Les 10 meilleures pratiques de sécurité des e-mails pour protéger votre entreprise

L’essor du télétravail a entraîné une augmentation de la cybercriminalité. Les attaques de type Business Email Compromise (BEC, Compromission de messagerie d’entreprise) ont connu une augmentation de 150 % en un an, les statistiques ne sont donc pas en faveur des entreprises. Toutefois, en restant vigilant et en vous informant, vous pouvez protéger votre entreprise et éviter de telles attaques. Découvrez dans cet article les principaux dangers auxquels sont confrontés les comptes de messagerie professionnelle et bénéficiez de 10 conseils de sécurité pour les e-mails professionnels.

Qu’est-ce que la compromission de messagerie d’entreprise (BEC, Business Email Compromise) ?

La BEC est un type de cybercriminalité qui consiste à se faire passer pour un contact professionnel de confiance, tel que le PDG ou un fournisseur, afin d’inciter les employés à transférer de l’argent ou des informations sensibles sur le compte du criminel. Ces stratagèmes impliquent souvent une recherche minutieuse et une ingénierie sociale pour créer une supercherie convaincante.

Selon le FBI, la fraude par BEC a coûté aux entreprises plus de 26 milliards de dollars dans le monde depuis 2016, et la menace continue d’augmenter. Les petites entreprises sont particulièrement vulnérables, car elles ne disposent pas toujours des ressources ou de l’expertise nécessaires pour détecter et prévenir ces attaques.

Un exemple d’escroquerie à la BEC a impliqué le directeur de l’entreprise de développement industriel de Porto Rico, Ruben Rivera, qui a effectué par erreur une transaction de 2,6 millions de dollars sur un faux compte bancaire. Dans un autre cas, Ubiquiti Networks Inc, le fabricant de technologies de réseaux à haute performance basé à San Jose, a été victime d’une attaque BEC qui a entraîné une perte de 46,7 millions de dollars.

L’utilisation du courrier électronique demeurant un aspect essentiel de la communication d’entreprise, il est crucial que les organisations restent vigilantes et prennent des mesures proactives pour se défendre contre les menaces de type BEC.

Le phishing, ou hameçonnage, constitue la menace numéro un en matière de sécurité des e-mails.

Le phishing est un genre d’escroquerie numérique qui est particulièrement courant dans les e-mails. Il s’agit d’une forme d’ingénierie sociale par laquelle un pirate tente de tromper un employé en lui faisant croire que l’e-mail provient d’une source crédible. Les e-mails de phishing, ou hameçonnage, comportent généralement une sorte d’appel à l’action : c’est une forme de marketing, si l’on peut dire. Sauf que les appels à l’action dans le cadre du phishing incitent généralement à cliquer sur un lien malveillant ou à transmettre des données sensibles de l’entreprise à des personnes extérieures.

Et comme tous les autres spécialistes du marketing, les hackers utilisent des techniques créatives pour améliorer les taux de conversion de leurs arnaques. Plus l'e-mail est trompeur, plus le taux de conversion est élevé. C'est pourquoi les e-mails de phishing sont parfois difficiles à repérer. Voici quelques exemples d'e-mails de phishing :

• Arnaque de vérification de compte. Vous pouvez recevoir un e-mail d'hameçonnage qui ressemble à ceci : « En raison d'une récente menace de sécurité, nous vous demandons de bien vouloir vérifier votre compte en vous connectant à l'aide du lien ci-dessous. Si vous ne le faites pas, votre compte sera définitivement désactivé. »

• Escroquerie aux fausses factures. Les pirates envoient par exemple des e-mails du type : « Nous n’avons toujours pas reçu votre paiement pour nos services. Veuillez utiliser le lien ci-dessous pour finaliser la procédure. »

• Hameçonnage ciblé. Il s'agit d'une forme de hameçonnage plus avancée et plus personnalisée qui exige des pirates qu'ils fassent des recherches sur votre entreprise. Par exemple, un employé peut recevoir un e-mail qui semble provenir d'un collègue en particulier, lui demandant de visiter un site Web ou de divulguer des informations.

