91% des cyberattaques commencent par un email de phishing. Ce chiffre, régulièrement cité par les experts en cybersécurité, illustre l'ampleur de la menace. Faux emails de banque, arnaques au président, usurpation d'identité de fournisseurs : les techniques évoluent sans cesse. Comment protéger votre entreprise ? La réponse combine technologie et formation des équipes.
Messagerie sécurisée Infomaniak
Comprendre le phishing
Le phishing (hameçonnage en français) consiste à se faire passer pour une entité de confiance afin de voler des informations sensibles : identifiants, mots de passe, coordonnées bancaires, données personnelles.
L'attaque prend généralement la forme d'un email qui semble provenir d'un expéditeur légitime : votre banque, un service en ligne, un collègue, un fournisseur. Le message crée un sentiment d'urgence et vous incite à cliquer sur un lien ou ouvrir une pièce jointe.
Les différents types de phishing
Le phishing de masse cible un grand nombre de destinataires avec le même message. Les attaquants espèrent qu'un pourcentage, même faible, tombera dans le piège. Ces emails sont souvent grossiers et repérables (fautes d'orthographe, mise en forme approximative).
Le spear phishing (harponnage) est plus ciblé et plus dangereux. L'attaquant a fait des recherches sur sa cible et personnalise son message. Il peut mentionner le nom d'un projet en cours, d'un client réel ou utiliser le style d'écriture habituel de la personne dont il usurpe l'identité.
L'arnaque au président (BEC - Business Email Compromise) est une variante redoutable. Un attaquant se fait passer pour le dirigeant de l'entreprise et demande à un collaborateur d'effectuer un virement urgent et confidentiel. Des entreprises ont perdu des millions d'euros avec cette technique.
Le clone phishing consiste à reprendre un email légitime que vous avez réellement reçu, mais en modifiant les liens ou les pièces jointes. Le message semble authentique car il correspond à un échange réel.
Comment reconnaître un email de phishing
Avec l'expérience, certains signaux d'alerte deviennent évidents. Voici les éléments à vérifier systématiquement.
L'adresse de l'expéditeur
C'est le premier réflexe à avoir. Regardez l'adresse email réelle, pas seulement le nom affiché. Un email prétendant venir de votre banque mais envoyé depuis "support@banque-securite.xyz" est évidemment suspect.
Attention aux variations subtiles : un "l" remplacé par un "1", un "o" par un "0", un domaine approchant (infomaniak-support.com au lieu d'infomaniak.com).
Le ton et le contenu du message
Les emails de phishing jouent sur l'urgence et la peur :
- "Votre compte sera suspendu dans 24h"
- "Action requise immédiatement"
- "Tentative de connexion suspecte détectée"
- "Vous avez une facture impayée"
Les organisations légitimes ne menacent généralement pas de suspendre votre compte par un simple email. En cas de doute, contactez directement le service concerné par un autre canal (téléphone, accès direct au site).
Les liens hypertexte
Avant de cliquer sur un lien, survolez-le avec votre souris pour voir l'URL de destination. Si l'adresse ne correspond pas au site officiel, ne cliquez pas.
Méfiez-vous des raccourcisseurs d'URL (bit.ly, tinyurl) et des adresses IP directes (http://192.168.1.1/...). Les entreprises légitimes utilisent leur propre nom de domaine.
Les pièces jointes
Une facture ou un document inattendu doit éveiller votre méfiance, surtout si le fichier est un exécutable (.exe), un script (.js, .vbs) ou un fichier Office avec macros (.docm, .xlsm).
En cas de doute, ne cliquez pas
Si un email vous semble suspect, ne cliquez sur aucun lien et n'ouvrez aucune pièce jointe. Contactez l'expéditeur supposé par un autre moyen pour vérifier l'authenticité du message. Signalez l'email suspect à votre service informatique.
Les protections techniques d'Infomaniak
La formation des utilisateurs est essentielle, mais elle ne suffit pas. Des protections techniques permettent de bloquer une grande partie des emails malveillants avant qu'ils n'atteignent les boîtes de réception.
Antispam et antivirus intégrés
La messagerie Infomaniak intègre un antispam performant qui filtre les emails indésirables. Les messages suspects sont placés dans le dossier spam ou quarantaine. Un antivirus analyse les pièces jointes et bloque celles qui contiennent des malwares connus.
SPF, DKIM et DMARC
Ces trois protocoles travaillent ensemble pour authentifier les emails et empêcher l'usurpation d'identité.
SPF (Sender Policy Framework) liste les serveurs autorisés à envoyer des emails pour votre domaine. Un email envoyé depuis un serveur non autorisé sera marqué comme suspect.
DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique aux emails sortants. Le destinataire peut vérifier que l'email n'a pas été modifié en transit.
DMARC (Domain-based Message Authentication, Reporting and Conformance) indique aux destinataires quoi faire des emails qui échouent aux vérifications SPF/DKIM : les accepter, les marquer comme spam ou les rejeter.
