Avec plus de 4 milliards d'utilisateurs actifs de courrier électronique dans le monde, l'e-mail représente l'un des meilleurs médiums pour que les responsables du marketing interagissent avec les clients et les prospects.

Cependant, cette énorme base d'utilisateurs fait des plateformes de courrier électronique une cible de premier choix pour les pirates informatiques et les acteurs malveillants qui cherchent à accéder à des données sensibles à des fins malveillantes.

Cet article vous montrera les bonnes pratiques de sécurité des e-mails à intégrer pour prévenir les violations de données, les compromis de courrier électronique professionnel, les attaques de phishing et d'autres types de menaces de sécurité des e-mails.

Les bonnes pratiques recommandées de sécurité des e-mails incluent :

1. Créer des mots de passe forts

Les mots de passe forts sont la première chose à considérer si vous souhaitez maintenir vos systèmes de messagerie en sécurité. Tous vos e-mails doivent avoir des mots de passe d'au moins huit caractères incluant les éléments suivants :

• lettres majuscules

• lettres minuscules

• symboles

• chiffres.

Tous ces éléments combinés constituent un mot de passe fort qui est difficile à deviner pour un pirate informatique. Si vous avez plusieurs comptes de courrier électronique professionnel et avez du mal à vous souvenir des mots de passe de tous les comptes, envisagez d'utiliser un logiciel gestionnaire de mots de passe pour vous aider, comme LastPass ou 1Password.

Évitez d'inclure des informations personnelles dans vos mots de passe. Par exemple, n'utilisez pas « Michael123 » si votre nom est Michael ; vous pouvez plutôt utiliser « m1Ch4eI ». L'essentiel est que les mots de passe complexes sont bien meilleurs que les mots de passe simples et représentent l'une des pratiques de sécurité des e-mails les plus importantes.

Pour un guide rapide et simple sur la création d'un mot de passe fort, regardez cette vidéo de Google.

2. Activez l'authentification à deux facteurs pour votre compte de messagerie

L'authentification à deux facteurs ou multifacteurs est l'un des protocoles de sécurité des e-mails d'entreprise les plus importants à respecter. C'est un système qui nécessite au moins deux méthodes d'identification avant d'accorder l'accès à votre compte de messagerie.

La première est généralement votre nom d'utilisateur et votre mot de passe, tandis que la deuxième est un mot de passe à usage unique envoyé à votre appareil mobile ou à une autre adresse e-mail. Sans ce mot de passe à usage unique, l'accès ne vous sera pas accordé à votre compte de messagerie.

Le deuxième mode d'identification peut également être une authentification biométrique, par exemple des scans d'empreintes digitales ou faciaux. Il existe des applications dédiées qui vous permettent de mettre en œuvre l'authentification à deux facteurs facilement, par exemple Authy et Duo Mobile, ou vous pouvez utiliser un authentificateur matériel pour une meilleure sécurité des e-mails.

Ce système garantit qu'un pirate informatique ne peut pas violer votre compte de messagerie et accéder aux communications personnelles, même s'il obtient d'une manière ou d'une autre votre mot de passe. Selon Microsoft, l'authentification multifacteur seule peut prévenir 99,9 % des attaques sur vos communications par courrier électronique.

3. Changez les mots de passe régulièrement pour assurer la sécurité des e-mails

Changer vos mots de passe fréquemment est l'une des meilleures pratiques de sécurité des e-mails. Les experts en cybersécurité recommandent de changer les mots de passe tous les trois mois pour réduire le risque de violations sur les réseaux d'entreprise.

Il est également important d'éviter de réutiliser les mêmes mots de passe. Lorsqu'il est temps de changer votre mot de passe, celui-ci ne devrait pas être trop similaire à l'un de vos mots de passe précédents, car celui-ci peut avoir été violé par un pirate informatique.

