Bonnes pratiques de sécurisation des messageries : protéger vos communications numériques

Todd Stansfield

28 décembre 2023

10 min de lecture

une enveloppe email représentant la protection

L’email constitue le principal canal de communication et de collaboration du monde professionnel.

Pourtant, il s’agit aussi du principal vecteur des cybermenaces.

D’après l’édition 2023 du Market Guide de la sécurité de l’email publié par Gartner, environ 70 % des entreprises s’appuient sur une plateforme de messagerie dans le cloud ne les protégeant pas des cybermenaces les plus sophistiquées. Alors même qu’il existe des solutions de sécurité de l’email intégrées capables de compenser ces lacunes, seulement 5 % des entreprises les ont mises en place. Nombre d’entre elles sont ainsi vulnérables et risquent d’être compromises.

La sécurité de l’email n’est pas une mesure binaire : il ne suffit pas de cliquer sur un bouton pour être protégé. Le déploiement d’une solution de sécurité ne limite pas toujours le risque de compromission. Pour une sécurité de l’email efficace, vous devez à la fois adopter les bonnes technologies, mais aussi les bonnes procédures opérationnelles.

Dans cet article, nous allons nous pencher sur les bonnes pratiques de sécurisation des messageries qui vous aideront à mieux protéger vos utilisateurs, vos clients et votre entreprise des cybermenaces modernes.

Comprendre l’importance de la sécurité de l’email

 

comprendre l'importance de la sécurité en ligne

Menaces stratégiques pesant sur la sécurité de l’email 

 

S’il existe plusieurs types de menaces en lien avec la sécurité de l’email, voici les plus fréquentes et les plus dangereuses :

  • Phishing : le phishing consiste pour les hackers à se faire passer pour des marques connues et fiables pour tromper leurs victimes et les pousser à cliquer sur des liens malveillants, scanner des QR codes ou télécharger des pièces jointes contenant un malware. Cette attaque est plutôt généraliste : elle est envoyée à de nombreuses adresses sans que son contenu soit personnalisé en fonction du destinataire. Collecte d’identifiants, distribution de malwares ou encore usurpations de compte : la liste des dangers des campagnes de phishing est longue. D’après l’Internet Crime Complaint Center, il s’agit du type de cybermenace qui génère le plus de victimes. L’organisme a enregistré pas moins de 300 000 plaintes à ce sujet rien qu’en 2022. Même tendance du côté de Vade, qui a détecté un nombre record d’emails de phishing en 2023.

  • Spear Phishing (BEC) : le spear phishing, souvent appelé BEC (Business Email Compromise), est une cyberattaque très ciblée. Les hackers se font passer pour une personne légitime ou un fournisseur connu de la victime. Bien souvent, les emails de ces campagnes, et notamment le premier, ne contiennent pas de liens ou de pièces jointes de nature malveillante. Les hackers misent davantage sur le texte, leurs recherches sur la victime et des techniques d’ingénierie sociale pour manipuler les utilisateurs et leur faire accomplir une action compromettante, souvent de nature financière. Il peut s’agir de transférer des fonds vers un compte frauduleux (fraude au compte bancaire), d’envoyer des documents fiscaux aux hackers (fraude fiscale ou fraude au W2), d’acheter des cartes cadeaux en gros (arnaque à la carte cadeau), etc.

    Les attaques de spear phishing sont les plus coûteuses. D’après l’IC3, les dégâts qu’elles génèrent ont coûté 2,7 milliards de dollars en 2022. Autre point inquiétant, le nombre d’attaques de ce type ne cesse de grimper. D’après le rapport de Verizon sur les violations de données, le nombre d’attaques BEC a presque doublé en 2023 par rapport à l’année précédente.
  • Malware dans les emails : le malware est une menace véhiculée par différents vecteurs, mais l’email reste son principal canal de distribution, notamment lorsqu’il s’agit de ransomwares. Ce type de menace par email prend généralement la forme d’une pièce jointe qui infecte l’appareil de la victime une fois qu’elle est téléchargée. D’après Verizon, ces pièces jointes se présentent souvent comme des documents Microsoft Office. Certaines attaques contiennent un lien malveillant qui redirige la victime vers une page de phishing entraînant le téléchargement de la charge utile.