Meilleures pratiques pour la sécurité des messageries des entreprises

Les tentatives de phishing peuvent exposer votre entreprise à des violations de données et à des malwares. En prenant des mesures pour assurer de manière appropriée la sécurité de votre messagerie, vous contribuerez à protéger votre entreprise contre le phishing et d’autres formes de cybercriminalité :

1. Organisez une formation de sensibilisation au phishing

Les e-mails sont généralement piratés par la négligence et le manque de connaissances des employés. La première façon de renforcer la cybersécurité des e-mails est donc de sensibiliser les employés à la principale menace : l'hameçonnage. Tous les employés devraient recevoir une formation approfondie pour savoir comment reconnaître et éviter les tentatives d'hameçonnage. Les principaux points à aborder dans cette formation sont les suivants :

• Se familiariser avec les principales méthodes d'hameçonnage

• Se méfier des demandes inhabituelles

• Ne jamais cliquer sur des liens inconnus reçus par e-mail

Une fois que les employés seront familiarisés avec ces précautions, la vulnérabilité de votre entreprise face aux e-mails de phishing diminuera considérablement et la sécurité globale de la messagerie de votre entreprise s’améliorera.

2. Former les employés sur la façon de traiter les pièces jointes aux e-mails et les liens suspects.

Les pièces jointes des e-mails et les liens suspects sont les méthodes les plus courantes utilisées par les cybercriminels pour diffuser des logiciels malveillants. Veillez à ce que vos employés soient bien conscients de ces pratiques sournoises et soient formés pour les repérer dans des situations réelles. Avec le temps et beaucoup de pratique, votre équipe développera un meilleur discernement s'agissant des liens et des pièces jointes suspects dans les e-mails, ce qui devrait réduire considérablement le vecteur d'attaque potentiel et améliorer sensiblement votre position sur le plan de la sécurité en général.

3. Activez l'authentification multifacteur (MFA)

Vous pouvez rendre votre compte plus sécurisé vis-à-vis des pirates en connectant votre smartphone à votre messagerie. Même si les mots de passe de vos comptes de messagerie font l’objet d’une fuite, aucune personne extérieure ne pourra y accéder sans avoir accès à l’appareil auquel il est relié. Tous les comptes professionnels vitaux, et pas seulement les comptes de messagerie, devraient être dotés de l’authentification multifactorielle.

4. Évitez d'utiliser la messagerie électronique lorsque vous utilisez un réseau Wi-Fi public

Le Wi-Fi public présente des risques considérables pour la sécurité des e-mails. S'il n'est pas chiffré (ce qui est souvent le cas), n'importe qui peut se connecter au même réseau. Dans cette foule d'anonymes, un pirate peut se dissimuler.

Si un pirate informatique intercepte votre connexion avec un réseau Wi-Fi public non chiffré et vous surprend en train de vous connecter à votre messagerie, il peut alors voler le mot de passe de votre messagerie. Il est préférable d'éviter complètement le Wi-Fi public, mais si vous devez vous y connecter, ne transmettez jamais de données importantes.

5. Évitez d'utiliser les e-mails professionnels à des fins privées et vice versa

De nos jours, la plupart des emplois de bureau sont dotés d'une adresse e-mail. Certaines personnes sont tentées d'utiliser la nouvelle adresse e-mail pour tous les comptes. Vous devez vous inscrire à un nouveau service de streaming ? Pourquoi ne pas utiliser votre toute nouvelle messagerie professionnelle pour cela ? Tout le monde le fait, de toute façon, n'est-ce pas ?

Au début, cela peut sembler être une bonne idée. Pourtant, l’utilisation de la messagerie électronique de l’entreprise à des fins privées et inversement peut poser des problèmes de sécurité importants aussi bien pour vous en tant qu’individu que pour l’entreprise.

Tout d'abord, l'utilisation d'une adresse e-mail professionnelle pour vos activités personnelles en ligne permet un profilage plus facile et plus simple. Par conséquent, cela pourrait conduire à un spear-phishing, une campagne d'hameçonnage ciblée, ou d'autres cyberattaques ciblées.

6. Chiffrez les e-mails de l'entreprise

Le chiffrement des e-mails professionnels à l'aide d'un logiciel spécial de sécurisation est un excellent moyen d'éloigner les pirates. Le chiffrement garantit que les seules personnes en mesure de consulter les e-mails sont l'expéditeur et le destinataire. Si un pirate informatique intercepte la connexion Wi-Fi ou le compte de messagerie d'un employé, il n'accèdera alors à aucune donnée sensible.

