Les 10 bonnes pratiques de sécurité de la messagerie d’entreprise

Qu’est-ce que la sécurité de la messagerie d’entreprise ?

La sécurité de la messagerie d’entreprise est un terme assez large qui peut être défini comme l’ensemble des mesures prises par les entreprises pour protéger leurs systèmes de courrier électronique, leurs réseaux et leurs données contre les cybermenaces. Les techniques de piratage devenant de plus en plus sophistiquées, les entreprises doivent rester parfaitement informées de l’évolution du paysage de la cybersécurité et adapter leurs outils et stratégies de sécurité en conséquence.

La sécurité de la messagerie d’entreprise concerne un nombre beaucoup plus important d’utilisateurs, d’infrastructures et de données que la sécurité du courrier électronique des petites entreprises. Si la taille de l’entreprise exige des solutions de sécurité complexes, robustes et évolutives, les comportements sécurisés en ligne sont universels et protègent les employés quel que soit leur lieu de travail.

Qu’est-ce que la compromission de messagerie d’entreprise (BEC, Business Email Compromise) ?

La BEC est un type de cybercriminalité qui consiste à se faire passer pour un contact professionnel de confiance, tel que le PDG ou un fournisseur, afin d’inciter les employés à transférer de l’argent ou des informations sensibles. Ces arnaques sont souvent le résultat d’une recherche minutieuse et d’une ingénierie sociale pour créer une supercherie convaincante.

Selon le FBI, la compromission de messagerie d’entreprise a coûté aux entreprises plus de 26 milliards de dollars dans le monde depuis 2016, et la menace continue d’augmenter. Les petites entreprises sont particulièrement vulnérables, car elles ne disposent pas toujours des ressources ou de l’expertise nécessaires pour détecter et prévenir ces attaques.

Un exemple d’escroquerie à la BEC a impliqué le directeur de l’entreprise de développement industriel de Porto Rico, Ruben Rivera, qui a effectué par erreur un virement de 2,6 millions de dollars sur un faux compte bancaire. Dans un autre cas, Ubiquiti Networks Inc, le fabricant de technologies de réseaux à haute performance basé à San Jose, a été victime d’une attaque BEC qui a entraîné une perte de 46,7 millions de dollars.

L’utilisation du courrier électronique demeurant un aspect essentiel de la communication d’entreprise, les organisations doivent rester vigilantes et prendre des mesures proactives pour se défendre contre les menaces de type BEC. Tous les types d’entreprises sont concernés : la sécurité de la messagerie est aussi fondamentale pour les petites entreprises que pour les grandes.

Pourquoi la sécurité des e-mails est-elle importante ?

L’adresse e-mail fait désormais partie intégrante de notre vie numérique, fonctionnant presque comme une carte d’identité virtuelle qui nous permet de nous identifier en ligne et de nous inscrire à des services. Comme il s’agit de l’une des méthodes de communication en ligne les plus populaires, nos courriers électroniques contiennent des informations sensibles nous concernant. Si des personnes malveillantes y accèdent, elles peuvent prendre le contrôle des autres comptes en ligne de l’utilisateur, voler ses données confidentielles et le menacer gravement sur le plan financier et sur celui de sa réputation. C’est pourquoi le courrier électronique est si souvent la cible des cybercriminels ; selon le Data Breach Investigations Report de Verizon, 94 % des malwares sont diffusés par e-mail. Compte tenu des risques et de la fréquence des attaques de malwares par e-mail, il est essentiel de garantir la sécurité de la messagerie, en particulier dans les entreprises.

Le phishing, ou hameçonnage, constitue la menace numéro un en matière de sécurité des e-mails.

Le phishing est un genre d’escroquerie numérique qui est particulièrement courant dans les e-mails. Il s’agit d'une forme d’ingénierie sociale : un pirate tente de tromper un employé en lui faisant croire que l’e-mail que ce dernier reçoit provient d’une source crédible. Les e-mails de phishing comportent généralement une sorte d’appel à l’action : c’est une forme de marketing. Sauf que les appels à l’action dans le cadre du phishing incitent généralement à cliquer sur un lien malveillant ou à transmettre des données sensibles de l’entreprise à des personnes extérieures.

Comme n’importe quel autre spécialiste du marketing, les pirates utilisent des techniques créatives pour améliorer les taux de conversion de leurs escroqueries. Plus l’e-mail est trompeur, plus le taux de conversion est élevé. C’est pourquoi les e-mails de phishing sont parfois difficiles à repérer. Cela souligne l’importance de la sécurité de la messagerie d’entreprise. Voici quelques exemples d’e-mails de phishing :

• Escroquerie à la vérification de compte. Il se peut que vous receviez un e-mail de phishing ressemblant à ceci : « En raison d’une récente menace de sécurité, nous vous demandons de vérifier votre compte en vous connectant à l’aide du lien ci-dessous. Si vous ne le faites pas, votre compte sera définitivement désactivé. »

• Escroquerie aux fausses factures. Les pirates envoient par exemple des e-mails du type : « Nous n’avons toujours pas reçu votre paiement pour nos services. Veuillez utiliser le lien ci-dessous pour finaliser la procédure. »

• Spear phishing (ou hameçonnage ciblé). Il s’agit d’une forme de phishing plus sophistiquée et mieux adaptée, pour laquelle les pirates doivent faire des recherches sur votre entreprise. Par exemple, un employé recevra un e-mail qui semble provenir d’un collègue de travail spécifique, lui demandant de consulter un site ou de divulguer des informations.