  • Attaques de type « Man in The Midlle » : cette attaque consiste pour un hacker à intercepter ou écouter des communications entre deux parties légitimes. Habituellement, elle est associée à des techniques de phishing avec pour but de récupérer les identifiants. Pour y parvenir, les hackers génèrent une demande d’authentification depuis une application ou un site Web. Si l’authentification intervient sur le même canal, ils s’y introduisent (d’où le nom de l’attaque) et récupèrent les identifiants. La connexion via une adresse email et l’interception de SMS sont deux moyens courants de mettre en œuvre une telle attaque. Les hackers utilisent ensuite les identifiants récupérés en temps réel pour se connecter à un service légitime ou contourner des mécanismes de sécurité comme l’authentification multi facteur (contournement MFA).

  • Spam : le spam se définit par des emails non sollicités et souvent indésirables envoyés en masse à de nombreux destinataires. Le spam en lui-même n’est pas nécessairement malveillant, mais il peut engorger les boîtes aux lettres, consommer des ressources réseau et faciliter la remise de contenu malveillant, notamment des liens de phishing.

 

T3 2023 Phishing and Malware Report

8 pratiques essentielles de sécurisation des messageries

Bonnes pratiques de sécurité de l’email

Comme nous l’avons vu, une sécurité de l’email efficace impose de déployer les bonnes solutions et procédures opérationnelles. Pour renforcer votre posture, adoptez les bonnes pratiques ci-dessous et faites-en une priorité de chaque instant.

1. Adoptez une solution de sécurité de l’email intégrée 

Les solutions de sécurité de l’email intégrées sont largement considérées comme les plus efficaces pour lutter contre les menaces par email modernes. Des cabinets respectés comme Gartner recommandent aux entreprises d’adopter cette technologie pour compléter les fonctions natives de leurs plateformes de messagerie et remplacer les solutions traditionnelles comme les passerelles de messagerie sécurisées.

En effet, si ces passerelles offrent un réel intérêt en matière de sécurité, elles présentent aussi des limites importantes. À la différence des solutions intégrées, les passerelles se trouvent en dehors du réseau interne. Par conséquent, elles désactivent les fonctions de sécurité natives des plateformes de messagerie et les laissent vulnérables face aux menaces internes et externes. De plus, le déploiement et la configuration de ces plateformes sont chronophages et complexes. Elles sont aussi vulnérables face aux menaces inconnues des filtres de messagerie reposant sur la détection de la réputation et de la signature. Ces faiblesses montrent l’importance d’adopter une solution de sécurité de l’email tierce.

Choisissez une solution offrant les caractéristiques suivantes :

  • Une protection basée sur l’IA. Des algorithmes d’IA comme le machine learning, le natural language processing et la computer Vision peuvent offrir une protection efficace contre tous les types de menaces sophistiquées véhiculées par les emails, y compris les menaces inédites et émergentes.
  • Une interface unifiée pour la gestion de la sécurité de l’email. Avec une interface unifiée, vous gagnerez en visibilité et en efficacité dans les tâches administratives, par exemple lors de la remédiation aux signalements des utilisateurs. Cette interface doit offrir la fameuse « vision globale » permettant aux administrateurs d’évaluer le statut de sécurité d’un seul coup d’œil.
  • Des fonctions puissantes de réponse aux incidents et de détection des menaces. Les solutions proposant une remédiation automatique renforcent la sécurité en éliminant sans délai les menaces déjà remises détectées après la disponibilité de nouvelles informations. Par ailleurs, les fonctions de remédiation assistées permettent aux administrateurs de remédier aux menaces pour tous les utilisateurs ou tenants en une seule fois et donc de gagner un temps précieux.
  • Une utilisation simple. Les solutions proposant des fonctions intuitives, pratiques et automatisées peuvent limiter le temps consacré à leur utilisation et rendre les équipes informatiques et de sécurité plus productives.

2. Mettez en place une formation de sensibilisation au phishing automatisée 

Les utilisateurs sont le maillon faible de votre surface d’attaque. Mais avec la formation de sensibilisation au phishing, ils peuvent devenir une ligne de défense précieuse. Une formation de ce type leur apprend comment repérer les menaces souvent véhiculées par les emails et les signaler aux administrateurs afin qu’ils y remédient. Elle leur enseigne également d’autres comportements essentiels, comme reconnaître les signes d’usurpation et éviter de cliquer sur des liens ou de télécharger des pièces jointes venant d’expéditeurs inconnus ou suspects.

Lors du choix de votre solution, privilégiez une solution disposant des fonctions suivantes :

  • Le contexte joue un rôle majeur dans l’amélioration des comportements. Une formation adaptée au poste d’un utilisateur et aux interactions qu’il a fréquemment par email est plus efficace que les programmes génériques.
  • Les programmes de formation automatisés permettent d’éviter toute intervention humaine. Ils peuvent aussi être dispensés à la demande via une simulation informatique.
  • Administration en temps réel. Ce type de formation ne repose pas sur des sessions programmées, mais sur des sessions déclenchées au moment précis où elles sont nécessaires. Encore mieux, certaines solutions sont capables de lancer une formation dès qu’un utilisateur fait face à un email de phishing.