4. Formez-vous contre les attaques de phishing

Les e-mails de phishing sont des e-mails conçus pour sembler provenir d'une source bien connue, mais qui sont en réalité envoyés par des usurpateurs. L'objectif est de tromper les utilisateurs pour qu'ils divulguent des informations sensibles qui peuvent être utilisées pour accéder aux réseaux de courrier électronique d'entreprise.

Cela peut également tromper l'utilisateur en effectuant une action suggérée, par exemple payer une facture factice ; c'est ce qu'on appelle un compromis de courrier électronique professionnel et est connu pour causer des milliards de dollars de pertes annuelles.

La bonne nouvelle est que vous pouvez former vous-même et vos employés à reconnaître les campagnes de phishing, comme suit :

• La première chose à faire est de vérifier l'adresse e-mail de l'expéditeur. Assurez-vous que c'est l'adresse exacte de l'expéditeur légitime et non une usurpation ; faites attention aux lettres et symboles similaires tels que « J0hnB1rch@gmail.com » étant utilisés pour usurper « JohnBirch@gmail.com ».

• De plus, si l'e-mail vous dit que vous devez confirmer certaines informations financières, offre un coupon pour des articles gratuits, ou dit que vous êtes admissible à un remboursement gouvernemental, etc., il s'agit probablement d'une arnaque.

Il existe deux principaux types d'e-mails de phishing ; le phishing ciblé et le whaling.

Le phishing ciblé est le type qui cible les individus et inclura les informations d'intérêt pour la cible, tandis que le whaling est destiné aux cadres supérieurs d'une entreprise dans le but d'initier un virement d'argent.

À cette époque, la formation contre les tentatives de phishing et autres tactiques d'ingénierie sociale devrait être obligatoire pour vous et vos employés.

5. Activez le chiffrement des e-mails

Tous les e-mails qui transitent par un réseau d'entreprise doivent être chiffrés, ce qui implique de convertir le texte brut en texte chiffré en transit et de le reconvertir en texte brut dans la boîte de réception du destinataire.

Si un e-mail est chiffré, quiconque le capture sera incapable de le lire et de déchiffrer son contenu. Un e-mail non chiffré pourrait tout aussi bien être une carte postale virtuelle que n'importe qui est libre de lire, ce qui est mauvais pour la sécurité des e-mails et certainement contraire aux bonnes pratiques de sécurité des e-mails.

La bonne nouvelle est que la plupart des principales plateformes de courrier électronique et des fournisseurs de services disposent de capacités de chiffrement. Cependant, cela peut ne pas être suffisant.

Il est également important de chiffrer votre réseau d'entreprise et vos pièces jointes aux e-mails avant de les envoyer. Actuellement, seulement 50% des organisations mondiales utilisent le chiffrement des e-mails, ce qui est un chiffre faible qui doit augmenter si nous voulons lutter contre les cybercriminalités liées aux e-mails.

Pour améliorer votre livrabilité des e-mails et empêcher vos e-mails d'aller au spam (au lieu des boîtes de réception de vos destinataires), explorez nos derniers articles.

6. Évitez les réseaux Wi-Fi publics

Les réseaux Wi-Fi publics sont réputés pour être non chiffrés, les pirates informatiques peuvent donc facilement exposer votre appareil aux logiciels malveillants ou utiliser votre trafic Web pour des attaques de piratage.

Les logiciels malveillants exploitent une vulnérabilité spécifique sur votre appareil pour s'y introduire et accéder aux données sensibles. Par exemple, l'opérateur de logiciels malveillants peut voler vos mots de passe et écouter tout ce que vous faites en ligne.

Le Wi-Fi public peut sembler être une bénédiction, mais il s'accompagne de risques de sécurité des e-mails élevés et d'une multitude d'autres menaces de sécurité. Nous vous recommandons donc de les éviter autant que possible et d'utiliser uniquement les réseaux Wi-Fi de confiance.

