Blog

8 meilleures pratiques de sécurité des emails pour les équipes IT

blog

15 April 2025

0 min read

L'email reste le canal de communication le plus utilisé en entreprise, mais aussi l’un des plus ciblés. Du phishing et des ransomwares à l'ingénierie sociale et à l'usurpation de marque, les attaquants misent sur l'email parce que ça fonctionne. En fait, plus de 90 % des cyberattaques réussies commencent par un email.

Lors d'un récent webinaire, Alex Dennis, InfoSec Manager chez Exclaimer, et James Wayne, Senior Product Marketing Manager, ont présenté comment les professionnels IT peuvent renforcer la sécurité des emails. Ils ont abordé tous les aspects, des protocoles techniques à la formation des utilisateurs, en passant par les vulnérabilités souvent ignorées, comme celles liées à une signature email.

Voici 8 pratiques essentielles, leur importance et comment agir.

1. Reconnaître que l'email est le maillon faible de la chaîne de sécurité

Malgré les investissements dans la sécurité réseau, les pare-feu et la protection des terminaux, les attaquants choisissent toujours l'email. C’est peu coûteux, évolutif et permet une ingénierie sociale très personnalisée. Le taux de réussite est alarmant : environ 3 à 5 % à l'échelle mondiale.

Les attaques de phishing actuelles n’ont plus les fautes d’orthographe flagrantes ou les pièces jointes suspectes d’autrefois. Elles sont conçues pour ressembler à des processus internes – une facture du service finance, une réinitialisation de mot de passe d’IT, ou un message urgent du PDG. Elles utilisent des formats précis, une marque familière et des noms que vos équipes connaissent et en qui elles ont confiance.

Ces attaques sont « conçues pour passer le test visuel », particulièrement lorsque les employés travaillent vite, sont distraits ou en déplacement. Et les attaquants n’ont pas besoin d'accéder à vos serveurs. Ils ont seulement besoin d'accéder à vos employés, l'email étant le moyen le plus simple de les atteindre.

2. Protégez les signatures email – elles comptent plus que vous ne le pensez

Lorsqu’on pense à la sécurité des emails, on se concentre souvent sur l’infrastructure. Mais le contenu du message et la structure visuelle d’un email, y compris la signature, jouent également un rôle dans la confiance ou le doute.

Une signature email peut sembler secondaire. Mais si elle est incohérente, mal gérée ou modifiable par les utilisateurs, elle devient une opportunité pour des cyberattaques.

Lorsque vous perdez le contrôle de la façon dont votre organisation se présente, vous laissez une porte ouverte au spoofing, à la manipulation de marque et aux problèmes de conformité.

Voici où des signatures mal gérées créent des problèmes :

Emails usurpés : les attaquants peuvent facilement répliquer le format de vos signatures.
Branding incohérent : les différences entre départements compliquent la détection des phishing en interne.
Modifications manuelles : les utilisateurs peuvent introduire des erreurs ou des informations obsolètes.
Mentions légales manquantes : cela peut entraîner des violations réglementaires dans des secteurs comme la finance ou la santé.
Modèles obsolètes : ils peuvent mal représenter votre organisation à l’extérieur.

Par exemple, une tentative de phishing avec une signature clonée d’un employé réel peut passer inaperçue si la signature légitime de cet employé varie légèrement à chaque fois. Cette incohérence rend plus difficile la détection des anomalies, ce qui affaiblit votre posture de sécurité.

3. Utilisez un contrôle des signatures pour soutenir la conformité et la gouvernance de la marque

Au-delà de la sécurité, des signatures email cohérentes sont essentielles pour des raisons légales et de marque. De nombreuses organisations opèrent sous des normes réglementaires strictes. Des mentions légales incohérentes, des informations manquantes ou obsolètes peuvent vous exposer à des amendes et des défis juridiques.

D'un point de vue marque, des signatures mal formatées ou non conformes reflètent une image peu professionnelle et nuisent à la crédibilité de votre organisation. Vos clients, partenaires et fournisseurs tirent des conclusions sur votre entreprise à partir de chaque communication.

La gestion centralisée des signatures email vous aide à garder le contrôle, à distribuer des mises à jour automatiquement et à soutenir vos initiatives de sécurité et de conformité.

4. Formez vos équipes - le comportement humain reste le plus grand risque

La technologie peut détecter de nombreuses menaces. Mais elle ne peut pas empêcher quelqu’un de cliquer sur un lien dans un email qui semble convaincant.

Peu importe la sophistication de vos outils, vos équipes restent vulnérables à la tromperie, notamment lorsque les menaces se déguisent en communications quotidiennes. Cela inclut des messages falsifiés provenant de fournisseurs de confiance, des collègues usurpés ou des demandes urgentes contournant les protocoles.

Pour réduire les erreurs humaines, vous avez besoin d'une formation continue et d'une culture de prudence, incluant :

Des campagnes de simulation de phishing pour tester les utilisateurs et renforcer l'apprentissage
Des guides ou infographies sur ce à quoi ressemblent les emails légitimes
Encourager une culture de vérification, où les employés demandent avant de répondre à des demandes inhabituelles
Mettre en avant des exemples réels d’emails falsifiés, notamment ceux imitant des communications internes

Quand les utilisateurs savent à quoi ressemble un email normal, y compris le format de signature d'email, le langage et le ton corrects, ils sont plus enclins à remettre en question les messages qui s'en écartent.

5. Sachez que les acteurs malveillants ciblent désormais votre domaine, pas seulement vos appareils

Les cyberattaques se concentraient auparavant sur l'intrusion dans vos infrastructures. Aujourd'hui, de nombreuses menaces visent à utiliser votre organisation comme façade. Les attaquants usurpent votre marque pour tromper vos clients, partenaires et même vos collaborateurs en interne.