Bonnes pratiques pour la sécurité des messageries des entreprises

Les tentatives de phishing peuvent exposer votre entreprise à des fuites de données et à des malwares. En prenant des mesures pour assurer de manière appropriée la sécurité de votre messagerie, vous contribuerez à protéger votre entreprise contre le phishing et d’autres formes de cybercriminalité :

1. Organiser une formation de sensibilisation au phishing

Les messageries sont généralement piratées en raison de la négligence des employés et de leur manque de connaissances. La première façon d’améliorer la cybersécurité du courrier électronique est donc de sensibiliser les utilisateurs à la principale menace : le phishing. Tous les employés doivent recevoir une formation approfondie sur la protection contre les menaces par e-mail afin d’identifier et d’éviter les tentatives de phishing. Les principaux points à aborder sont les suivants :

• Se familiariser avec les principales méthodes de phishing

• Se méfier des demandes inhabituelles

• Ne jamais cliquer sur des liens inconnus reçus par courrier électronique

Une fois que les employés seront familiarisés avec ces précautions, la vulnérabilité de votre entreprise face aux e-mails de phishing diminuera considérablement et la sécurité globale de la messagerie de votre entreprise s’améliorera.

2. Former les employés sur la façon de traiter les pièces jointes aux e-mails et les liens suspects.

Les pièces jointes aux e-mails et les liens suspects sont les méthodes les plus courantes utilisées par les cybercriminels pour diffuser des logiciels malveillants. Pour assurer le bon fonctionnement de la sécurité de la messagerie d’entreprise, assurez-vous que vos employés connaissent ces pratiques détournées et qu’ils sont formés pour les repérer dans des situations réelles. Avec le temps et beaucoup de pratique, votre équipe développera un sixième sens pour repérer les liens et les pièces jointes suspectes, ce qui devrait réduire considérablement le vecteur d’attaque potentiel et améliorer de manière significative votre posture de sécurité globale.

3. Activer l’authentification multifacteur

Vous pouvez rendre votre compte plus sécurisé vis-à-vis des pirates en connectant votre smartphone à votre messagerie. Même si les mots de passe de vos comptes de messagerie font l’objet d’une fuite, aucune personne extérieure ne pourra y accéder sans avoir accès à l’appareil auquel il est relié. Tous les comptes professionnels vitaux, et pas seulement les comptes de messagerie, devraient avoir l’authentification multifacteur activée.

4. Éviter d’utiliser la messagerie sur un réseau Wi-Fi public

Le Wi-Fi public présente des risques considérables pour la sécurité de la messagerie. S’il n’est pas chiffré (ce qui est souvent le cas), toute personne peut se connecter au même réseau. Dans cette foule d’anonymes, un pirate peut se dissimuler.

Si un malfaiteur intercepte votre connexion sur un réseau Wi-Fi public non chiffré et vous surprend en train de vous connecter à votre messagerie électronique, il peut voler votre mot de passe. Il est préférable d’éviter les réseaux Wi-Fi publics, mais si vous devez absolument vous y connecter, ne transmettez jamais de données importantes.

5. Éviter d’utiliser la messagerie professionnelle à des fins privées et inversement

De nos jours, la plupart des emplois de bureau sont assortis d’une adresse électronique. Certaines personnes sont tentées d’utiliser la nouvelle adresse électronique pour toutes les connexions. Vous devez vous abonner à un nouveau service de streaming ? Pourquoi ne pas utiliser votre toute nouvelle adresse e-mail professionnelle à cette fin ? Après tout, tout le monde le fait, n’est-ce pas ?

Au début, cela peut sembler être une bonne idée. Pourtant, l’utilisation de la messagerie électronique de l’entreprise à des fins privées et inversement peut poser des problèmes de sécurité importants aussi bien pour vous en tant qu’individu que pour l’entreprise.

Tout d’abord, l’utilisation de l’adresse électronique professionnelle pour vos activités personnelles en ligne permet un profilage plus facile et plus simple. Par conséquent, cela pourrait conduire à du spear phishing, une campagne d’hameçonnage ciblée, ou à d’autres cyberattaques ciblées.

6. Chiffrer la messagerie d’entreprise

Le chiffrement de la messagerie de l’entreprise à l’aide d’un logiciel de sécurité dédié est un excellent moyen d’éloigner les pirates. Le chiffrement garantit que seuls l’expéditeur et le destinataire peuvent consulter les e-mails. Si un pirate intercepte la connexion Wi-Fi ou le compte de messagerie d’un employé, il ne verra aucune donnée sensible.