Si vous n'avez d'autre choix que de vous connecter à un réseau public sur votre appareil professionnel ou personnel, vous devriez — au minimum — souscrire à un service de réseau privé virtuel (VPN) pour chiffrer votre connexion Internet.

7. Installez un logiciel antivirus

Un programme antivirus aide à protéger vos appareils personnels contre les cyberattaques et les menaces courantes, vous devez donc l'installer sur tous les appareils connectés à un réseau d'entreprise et vous assurer que le logiciel reste à jour.

Une fois que vous l'installez, assurez-vous d'activer l'analyse automatique pour que le logiciel antivirus puisse analyser régulièrement vos appareils à la recherche de logiciels malveillants et combattre tout problème qu'il détecte.

Lorsque vous installez un logiciel antivirus, vous êtes beaucoup moins susceptible de devenir victime de cyberattaques généralisées qui pourraient compromettre la sécurité de vos e-mails et la sécurité de plusieurs comptes et mots de passe en votre nom.

8. Attention aux pièces jointes des e-mails

Une pièce jointe à un e-mail est l'une des méthodes les plus courantes utilisées par les pirates informatiques pour cibler les petites entreprises et propager des logiciels malveillants.

Le pirate informatique peut inclure un code exécutable malveillant dans la pièce jointe, et le télécharger introduira ce code dans votre appareil, ne ouvrez donc que les pièces jointes en lesquelles vous avez confiance !

Si vous recevez une pièce jointe, assurez-vous qu'elle est analysée par un logiciel anti-malware qui peut facilement bloquer les pièces jointes malveillantes.

Une prudence supplémentaire est requise si la pièce jointe de l'e-mail a une extension liée à un programme logiciel exécutable, tel que MSI (Windows Installer) ou JAR (programme d'application Java).

Assurez-vous également que la pièce jointe provient d'une source de confiance. Si une adresse e-mail semble suspecte, n'ouvrez pas les pièces jointes telles que les images, les documents Word et d'autres fichiers de cette adresse !

9. Attention aux liens des e-mails

Les pirates informatiques peuvent inclure des liens malveillants dans un e-mail qui introduisent des logiciels malveillants dans votre appareil.

Par exemple, les pirates informatiques peuvent afficher un nom de domaine bien connu, tel que www.Google.com, mais cliquer dessus vous redirige vers un autre domaine beaucoup plus malveillant.

Les pirates informatiques peuvent également utiliser des lettres et des symboles similaires pour usurper une marque réputée, par exemple Micr0s0ft.com pour usurper Microsoft.com (des zéros au lieu de Os).

Tout comme avec les pièces jointes des e-mails, faites attention à tout lien que vous voyez dans un e-mail. Vérifiez toujours d'abord le lien en plaçant votre pointeur de souris dessus pour voir si le lien réel est différent de celui qui s'affiche.

Si le lien provient d'une source inconnue, l'éviter complètement pourrait être la meilleure option — et la seule option qui empêche l'accès non autorisé à votre réseau d'entreprise.

10. Utilisez des outils de filtrage de contenu

De nombreux fournisseurs de courrier électronique vous donnent accès à des outils avec lesquels vous pouvez filtrer les messages entrants. Vous pouvez définir les règles pour les messages entrants et le système de filtrage utilisera vos règles pour décider s'il s'agit d'e-mails légitimes ou d'e-mails indésirables.

Par exemple, si le message provient d'une adresse d'expéditeur particulière, il peut automatiquement être marqué comme légitime et envoyé au dossier de boîte de réception principale.

Alternativement, s'il contient des mots de spam tels que « gratuit », « réduction » et « édition limitée », le système peut mettre en quarantaine le message pour examen ultérieur ou le supprimer automatiquement.

Le filtrage du contenu vous aide à maintenir votre réseau de courrier électronique d'entreprise en ordre en utilisant les règles que vous avez définies. C'est l'un des outils de sécurité des e-mails les plus utiles à avoir dans votre arsenal.