Ce type d’usurpation, souvent appelé compromission d’email professionnel (BEC), peut inclure :

L’enregistrement de domaines ressemblants (par exemple, utiliser "rn" au lieu de "m" pour imiter un nom réel)
L’usurpation des noms d’expéditeurs internes dans des messages pour piéger les employés, les incitant à effectuer des virements ou partager des identifiants
L’utilisation de comptes fournisseurs compromis pour cibler votre équipe dans une attaque par chaîne d'approvisionnement

Dès qu'un email frauduleux, semblant provenir de votre organisation, atteint un destinataire externe, votre réputation en souffre. Cela signifie qu’il ne suffit plus de filtrer les menaces entrantes. Vous devez également protéger la manière dont vos messages sont perçus et reçus à l’extérieur.

6. Utilisez SPF, DKIM et DMARC pour protéger votre identité

Ces trois protocoles d’authentification des emails constituent la base de la confiance dans les emails. Sans eux, les attaquants peuvent usurper votre domaine et se faire passer pour votre marque.

SPF (Sender Policy Framework) définit quels serveurs de messagerie sont autorisés à envoyer des messages en votre nom.
DKIM (DomainKeys Identified Mail) ajoute une signature numérique à l'en-tête de vos emails, validant que le contenu n’a pas été modifié.
DMARC (Domain-based Message Authentication Reporting and Conformance) indique aux serveurs de réception quoi faire si un email échoue aux vérifications SPF ou DKIM, et envoie des rapports à votre équipe.

Lorsque ces protocoles sont correctement implémentés et surveillés, ils réduisent considérablement les risques d’usurpation. Cependant, une mise en œuvre partielle ou une mauvaise configuration peuvent créer des failles.

Un problème courant est lorsque les organisations configurent SPF et DKIM mais laissent DMARC en mode "aucun". Cela signifie qu’aucune action n’est prise en cas d’échec.

DMARC doit progressivement être configuré avec une politique "rejeter" une fois que vous avez une visibilité grâce aux rapports. Cela vous fournit une protection active et des informations sur les entités utilisant votre domaine pour envoyer des emails.

7. Préparez-vous aux menaces par e-mail ciblant différemment chaque département

Les menaces par e-mail n’affectent pas tous les départements de la même manière. Les équipes juridiques, RH, marketing et conformité font face à des risques spécifiques. Par exemple :

Les équipes juridiques reçoivent des e-mails de phishing déguisés en contrats, assignations ou mises à jour réglementaires
Les équipes RH sont ciblées avec des CV malveillants ou de faux documents d’intégration
Le marketing peut être attaqué lors de campagnes ou de lancements de produits via des tentatives d’usurpation ou d’injection de liens
Les équipes conformité reçoivent des demandes urgentes conçues pour contourner les workflows d’approbation

Ces attaques sont crédibles car elles imitent des routines familières. Les attaquants savent ce que chaque département s’attend à recevoir et en reproduisent l’apparence.

C'est pourquoi les politiques de sécurité des e-mails doivent aller au-delà d’instructions génériques. Elles doivent inclure des formations et des alertes adaptées au contexte de chaque équipe. Les RH doivent savoir à quoi ressemblent de faux CV. Le juridique doit reconnaître les documents suspects. Le marketing doit identifier quand le domaine d’un expéditeur présente une anomalie.

Bien que l’IT mène l’effort, équiper chaque département de connaissances spécifiques renforce la sécurité de toute l’organisation.

8. Construisez un programme de sécurité des e-mails proactif et adaptable

Les menaces par e-mail évoluent en permanence. Votre stratégie aussi doit évoluer. Voici quelques pratiques concrètes pour anticiper ces risques :

Révisions trimestrielles des politiques pour traiter de nouvelles menaces, des changements commerciaux et aligner les politiques IT, juridiques, RH et marketing.
Mettez en œuvre une gestion des signatures e-mail pour la cohérence, l’image de marque et la conformité légale.
Auditez les signatures e-mail et la sécurité des domaines en examinant la réputation des domaines et en optimisant les configurations SPF, DKIM et DMARC.
Surveillez les rapports DMARC pour identifier tout abus ou anomalie.
Effectuez des simulations de phishing et des formations utilisateurs pour faire face aux nouvelles tendances d’ingénierie sociale.
Analysez les métriques de sécurité e-mail comme les taux de rebond, les résultats des tests de phishing et les incidents signalés par les utilisateurs afin d’affiner votre programme.

Plus vous intégrez de visibilité et de responsabilité dans vos processus de sécurité, plus votre défense sera solide.

Chaque e-mail reflète votre organisation

Qu’il s’agisse d’une prospection à froid, d’une demande interne ou d’une réponse à un client, chaque message que vous envoyez représente votre entreprise. Les attaquants le savent, et c’est pourquoi ils exploitent autant l’e-mail en tant que canal de confiance.

Protéger votre environnement d’e-mail ne doit pas se limiter à filtrer les menaces. Vous devez gérer de manière proactive la façon dont votre organisation se présente dans chaque message, de la vérification de l’expéditeur à la signature d’e-mail.

Regardez le webinaire complet pour découvrir comment renforcer votre stratégie de sécurité des e-mails et reprendre le contrôle.

Dave Willis

Senior Content Manager

Dave is a marketing expert with 12 years experience in the tech and SaaS world. He specializes in educating IT and channel audiences, with a focus on security, privacy, compliance, and marketing technology. With a talent for storytelling and a deep understanding of the industry, Dave transforms complex IT topics into clear, engaging, and impactful narratives.