Que vous soyez DSI, responsable conformité ou simple utilisateur soucieux de confidentialité, le chiffrement des courriels est devenu incontournable. Ce guide complet explique en détail comment expédier un message Outlook protégé, comportant des pièces jointes, tout en maîtrisant vous‑même les clés ou mots de passe de déchiffrement.
Vue d’ensemble
Outlook offre deux mécanismes natifs : Microsoft 365 Message Encryption (OME) et S/MIME. Tous deux sécurisent le contenu de bout en bout ; cependant, ils ne laissent pas l’expéditeur définir un mot de passe « manuel ». Pour répondre à des exigences réglementaires ou à des scénarios métier spécifiques, il est donc parfois indispensable d’avoir recours à des méthodes complémentaires telles qu’une archive ZIP AES‑256 ou l’OpenPGP.
Fonctionnalités de chiffrement natif dans Outlook
Outlook pour Windows, Mac, Web et Mobile s’appuie désormais sur la même expérience unifiée :
- Onglet Options ▸ Chiffrer dans le ruban du nouveau message ;
- Choix de la sensibilité (Public, Interne, Confidentiel, Strictement confidentiel) lorsque la classification est activée ;
- Protection simultanée du corps de message et des pièces jointes ;
- Authentification transparente pour les destinataires internes ; pour les externes, un one‑time passcode (OTP) ou un compte Microsoft est requis.
Si votre organisation publie des certificats S/MIME pour chaque utilisateur, Outlook sélectionne ce mode en priorité. Dans le cas contraire, OME prend le relais.
Limites actuelles de ces solutions
La conception « Zero Password » de Microsoft vise la simplicité : l’accès est lié à l’identité (Azure AD, Microsoft Entra ID, certificat ou mot de passe OTP temporaire). L’expéditeur ne peut donc pas saisir et communiquer un mot de passe permanent différent pour chaque envoi. Voici les impacts :
- Impossibilité de partager un même courrier protégé avec un partenaire non authentifié ;
- Difficulté à archiver le message sous forme d’objet autonome (puisqu’un serveur OME reste requis pour le déchiffrement) ;
- Non‑conformité potentielle avec certaines normes sectorielles imposant un secret partagé plutôt qu’une infrastructure à clé publique.
Scénarios fréquents et solutions de contournement
| Objectif recherché | Solution recommandée | Étapes clés & points d’attention |
|---|---|---|
| Protéger uniquement les pièces jointes par mot de passe | Créer une archive ZIP AES‑256 ou RAR chiffrée | Compresser vos fichiers avec 7‑Zip, WinRAR ou l’Explorateur Windows (Windows 11 24H2 prend en charge ZIP AES nativement). Saisir un mot de passe robuste (au moins 12 caractères, mélange lettres, chiffres, symboles). Envoyer l’archive en pièce jointe ; transmettre le mot de passe via SMS, appel vocal, ou solution de secure messaging. |
| Protéger message + pièces jointes avec mot de passe | Chiffrer tout le courriel hors d’Outlook | Rédiger le message dans un éditeur texte, l’enregistrer au format .txt. Chiffrer le fichier avec Gpg4win (Kleopatra) en utilisant OpenPGP symétrique ou la clé publique du destinataire. Joindre le fichier .gpg au courriel (non chiffré ou OME selon préférence). Communiquer la clé ou le mot de passe par un canal séparé. |
| Conservation légale et recherche ultérieure | Archiver les messages chiffrés dans un coffre eDiscovery | Activer Advanced eDiscovery et le Key Escrow dans Microsoft Purview. Prévoir un flux de déchiffrement automatique via Graph API ou un SIEM si la conformité l’exige. |
Tutoriel : envoyer un message chiffré avec OME
- Ouvrez Outlook et cliquez sur Nouveau courriel.
- Renseignez les destinataires, l’objet et le corps du message.
- Glissez‑déposez vos pièces jointes.
- Dans le ruban, basculez vers Options, puis cliquez sur Chiffrer. Un menu déroulant affiche :
- Chiffrement (par défaut) ;
- Ne pas transférer ;
- Confidentiel (si les étiquettes MIP sont activées) ; etc.
- Sélectionnez Chiffrement. L’icône de cadenas apparaît dans la barre d’état du message.
- Envoyez. Les destinataires internes n’auront rien à faire ; les externes recevront un lien sécurisé « Lire le message ». S’ils ne possèdent pas de compte Microsoft, ils recevront un code à usage unique valable 15 minutes.
Tutoriel : protéger les pièces jointes via une archive ZIP AES‑256
Cette approche est universelle : seul le mot de passe compte.
- Sélectionnez vos fichiers dans l’Explorateur Windows.
