La messagerie professionnelle est le système nerveux de l'entreprise. C'est par elle que transitent les commandes, les contrats, les informations financières, les échanges avec les clients. C'est aussi la porte d'entrée préférée des attaquants. Un audit régulier de la sécurité de votre messagerie permet d'identifier les failles avant qu'elles ne soient exploitées.
Messagerie sécurisée Infomaniak
Pourquoi auditer sa messagerie ?
La sécurité de la messagerie n'est pas un état, c'est un processus. Les menaces évoluent, les configurations se dégradent, les bonnes pratiques s'oublient. Un audit périodique permet de :
- Identifier les vulnérabilités techniques
- Vérifier la conformité aux bonnes pratiques
- Détecter les accès obsolètes ou non autorisés
- Évaluer les risques en cas d'incident
- Prioriser les actions correctives
Un audit ne doit pas être vu comme une contrainte bureaucratique mais comme un investissement dans la protection de l'entreprise. Le coût d'un audit est négligeable comparé aux conséquences d'une compromission : perte de données, atteinte à la réputation, sanctions RGPD, interruption d'activité.
Les points à auditer
Un audit complet de la messagerie couvre plusieurs dimensions : technique, organisationnelle et humaine. Voici les principaux points à vérifier.
1. Configuration des protocoles d'authentification
SPF, DKIM et DMARC sont les trois protocoles qui protègent contre l'usurpation d'identité email. Leur configuration correcte est essentielle.
SPF (Sender Policy Framework)
Vérifiez que votre enregistrement SPF liste tous les serveurs autorisés à envoyer des emails pour votre domaine. Un SPF mal configuré peut bloquer vos propres emails ou laisser passer des usurpations.
Pour tester votre SPF, envoyez un email à un service de vérification comme mail-tester.com ou utilisez les outils de diagnostic DNS en ligne.
DKIM (DomainKeys Identified Mail)
Vérifiez que DKIM est activé et que la signature est valide. Un email sans signature DKIM ou avec une signature invalide sera traité avec suspicion par les destinataires.
DMARC (Domain-based Message Authentication, Reporting and Conformance)
DMARC indique aux serveurs destinataires quoi faire des emails qui échouent aux vérifications SPF/DKIM. Vérifiez que vous avez une politique DMARC et qu'elle est progressivement renforcée (none → quarantine → reject).
Configuration recommandée
Infomaniak configure automatiquement SPF et DKIM pour vos domaines. Pour DMARC, vous devez ajouter manuellement un enregistrement DNS. Commencez par une politique "none" avec reporting pour analyser les résultats, puis passez progressivement à "quarantine" et "reject".
2. Gestion des accès et des comptes
Les comptes utilisateurs sont autant de points d'entrée potentiels. Auditez-les régulièrement.
Comptes actifs
Listez tous les comptes de messagerie de votre organisation. Identifiez les comptes inutilisés (anciens employés, comptes de test, alias obsolètes). Désactivez ou supprimez ceux qui ne sont plus nécessaires.
Droits d'accès
Vérifiez qui a accès à quoi. Les boîtes mail partagées sont-elles accessibles uniquement aux personnes concernées ? Les administrateurs ont-ils des accès justifiés ? Appliquez le principe du moindre privilège.
Mots de passe
Évaluez la politique de mots de passe en place. Longueur minimale, complexité, renouvellement, interdiction des mots de passe courants. Les utilisateurs utilisent-ils des mots de passe uniques pour leur messagerie ?
Double authentification
La 2FA est-elle activée sur tous les comptes ? Est-elle obligatoire pour les comptes à risque (administrateurs, direction) ? Si non, pourquoi ?
3. Sécurité du transport
Les emails doivent être chiffrés en transit pour éviter les interceptions.
TLS sur les connexions clients
Vérifiez que les connexions IMAP, POP3 et SMTP utilisent TLS. Les ports non sécurisés (143, 110, 25) devraient être désactivés au profit des ports sécurisés (993, 995, 465/587).
TLS entre serveurs
Le TLS opportuniste entre serveurs SMTP devrait être activé. Les emails vers des domaines qui ne supportent pas TLS continueront à passer en clair, mais c'est une protection par défaut pour les autres.
4. Filtrage antispam et antivirus
Les filtres sont votre première ligne de défense contre le phishing et les malwares.
Efficacité de l'antispam
Analysez le dossier spam de quelques utilisateurs représentatifs. Trouvez-vous des faux positifs (emails légitimes marqués comme spam) ou des faux négatifs (spam passé en boîte de réception) ? Ajustez les paramètres si nécessaire.
Antivirus des pièces jointes
Les pièces jointes sont-elles scannées par un antivirus ? Les fichiers dangereux (.exe, .js, .vbs) sont-ils bloqués ou mis en quarantaine ?
5. Sauvegardes et récupération
En cas d'incident (ransomware, suppression accidentelle, corruption), pouvez-vous restaurer vos emails ?
Politique de sauvegarde
Quelle est la fréquence des sauvegardes ? Quelle est la rétention (combien de temps les sauvegardes sont-elles conservées) ? Les sauvegardes sont-elles testées régulièrement ?