11. Évitez l'utilisation personnelle du courrier électronique d'entreprise et vice-versa

Nous vous conseillons fortement d'éviter d'utiliser vos comptes de courrier électronique d'entreprise pour des activités personnelles.

Par exemple, ne l'utilisez pas pour vous inscrire à vos comptes de médias sociaux ou de jeux. Cela augmente le risque d'une cyberattaque et de fuites d'informations sensibles.

De plus, si vous cessez de travailler dans cette organisation et perdez l'accès au courrier électronique, cela peut vous faire perdre l'accès à vos comptes personnels également.

De même, n'utilisez pas vos comptes personnels pour des activités d'entreprise. Votre fournisseur de courrier électronique personnel n'a peut-être pas les fonctionnalités sophistiquées que votre fournisseur de courrier électronique d'entreprise a, ce qui peut élargir le risque d'une violation de données.

12. Ne répondez pas aux messages suspects

Parfois, les gens observent qu'un e-mail est suspect et provient probablement d'un spammeur, mais décident de répondre quand même pour taquiner et se moquer de l'expéditeur. Ce n'est pas du tout recommandé.

C'est parce que répondre à une adresse e-mail suspecte la rend valide aux yeux de la plateforme de courrier électronique, les futurs messages de ce spammeur pourraient donc atterrir dans votre (ou dans la boîte de réception principale d'une autre personne) au lieu du dossier de spam où ils appartiennent.

Évitez de répondre à tout message suspect. Cela réduira vos chances ou celles de quelqu'un d'autre au sein ou en dehors de votre organisation de devenir victime de schémas perpétrés par un spammeur ou un arnaqueur.

13. Mettre en place des protocoles d'authentification des e-mails

Les protocoles d'authentification des e-mails prouvent votre identité aux fournisseurs de services de messagerie (ESP) et aux fournisseurs de services Internet (ISP).

En les mettant en œuvre, vous rendez difficile pour les pirates informatiques et les spammeurs de vous usurper, et vous obtiendrez un taux de livrabilité plus élevé — ce qui devrait aider vos efforts de marketing par e-mail.

Les protocoles d'authentification principaux incluent :

A) Cadre de politique de l'expéditeur (SPF)

Cela implique de fournir un enregistrement du système de noms de domaine (DNS) qui spécifie quelles adresses IP ou noms d'hôtes sont autorisés à envoyer des e-mails à partir de votre nom de domaine.

Le serveur de courrier de réception peut accéder à ces enregistrements et vérifier si un e-mail prétendant provenir de votre nom de domaine provient réellement d'une adresse IP ou d'un nom d'hôte figurant sur la liste blanche.

S'il le fait, le serveur de courrier donnera le feu vert au message pour le placer dans la boîte de réception. Sinon, il sera envoyé au dossier de spam ou supprimé.

B) Courrier identifié par DomainKeys (DKIM)

Ce protocole résulte de deux protocoles fusionnés, « DomainKeys » développé par Yahoo, et « Identified Internet Mail » développé par Cisco.

Il s'agit d'ajouter une clé de chiffrement (ou une signature numérique) à un en-tête d'e-mail. La clé doit également être spécifiée dans votre enregistrement DNS.

DKIM est comme un filigrane ou une empreinte digitale unique de vos messages. Si le serveur de courrier de réception voit la clé de chiffrement, il vérifie que le message provient de vous. Sinon, il envoie le message au dossier de spam ou le supprime.

C) Authentification des messages basée sur le domaine, rapports et conformité (DMARC)

La méthode d'authentification des messages basée sur le domaine implique de publier un enregistrement DNS qui spécifie les protocoles que l'expéditeur utilise.

Elle définit vos politiques d'authentification des e-mails pour le serveur de courrier de réception et lui indique comment traiter les messages qui violent les politiques.

