique.

1. Utilisez un ami de : Le message que j'ai reçu provient de "noreply@". Pensez au ton que cela donne. C'est une chose de ne pas accepter les réponses à une certaine adresse, mais si je m'arrêtais à noreply et ne prenais pas la peine de lire le domaine, je n'aurais aucune idée de l'expéditeur.
2. Inclure une signature : l'e-mail n'avait pas de signature - il était court et informatif, mais encore une fois, pensez au type de communication que nous avons l'habitude de voir dans la nature - ils ont des pieds de page et des en-têtes.
3. Inclure un sceau d'identification : il n'y avait aucun sceau de la ville pour m'aider à savoir que cet e-mail provenait de la mairie de San Francisco ou d'une agence associée.
4. Méfiez-vous des pièces jointes : Il y avait une pièce jointe dans mon e-mail. Les pièces jointes aux e-mails ne sont pas nécessairement une bonne pratique. Dans ce cas, il s'agissait d'un document HTML qui est plus bénin qu'un fichier zip, un exécutable ou un autre document binaire, mais cela augmente la probabilité que ce message se retrouve dans le dossier spam. La meilleure pratique ici consiste à encoder les informations dans le corps de l'e-mail ou à les renvoyer vers un portail avec un identifiant permettant d'accéder à ces informations.
5. N'ayez pas peur des e-mails contenant uniquement du texte : les e-mails étaient encodés sous forme de documents HTML, mais n'étaient que du texte. En regardant "sous le capot", il y avait une énorme quantité de code inutile qui n'accomplissait vraiment rien. Les e-mails relativement simples, dont l'un n'avait pas de liens dans le corps, auraient pu être envoyés sous forme de texte plutôt qu'en HTML. Si vous envisagez de coder en HTML, tirez parti des images et d'autres éléments traditionnels associés aux e-mails HTML, car c'est ce à quoi le destinataire s'attend et ce que les filtres anti-spam examinent pour mesurer les rapports texte/image.

Où va le gouvernement à partir d'ici

Le gouvernement de demain devrait s'inspirer des startups et des entreprises d'aujourd'hui, pionnières des technologies et des nouveaux modes de communication sur Internet. Alors que notre société devient de plus en plus complexe, l'échelle humaine ne peut suivre le rythme de la croissance démographique et des attentes des consommateurs qui évoluent et deviennent de plus en plus complexes et technophiles.

Je ne reproche pas aux agences gouvernementales de ne pas savoir quelles sont les exigences minimales ou les attentes de base des consommateurs en matière de courrier électronique ou d'autres formes de communication numérique. Mais, il est important que quelle que soit la messagerie choisie par une agence gouvernementale, qu'elle soit pilotée par une application, un e-mail ou un SMS, elle doit être effectuée avec soin et conformément aux meilleures pratiques de l'industrie afin de protéger l'agence avec vous et moi.

Pour en savoir plus sur l'authentification des e-mails et les meilleures pratiques, consultez notre Guide de délivrabilité des e-mails 2016 .