7. Mettre en place des protocoles de sécurité pour la messagerie

Les protocoles de sécurité de messagerie sont extrêmement importants, car ils apportent une sécurité supplémentaire à vos communications numériques. Les protocoles sont conçus pour garantir la sécurité de vos communications lorsqu’elles transitent par les services de webmail sur Internet. Sans l’aide des protocoles de sécurité du courrier électronique, les pirates peuvent intercepter les communications de manière relativement aisée. Familiarisez-vous avec les trois protocoles de sécurité de messagerie les plus courants et activez-les pour garantir la sécurité des communications.

• Transport Layer Security (TLS) : TLS, le successeur du protocole SSL (Secure Sockets Layer), chiffre les messages électroniques lorsqu’ils circulent entre les serveurs de messagerie. Il est ainsi beaucoup plus difficile pour les pirates d’intercepter la communication et de la surveiller.

• Domain Keys Identified Mail (DKIM) : Le DKIM ajoute une signature numérique aux e-mails, ce qui permet aux serveurs de messagerie de vérifier l’authenticité des messages. Il protège les serveurs de l’entreprise contre les tentatives d’hameçonnage et les e-mails frauduleux.

• Sender Policy Framework (SPF) : Le SPF permet aux propriétaires de domaines de créer une liste de serveurs de messagerie autorisés à envoyer des e-mails au nom de leur domaine. Lorsqu’un serveur de l’entreprise reçoit le message, il peut authentifier l’expéditeur en comparant son adresse électronique avec les enregistrements SPF.

8. Améliorer la sécurité des terminaux

Pour renforcer votre position en matière de sécurité, prenez des mesures pour améliorer la sécurité de vos points d’accès. La manière la plus simple et la plus efficace de renforcer la sécurité des points d’accès est souvent de mettre en œuvre des outils de sécurité à l’échelle de l’entreprise.

Envisagez le déploiement d’un VPN tel que NordLayer  : un outil qui chiffre la connexion Internet et le transfert de données sur votre réseau d’entreprise. Un logiciel antivirus est un autre outil qui devrait être utilisé sur tous les postes de travail de l’entreprise pour assurer une défense proactive.

9. Ne pas changer les mots de passe trop souvent

La lassitude des mots de passe est une réalité : aujourd’hui, l’utilisateur moyen a une centaine de mots de passe entre les mains. Il est difficile de gérer tous les mots de passe.

La sagesse conventionnelle en matière de sécurité des mots de passe veut que vous changiez vos mots de passe tous les 90 jours. Bien que cela puisse sembler une pratique de sécurité raisonnable, cela pourrait conduire à l’utilisation de mots de passe plus simples et plus faciles à pirater.

Si vous savez que vos employés prennent l’hygiène des mots de passe au sérieux, qu’ils créent des mots de passe difficiles à deviner et qu’aucun de leurs mots de passe n’a jamais été divulgué, ils peuvent conserver les mots de passe qu’ils utilisent déjà. Si un mot de passe (quelle que soit sa force) fait l’objet d’une fuite de données ou d’une divulgation, le changement doit être immédiat.

10. Utiliser des mots de passe forts pour les comptes de messagerie

Les mots de passe forts sont le point central de la sécurité des comptes. Pourtant, les entreprises omettent souvent de sécuriser leurs e-mails à l’aide de mots de passe forts. Si votre entreprise est dans ce cas, vous devez savoir que plus le mot de passe est simple, plus il est facile à pirater, notamment par le biais d’attaques par force brute. Les attaques par force brute se produisent lorsque des pirates essaient de deviner un mot de passe en inondant votre compte de milliers de tentatives.

Pour protéger votre messagerie professionnelle contre de telles attaques, tous les membres de votre organisation doivent sécuriser leurs mots de passe. Les mots de passe sécurisés pour le courrier électronique sont :

• Longs

• Compliqués

• Composés de différents types de caractères

• Uniques (jamais réutilisés pour d’autres comptes)

Ces points sont essentiels si vous voulez assurer la sécurité de votre entreprise. Cependant, les mots de passe difficiles à pirater sont également difficiles à retenir. Il est totalement inutile de sécuriser son compte si l’on ne peut plus y accéder soi-même.

Heureusement, la gestion professionnelle de mots de passe et le gestionnaire de mots de passe d’entreprise de NordPass peuvent être d’une grande aide. Si tous les collaborateurs de votre entreprise l’utilisent pour leurs comptes, leurs e-mails seront en sécurité et ils n’auront pas besoin de se gratter la tête pour se souvenir de leurs mots de passe.

Conclusion

La sécurité de la messagerie professionnelle n’est jamais acquise. Même si des plateformes comme Gmail ou Outlook font de leur mieux pour assurer la sécurité de leurs utilisateurs, vous pouvez facilement être victime de pirates si vous ne protégez pas activement votre compte. En suivant ces 10 astuces pour la sécurité des e-mails, les chances que vos courriels professionnels soient piratés seront beaucoup plus faibles, car les hackers se tourneront plutôt vers des proies plus vulnérables.