Les actions à prendre en réponse à une violation de politique pourraient être :

• p=none (ne rien faire)

• p=quarantine (accepter l'e-mail mais l'envoyer au dossier de spam), ou

• p=reject (bloquer la livraison à tout dossier de courrier électronique).

Pour une introduction complète à DMARC, regardez cette vidéo de NextTech Consultants.

D) Indicateurs de marque pour l'identification des messages (BIMI)

C'est le protocole d'authentification des e-mails le plus récent et il implique d'afficher un logo unique que les destinataires de courrier électronique peuvent voir dans leurs boîtes de réception.

Ce logo unique vérifie que l'e-mail provient de vous et non d'un usurpateur. Il offre une sécurité supplémentaire des e-mails car, même si un escroc réussit à vous usurper, son message n'affichera pas le logo unique que vous avez fourni au client de messagerie.

Les quatre protocoles ci-dessus représentent certaines des meilleures solutions de sécurité des e-mails disponibles, et ils contribuent grandement à prévenir les acteurs malveillants d'usurper votre organisation pour perpétrer des arnaque aux e-mails.

Regardez cette vidéo YouTube de la Global Cyber Alliance pour avoir une meilleure idée de leur fonctionnement.

14. Surveillez vos applications tierces

Beaucoup de gens intègrent des applications tierces avec leurs fournisseurs de services de messagerie, ce qui est compréhensible. Mais ces applications tierces peuvent introduire des risques de sécurité en raison des erreurs ou de la négligence de leurs développeurs.

Par exemple, Log4J est un outil populaire que les développeurs utilisent pour surveiller leurs services en ligne, mais cet outil a été compromis, introduisant des failles de sécurité dans des milliers d'applications dans le monde.

Surveillez régulièrement vos applications tierces pour vous assurer qu'elles ne présentent pas de problèmes de sécurité. Vérifiez qu'elles sont téléchargées à partir de sources vérifiables et consultez les rapports d'actualités et les avis pour voir si les applications présentent des risques de sécurité connus.

Si vous découvrez vous-même une menace, efforts à contacter les développeurs pour corriger les bogues (ils pourraient même vous offrir une récompense pour l'avoir fait).

15. Utiliser Mailer To Go

Le fournisseur de services de messagerie (ESP) que vous choisissez joue un rôle majeur dans la sécurisation de votre courrier électronique, sinon le rôle le plus important de tous.

Par exemple, si votre ESP n'est pas bon au filtrage des spams, alors tous vos efforts personnels dans ce domaine peuvent être vains.

Mailer To Go est un bon exemple de plateforme qui offre une sécurité solide des e-mails. Tous nos sites Web et microservices utilisent le chiffrement SSL (Secure Sockets Layer) et TLS (Transport Layer Security).

Toutes les données envoyées via Mailer To Go sont chiffrées en transit, et notre infrastructure physique est hébergée sur Amazon Web Services (AWS), le fournisseur de stockage cloud le plus grand et le plus fiable du monde.

Explorez le blog informatif de Mailer To Go pour améliorer votre livrabilité des e-mails, découvrez la différence entre les e-mails transactionnels et en masse, prévenir le bombardement d'abonnement, et plus !

16. Effectuez des sauvegardes régulières de fichiers

Même si vous incorporez toutes les bonnes pratiques de sécurité des e-mails mentionnées ci-dessus, vos systèmes ne seront toujours pas à 100% infaillibles. Il existe toujours un risque, aussi minime soit-il, que votre sécurité réseau soit compromise.

Pour cette raison, l'un des protocoles de sécurité des e-mails les plus importants à suivre est des sauvegardes régulières de tous vos fichiers sensibles.

Tout fichier de ce type envoyé à votre e-mail doit être téléchargé et stocké dans un endroit numérique sûr (stockage cloud ou serveurs sur site). De cette façon, si vous êtes compromis et perdez l'accès à vos fichiers de marketing par e-mail, vous pouvez facilement les récupérer à partir de l'emplacement de sauvegarde.