 

3. Appliquez des politiques robustes de gestion des mots de passe 

Les comptes compromis rendent les attaques de phishing et BEC plus efficaces. Avec des politiques de gestion des mots de passe, vous pouvez lutter contre la tendance des utilisateurs à créer des mots de passe faibles et à les réutiliser d’une application à l’autre.

 

Pour créer une politique robuste de gestion des mots de passe :

  • Imposez aux utilisateurs de choisir des mots de passe longs et uniques. Le National Institute of Standards and Technologies (NIST) a récemment conclu que la longueur d’un mot de passe joue un rôle plus déterminant que sa complexité. Les mots de passe longs empêchent les hackers de compromettre les comptes par des attaques par force brute (méthode consistant à deviner le mot de passe d’un compte manuellement ou à l’aide de la technologie). En revanche, en imposant aux utilisateurs de définir des mots de passe complexes, vous risquez de les inciter à les écrire ou les enregistrer de manière numérique et non sécurisée.
  • Limitez le nombre de tentatives de saisie des mots de passe. Le NIST recommande également de limiter le nombre de tentatives que les utilisateurs peuvent faire lors de la saisie de leur mot de passe. Ce réglage protège lui aussi des attaques par force brute.
  • Dressez une liste des mots de passe interdits. Le NIST conseille d’élaborer et d’appliquer une liste de mots de passe interdits incluant les mots du dictionnaire, certains noms et les identifiants compromis. Vous limiterez ainsi le risque qu’un hacker parvienne à accéder au compte.

 

4. Activez l’authentification multifacteur (MFA) 

Comme les politiques efficaces de gestion des mots de passe, la MFA complexifie la tâche des hackers souhaitant compromettre et manipuler des comptes légitimes. L’authentification MFA impose aux utilisateurs de confirmer leur identifié par plusieurs moyens pour pouvoir accéder à leurs emails ou à d’autres applications.

 

Comme la plupart des solutions et pratiques de cybersécurité, toutes les formes de MFA n’assurent pas une protection équivalente. Pour maximiser votre sécurité, la Cybersecurity & Infrastructure Security Agency (CISA) recommande d’adopter l’authentification FIDO/WebAuthn, qui empêche les utilisateurs de se connecter depuis une page de phishing. Si cette solution n’est pas envisageable pour votre entreprise, la CISA invite à opter pour une MFA basée sur une application, des SMS ou un appel vocal.

 

5. Mettez en place une politique de sécurité de l’email 

Comme la politique de sensibilisation des utilisateurs, une politique de sécurité de l’email s’intéresse à l’élément humain de votre posture de sécurité globale en définissant comment utiliser l’email de manière sûre et responsable au sein d’une entreprise. Elle établit des règles et directives de gestion des informations sensibles et de respect des protocoles de sécurité, et cadre d’autres comportements des utilisateurs.

 

Lors de la création de votre politique de sécurité de l’email :

  • Partez d’un modèle proposé par un organisme réputé, par exemple le SANS Institute.
  • Faites en sorte que vos employés puissent trouver et consulter votre politique facilement.
  • Assurez-vous qu’elle soit facile à lire et à comprendre.
  • Intégrez votre politique dans les programmes d’orientation et d’intégration des nouveaux arrivants.
  • Parlez de votre politique dans les réunions officielles et non officielles de l’entreprise.
  • Permettez à vos employés de lire et confirmer officiellement leur compréhension de la politique lors de sa mise en place, puis à chaque fois des mises à jour importantes y sont apportées.

 

6. Utilisez des protocoles d’authentification 

Les protocoles d’authentification des emails assurent une protection contre l’usurpation en vérifiant l’authenticité des emails entrants. Parmi ces protocoles, nous pouvons citer Sender Policy Framework (SPF), Domain-Keys Identified Mail (DKIM) et Domain-based Message Reporting and Conformance (DMARC). L’adoption de ces protocoles vous protège contre les usurpations des adresses email, les attaques de phishing et l’usurpation des domaines.

 

Le NIST fournit des recommandations détaillées concernant le déploiement de SPF, DKIM et DMARC. Vous trouverez également beaucoup de ressources et fournisseurs pour faciliter l’adoption de DMARC, une norme gratuite et ouverte que de nombreuses organisations n’ont pourtant pas encore déployée.