- Clic droit ▸ Compresser en fichier ZIP (sur Windows 11 24H2) ou choisissez 7‑Zip ▸ Ajouter à l’archive….
- Activez l’option Chiffrer les noms de fichiers et le type de chiffrement AES‑256.
- Saisissez un mot de passe complexe puis cliquez sur OK.
- Joignez l’archive au courriel. Le message lui‑même peut être :
- Non chiffré (si le contenu est anodin) ;
- Protégé via OME pour ajouter une couche d’authentification supplémentaire.
- Transmettez le mot de passe :
- Par SMS chiffré (Signal, iMessage) ;
- Par téléphone (idéal si le destinataire est disponible) ;
- Au besoin, via un portail SFTP à accès restreint.
Comparaison rapide des options
| Critère | OME | S/MIME | ZIP AES‑256 | OpenPGP |
|---|---|---|---|---|
| Définition d’un mot de passe manuel | Non | Non | Oui | Oui (mode symétrique) |
| Transparence pour le destinataire interne | Totale | Fort (mais nécessite le certificat) | Faible (mot de passe requis) | Moyenne (clé publique requise) |
| Compatibilité mobile sans application tierce | Oui | Variable | Oui (lecture après décompression) | Non (app PGP nécessaire) |
| Traçabilité / revocation | Gestion IRM | Listes de révocation de certificats | Aucune | Révocation de clé |
| Performance sur fichiers volumineux (>150 Mo) | Limite 150 Mo cumulé | Même limite Exchange | Adapté via partage hors courriel | Adapté via partage hors courriel |
Bonnes pratiques de sécurité
- Canal séparé pour le secret : envoyer mot de passe ou clé par un autre vecteur ; ne jamais le noter dans le message.
- Rotation périodique : changez régulièrement les mots de passe partagés, surtout pour les projets longue durée.
- Entropie minimale : visez au moins 128 bits (≈22 caractères aléatoires) pour une résistance à l’attaque par dictionnaire.
- Double authentification : pour OME, activez MFA sur les comptes invités afin d’éviter l’usurpation d’adresse.
- Audit et journalisation : conservez les logs OME (MailItemsAccessed) pour retracer qui a ouvert quoi et quand.
Gestion en entreprise : déploiement et conformité
Dans un environnement Microsoft 365 E5, vous disposez d’outils pour standardiser et surveiller le chiffrement :
Déploiement automatique de S/MIME
Utilisez Intune pour distribuer les certificats utilisateurs (.pfx) avec politique trusted certificate, puis poussez les profils Outlook contenant l’empreinte du certificat. Ainsi, l’option S/MIME est pré‑configurée et l’utilisateur ne voit qu’un bouton Signer / Chiffrer.
Étiquettes de confidentialité & IRM
Les Sensitivity Labels permettent de coupler OME avec des restrictions Rights Management (copie, transfert, impression). Exemple : l’étiquette Strictement confidentiel – Finances chiffre automatiquement le message, interdit le transfert et expire après 90 jours.
eDiscovery et archivage
Pour garder la capacité de recherche plein texte, activez Decryption for Search dans Microsoft Purview. Le service extrait une copie indexable et la stocke dans une zone isolée accessible uniquement aux responsables conformité.
FAQ – questions fréquentes
Le destinataire voit‑il le sujet du message ?
Avec OME, le sujet reste en clair par défaut pour permettre l’acheminement. Activez l’option Encrypt‑Subject via PowerShell si vous souhaitez aussi le masquer.
Puis‑je imposer le regroupement en archive ?
Oui : déployez une stratégie Outlook Transport Rule qui détecte des types de fichiers sensibles et remplace l’envoi par un « Secure Portal ». Les pièces jointes sont déplacées vers SharePoint chiffré et seules des URL expirables sont insérées dans le mail.
Le ZIP AES est‑il conforme RGPD ?
Le RGPD n’impose pas un algorithme ou un outil précis, mais exige que le niveau de protection soit approprié au risque. Un ZIP AES‑256 with mot de passe robuste transmis séparément est considéré comme satisfaisant pour de nombreux traitements courants.
Résumé
Outlook facilite grandement le chiffrement grâce à OME et S/MIME, mais ne permet pas encore le choix d’un mot de passe personnalisé. Pour pallier cette limite, l’archive ZIP AES‑256 et l’OpenPGP restent des solutions fiables, à condition de respecter des bonnes pratiques de gestion des secrets et d’auditer les accès. En combinant les capacités natives de Microsoft 365 avec des outils tiers lorsque c’est nécessaire, vous obtenez un flux sécurisé et conforme, sans sacrifier la productivité des expéditeurs ni l’expérience des destinataires.