Sinon, vous risquez de perdre définitivement les informations sensibles qui pourraient mettre votre entreprise à risque.

Conclusion

Ne pas respecter les bonnes pratiques de sécurité des e-mails ouvre la porte aux arnaques par e-mail qui causent des milliards de dollars de pertes annuelles dans le monde.

Il existe d'infinies variations de ces schémas, incluant les compromis de courrier électronique professionnel, les e-mails de phishing ciblé, les logiciels malveillants pour voler les informations personnellement identifiables, le vol d'identité des utilisateurs, et plus.

Heureusement, il existe un certain nombre d'étapes que vous pouvez prendre pour réduire considérablement vos chances de devenir victime de ces menaces.

En utilisant un service sécurisé comme Mailer To Go, tout en suivant tous les conseils de sécurité des e-mails énumérés dans cet article, vos chances d'être compromis via des messages de courrier électronique seront exponentiellement réduites.

Questions fréquemment posées

Que sont les bonnes pratiques de sécurité des e-mails ?

Les bonnes pratiques de sécurité des e-mails sont des lignes directrices et des procédures conçues pour protéger vos comptes de messagerie et les informations qu'ils contiennent contre les menaces cybernétiques. Ces pratiques incluent l'utilisation de mots de passe forts et uniques, l'activation de l'authentification à deux facteurs, la prudence avec les pièces jointes et les liens des e-mails, ainsi que la mise à jour régulière et la correction des correctifs de votre logiciel de messagerie.

Pourquoi les bonnes pratiques de sécurité des e-mails sont-elles importantes ?

Les bonnes pratiques de sécurité des e-mails sont importantes car le courrier électronique est une cible courante pour les cybercriminels. En suivant ces pratiques, vous pouvez protéger vos comptes de messagerie contre les menaces telles que le phishing, les logiciels malveillants et les violations de données. C'est particulièrement important si vous manipulez des informations sensibles dans vos e-mails.

Comment puis-je améliorer la sécurité de mon e-mail ?

Vous pouvez améliorer la sécurité de votre e-mail en suivant quelques pratiques clés :

• Utilisez des mots de passe forts et uniques pour chacun de vos comptes de messagerie.

• Activez l'authentification à deux facteurs, qui nécessite une deuxième forme de vérification en plus de votre mot de passe.

• Soyez prudent avec les pièces jointes et les liens des e-mails, car ils peuvent être utilisés pour propager des logiciels malveillants.

• Mettez régulièrement à jour et corrigez votre logiciel de messagerie pour vous protéger contre les vulnérabilités connues.

• Utilisez un fournisseur de services de messagerie sécurisé comme Mailer To Go qui offre des fonctionnalités de sécurité intégrées.

Qu'est-ce que l'authentification à deux facteurs dans la sécurité des e-mails ?

L'authentification à deux facteurs (2FA) dans la sécurité des e-mails est une méthode de vérification de votre identité qui nécessite deux formes d'identification distinctes. Cela implique généralement quelque chose que vous connaissez (comme votre mot de passe) et quelque chose que vous avez (comme un code envoyé à votre téléphone).

2FA ajoute une couche de sécurité supplémentaire à vos comptes de messagerie, ce qui rend plus difficile pour les utilisateurs non autorisés d'accéder.

Que dois-je faire si je reçois un e-mail suspect ?

Si vous recevez un e-mail suspect, ne cliquez pas sur les liens ni ne téléchargez les pièces jointes. Signalez l'e-mail à votre fournisseur de services de messagerie et supprimez-le. Si l'e-mail semble provenir d'une entreprise avec laquelle vous faites affaire, contactez directement l'entreprise (en utilisant les coordonnées de son site Web officiel, pas l'e-mail) pour vérifier la légitimité de l'e-mail.