7. Mettez en place des protocoles de sécurité pour les e-mails

Les protocoles de sécurité de la messagerie électronique sont extrêmement importants, car ils vous font bénéficier d'une couche supplémentaire de sécurité pour les communications numériques. Ces protocoles sont conçus pour garantir la sécurité de vos communications lorsqu'elles transitent par les services de messagerie Web sur Internet. Sans l'aide des protocoles de sécurité de la messagerie électronique, les malfaiteurs peuvent intercepter les communications de manière relativement facile. Veuillez vous familiariser avec les différents protocoles de sécurité de messagerie électronique et les activer pour garantir la sécurité des communications.

8. Améliorez la sécurité des terminaux

Pour renforcer encore votre position en matière de sécurité, prenez des mesures pour améliorer la sécurité de vos terminaux. Souvent, le moyen le plus simple et le plus efficace de renforcer la sécurité des terminaux consiste à mettre en place des solutions de sécurité à l'échelle de l'entreprise.

Envisagez de déployer un VPN comme NordLayer : un outil qui chiffre la connexion internet et le transfert de données sur votre réseau d’entreprise. Un logiciel antivirus est un autre outil qui devrait être utilisé sur tous les postes de travail de l’entreprise pour assurer une défense proactive.

9. Ne changez pas vos mots de passe trop souvent

La lassitude quant à la gestion des mots de passe est une réalité : aujourd'hui, l'utilisateur moyen a une centaine de mots de passe à gérer. Garder la trace de tous ces mots de passe est un véritable défi.

La sagesse conventionnelle en matière de sécurité des mots de passe est que vous devriez les changer tous les 90 jours. Bien que cela puisse sembler être une pratique de sécurité raisonnable, cela pourrait conduire à l'utilisation de mots de passe plus simples et faciles à pirater.

Si vous savez que vos employés prennent l'hygiène des mots de passe au sérieux, qu'ils créent des mots de passe difficiles à deviner et qu'aucun de leurs mots de passe n'a jamais fait l'objet d'une fuite, alors ils devraient s'en tenir aux mots de passe qu'ils utilisent déjà. Si un mot de passe (aussi fort soit-il) est divulgué ou fait l'objet d'une violation, vous devez le changer immédiatement.

10. Utilisez des mots de passe forts pour les comptes de messagerie

Les mots de passe forts sont le point central de la sécurité des comptes. Pourtant, les entreprises omettent souvent de sécuriser leurs e-mails à l’aide de mots de passe forts. Si votre entreprise est dans ce cas, vous devez savoir que plus le mot de passe est simple, plus il est facile à pirater, notamment par le biais d’attaques par force brute. Dans le cadre des attaques par force brute, les pirates essaient de deviner un mot de passe en inondant votre compte de milliers de tentatives.

Pour protéger votre messagerie professionnelle contre de telles attaques, assurez-vous que tous les membres de votre organisation sécurisent leurs mots de passe. Les mots de passe sécurisés pour les e-mails doivent être :

• Longs

• Compliqués

• Composés de différents types de caractères

• Uniques (jamais réutilisés avec d'autres comptes)

Ces points sont cruciaux si vous voulez assurer la sécurité de votre entreprise. Néanmoins, les mots de passe difficiles à pirater sont également difficiles à retenir. Et la dernière chose que l'on souhaite, c'est de sécuriser son compte au point de ne pas pouvoir y accéder soi-même.

Heureusement, le gestionnaire de mots de passe d’entreprise de NordPass peut vous venir en aide. Si tous les collaborateurs de votre entreprise l’utilisent pour leurs comptes, leurs e-mails seront en sécurité et ils n’auront pas besoin de se gratter la tête pour se souvenir de leurs mots de passe.

Conclusion

La sécurité de la messagerie professionnelle n’est jamais acquise. Même si des plateformes comme Gmail ou Outlook font de leur mieux pour assurer la sécurité de leurs utilisateurs, vous pouvez facilement être victime de pirates si vous ne protégez pas activement votre compte. En suivant ces cinq bonnes pratiques en matière de sécurité des e-mails, les chances de voir vos e-mails professionnels piratés seront beaucoup plus faibles, car les pirates préféreront probablement des proies plus vulnérables.