Configuration recommandée
Infomaniak configure automatiquement SPF et DKIM pour votre domaine. Pour DMARC, vous pouvez définir une politique plus stricte dans vos enregistrements DNS. Commencez par une politique "none" pour collecter des rapports, puis passez progressivement à "quarantine" ou "reject".
Filtrage avancé
Au-delà de l'antispam standard, vous pouvez créer des règles de filtrage personnalisées : bloquer certains expéditeurs, rejeter les emails avec certains types de pièces jointes, mettre en quarantaine les messages provenant de pays spécifiques.
Former vos équipes
La technologie bloque beaucoup, mais les attaquants s'adaptent. La dernière ligne de défense, c'est l'humain. Former vos collaborateurs à reconnaître le phishing est indispensable.
Organiser des sessions de sensibilisation
Programmez des sessions régulières (2 à 4 fois par an) pour rappeler les bonnes pratiques. Montrez des exemples concrets d'emails de phishing. Expliquez les techniques utilisées par les attaquants et comment les déjouer.
Réaliser des tests de phishing
Certaines entreprises envoient de faux emails de phishing à leurs collaborateurs pour évaluer leur vigilance. Ceux qui cliquent reçoivent une formation complémentaire. Cette approche, utilisée avec bienveillance, est très efficace pour ancrer les bons réflexes.
Créer une culture de signalement
Encouragez vos collaborateurs à signaler tout email suspect plutôt que de le supprimer silencieusement. Un signalement permet d'alerter les autres et d'améliorer les filtres. Ne blâmez jamais quelqu'un qui signale un email légitime par excès de prudence.
Définir des procédures claires
Pour les demandes sensibles (virement, modification de coordonnées bancaires, envoi de données confidentielles), définissez des procédures de vérification. Une demande de virement urgent doit être confirmée par téléphone, même si elle semble venir du dirigeant.
Que faire en cas de clic sur un lien suspect ?
Malgré toutes les précautions, un clic malheureux peut arriver. Voici la procédure à suivre.
Ne paniquez pas, mais agissez vite
- Déconnectez-vous d'internet – Débranchez le câble réseau ou désactivez le Wi-Fi pour stopper une éventuelle exfiltration de données.
- N'entrez aucune information – Si une page vous demande des identifiants, fermez-la immédiatement sans rien saisir.
- Prévenez votre service informatique – Ils pourront analyser la situation et prendre les mesures nécessaires.
- Changez vos mots de passe – Si vous avez saisi des identifiants, changez-les immédiatement depuis un autre appareil.
- Surveillez vos comptes – Dans les jours suivants, vérifiez vos comptes bancaires et vos services en ligne pour détecter toute activité suspecte.
Si vous avez ouvert une pièce jointe malveillante
Une pièce jointe infectée peut installer un malware sur votre ordinateur. Déconnectez l'appareil du réseau, prévenez votre service informatique et ne l'utilisez plus tant qu'il n'a pas été analysé et nettoyé.
Bonnes pratiques pour la messagerie d'entreprise
Au-delà de la protection contre le phishing, quelques bonnes pratiques renforcent la sécurité de votre messagerie.
Utilisez des adresses professionnelles
Abandonnez les adresses @gmail.com ou @outlook.com pour vos communications professionnelles. Une adresse sur votre propre domaine (contact@entreprise.fr) est plus crédible et vous permet de contrôler les paramètres de sécurité.
Segmentez les accès
Tous les collaborateurs n'ont pas besoin d'accéder à toutes les boîtes mail. Limitez les droits au strict nécessaire et révoquez rapidement les accès des personnes qui quittent l'entreprise.
Activez la double authentification
La 2FA protège vos comptes même si un mot de passe est compromis par phishing. Rendez-la obligatoire pour tous les utilisateurs de votre organisation.
Archivez et sauvegardez
Une sauvegarde régulière de vos emails permet de récupérer des données en cas de suppression malveillante ou de ransomware. Infomaniak conserve des sauvegardes automatiques, mais une sauvegarde externe ajoute une couche de protection.
Conclusion
Le phishing est une menace permanente qui ne cessera pas de sitôt. Les attaquants deviennent plus sophistiqués, mais les défenses aussi. La combinaison de protections techniques (antispam, SPF/DKIM/DMARC, filtrage) et de formation des utilisateurs offre une défense robuste.
Infomaniak fournit les outils techniques nécessaires pour sécuriser votre messagerie. À vous de compléter avec la formation de vos équipes et des procédures adaptées à votre organisation.
La vigilance est le meilleur antivirus. Cultivez-la au quotidien.
Prêt à migrer vers Infomaniak ?
Contactez-nous pour un audit gratuit de 15 minutes. Nous analyserons votre situation et vous fournirons un devis personnalisé.
Demander un audit gratuit