Procédure de restauration
Avez-vous documenté la procédure de restauration ? Combien de temps faut-il pour restaurer une boîte mail ? L'avez-vous testée récemment ?
Sauvegardes Infomaniak
Infomaniak effectue des sauvegardes automatiques de vos boîtes mail. En cas de besoin, le support peut restaurer des emails supprimés dans un certain délai. Pour une protection maximale, envisagez une sauvegarde additionnelle avec Swiss Backup.
6. Journalisation et surveillance
Les logs permettent de détecter et d'analyser les incidents de sécurité.
Logs de connexion
Les connexions aux boîtes mail sont-elles enregistrées (date, heure, IP, succès/échec) ? Combien de temps les logs sont-ils conservés ?
Surveillance des anomalies
Surveillez-vous les tentatives de connexion échouées répétées ? Les connexions depuis des localisations inhabituelles ? Les envois massifs d'emails ?
7. Conformité et aspects juridiques
La messagerie traite des données personnelles et professionnelles sensibles. La conformité réglementaire doit être vérifiée.
Hébergement des données
Où sont physiquement hébergés vos emails ? Si vous traitez des données de citoyens européens, l'hébergement chez un prestataire américain soumis au Cloud Act pose question.
Conservation des emails
Certains secteurs imposent des durées de conservation spécifiques (10 ans pour les documents comptables, par exemple). Votre politique de rétention est-elle conforme ?
Accès aux emails des employés
Avez-vous une charte informatique qui précise les conditions d'accès aux emails professionnels ? Respectez-vous le cadre légal (information des employés, caractère proportionné) ?
Grille d'audit à télécharger
Pour structurer votre audit, voici les points clés à vérifier sous forme de checklist.
| Domaine | Point de contrôle | Statut |
|---|---|---|
| Authentification | SPF configuré et valide | ☐ |
| DKIM actif et signature valide | ☐ | |
| DMARC configuré (policy ≥ quarantine) | ☐ | |
| Accès | Pas de compte orphelin | ☐ |
| 2FA activée sur tous les comptes | ☐ | |
| Politique de mots de passe forte | ☐ | |
| Principe du moindre privilège respecté | ☐ | |
| Transport | TLS obligatoire sur les connexions clients | ☐ |
| TLS opportuniste entre serveurs | ☐ | |
| Filtrage | Antispam efficace | ☐ |
| Antivirus sur les pièces jointes | ☐ | |
| Continuité | Sauvegardes régulières et testées | ☐ |
| Procédure de restauration documentée | ☐ | |
| Conformité | Hébergement conforme RGPD | ☐ |
| Charte informatique à jour | ☐ |
Actions correctives prioritaires
Si votre audit révèle des failles, priorisez les actions correctives selon leur impact et leur facilité de mise en œuvre.
Priorité immédiate (risque critique)
- Désactiver les comptes d'anciens employés
- Activer la 2FA sur les comptes administrateurs
- Configurer DMARC si absent
- Forcer TLS sur les connexions clients
Priorité haute (risque élevé)
- Généraliser la 2FA à tous les utilisateurs
- Renforcer la politique DMARC (passer de none à quarantine)
- Mettre en place une surveillance des connexions suspectes
- Tester les procédures de restauration
Priorité moyenne (amélioration continue)
- Former les utilisateurs à la détection du phishing
- Affiner les règles antispam
- Documenter les procédures
- Envisager une migration vers un hébergeur souverain
Fréquence des audits
Un audit annuel complet est un minimum. Certains points peuvent être vérifiés plus fréquemment :
- Mensuel : Revue des comptes actifs, analyse des incidents
- Trimestriel : Test de l'antispam, vérification des logs
- Annuel : Audit complet, test de restauration, revue de la politique de sécurité
Les événements déclencheurs (incident de sécurité, changement d'organisation, nouvelle réglementation) justifient un audit extraordinaire.
Faire appel à un expert
Un regard extérieur apporte une objectivité que l'équipe interne peut difficilement avoir. Un audit par un prestataire spécialisé permet de :
- Bénéficier d'une expertise pointue
- Identifier des angles morts invisibles en interne
- Obtenir un rapport opposable (vis-à-vis d'assureurs, de clients, de régulateurs)
- Se comparer aux bonnes pratiques du secteur
Accompagnement InfoSwitch
InfoSwitch propose des audits de sécurité de messagerie adaptés aux PME. Nous vérifions la configuration technique, analysons les risques organisationnels et proposons un plan d'action priorisé. Contactez-nous pour un devis personnalisé.
Conclusion
La sécurité de la messagerie ne se décrète pas, elle se construit et se maintient. Un audit régulier est le meilleur moyen de s'assurer que vos protections restent efficaces face à des menaces en constante évolution.
Ne partez pas du principe que tout va bien parce qu'il n'y a pas eu d'incident. Les attaquants savent être discrets. Vérifiez, documentez, améliorez : c'est la seule façon de garder une longueur d'avance.
Prêt à migrer vers Infomaniak ?
Contactez-nous pour un audit gratuit de 15 minutes. Nous analyserons votre situation et vous fournirons un devis personnalisé.
Demander un audit gratuit