 

7. Utilisez une solution de chiffrement 

Les solutions de chiffrement préservent la confidentialité et l’intégrité de vos communications par email. Avec ces solutions, vos communications deviennent incompréhensibles par les destinataires non autorisés, qui n’ont pas la clé de déchiffrement. Alors que les attaques de type « Man in The Middle » sont de plus en plus courantes, le chiffrement permet de sécuriser vos échanges et autres informations.

 

D’après l’édition 2023 du Market Guide de la sécurité de l’email publié par Gartner, environ 40 % des entreprises ont adopté une solution de chiffrement. Si ce pourcentage est aussi faible, c’est notamment en raison de difficultés d’utilisabilité. Pour autant, il augmente peu à peu avec l’émergence de nouvelles solutions de bout en bout qui résolvent ces problèmes.

 

8. Encouragez l’adoption d’une bonne cyberhygiène 

Mettez en place une culture de cybervigilance qui informe les utilisateurs et les motive à devenir des participants actifs de l’amélioration de la cybersécurité.

 

Pour encourager de bonnes pratiques de cyberhygiène, concentrez-vous sur les initiatives ci-dessous. Notez qu’elles doivent venir en complément de vos programmes de sensibilisation des utilisateurs.

    • Encouragez les utilisateurs à sécuriser physiquement leur poste de travail lorsqu’ils sont absents.
    • Expliquez à vos utilisateurs comment manipuler en toute sécurité les informations sensibles.
    • Découragez le Shadow IT (utilisation d’applications ou de services Web non validés par le service informatique).
    • Découragez le recours à des comptes personnels sur des appareils professionnels.

Solutions de sécurité de l’email Vade

Vade propose une suite de solutions de sécurité de l’email pensée pour aider les entreprises à renforcer leur cybersécurité. Basés sur l’IA et bénéficiant d’un réseau mondial de plus de 1,4 milliard de boîtes aux lettres, nos produits de cybersécurité protègent les utilisateurs de la boîte de réception au navigateur contre les menaces les plus sophistiquées du moment. Nous proposons également une formation de sensibilisation au phishing qui se déclenche dès que les utilisateurs font face à une menace, 24 h/24, 7 jours sur 7, 365 jours par an.

 Programmer une démonstration  

 

FAQ

  • Pourquoi la sécurité de l’email est-elle importante pour les entreprises ?

L’email reste le principal canal de distribution des cybermenaces et la première source d’incidents de sécurité et de violations de données. En l’absence de sécurité de l’email, les entreprises s’exposent à des pertes financières, des dommages réputationnels et des violations réglementaires aboutissant à des pénalités et des conséquences juridiques. Environ 20 % des entreprises victimes d’une violation de données doivent s’acquitter d’amendes d’au moins 250 000 $. En misant sur la sécurité de l’email, vous renforcez la continuité de votre activité.

  • Quelles sont les menaces courantes pour la sécurité de l’email ?

Parmi les menaces courantes, citons le phishing, le spear phishing et les malwares. Véhiculées par les emails, elles remettent des liens ou pièces jointes de nature malveillante ou font appel à des techniques d’ingénierie sociale pour compromettre les comptes de leurs victimes. Pour fonctionner, elles ont besoin que les utilisateurs réalisent au moins une action, comme cliquer sur un lien, télécharger une pièce jointe ou accéder à la demande de l’expéditeur.

  • Comment puis-je protéger mon entreprise des attaques de phishing par email ?

Pour protéger votre entreprise du phishing, adoptez une solution de sécurité de l’email tierce intégrée, mettez en place une formation de sensibilisation au phishing et déployez des protocoles d’authentification des emails (notamment SPF, DKIM et DMARC). Il est également important de déployer des politiques en lien avec la sécurité de l’email et les mots de passe, ainsi que d’adopter des mesures de sécurité supplémentaires, comme la MFA.

  • Quel rôle joue la formation des employés dans la sécurité de l’email ?

La formation de sensibilisation des utilisateurs joue un rôle stratégique dans la sécurité de l’email. D’après le rapport de Verizon sur les violations de données, l’erreur humaine est responsable de presque trois violations de données sur quatre. La formation aide les utilisateurs à reconnaître les indices qui trahissent les cybermenaces les plus fréquentes et leur apprend à sécuriser leurs pratiques, notamment en analysant les emails pour détecter d’éventuelles usurpations, en évitant de télécharger les pièces jointes d’expéditeurs inconnus, etc. La formation des employés réduit le risque d’incident de sécurité, et donc de violation de données.