Bonnes pratiques de sécurité des emails : protégez vos communications numériques

Les emails constituent un canal essentiel de communication et de collaboration au travail.

Ils restent aussi le principal vecteur des cybermenaces. 

La plupart des entreprises, petites ou grandes, utilisent désormais des plateformes d’email basées dans le cloud. Même si elles proposent des solutions d’hygiène de base intégrées, celles-ci ne suffisent souvent plus face à un paysage de menaces par email en évolution rapide et alimenté par l’IA. De nombreuses entreprises restent ainsi exposées à une compromission via le principal moyen par lequel des personnes externes à votre entreprise communiquent avec vos utilisateurs.

La sécurité des emails n’est pas une mesure binaire : il ne suffit pas de l’activer pour être protégé. Déployer une solution ne réduit pas automatiquement le risque de compromission. Une sécurité des emails réellement efficace pour les entreprises suppose l’adoption d’un ensemble adapté de technologies et de procédures opérationnelles, ainsi que la sensibilisation des utilisateurs aux risques et aux signaux d’alerte, afin d’obtenir la protection la plus complète possible.

Dans cet article, nous passons en revue les bonnes pratiques de sécurité des emails qui vous permettront de mieux protéger vos utilisateurs, vos clients et votre entreprise contre les cybermenaces modernes.

Table des matières

• Comprendre l’importance de la sécurité des emails
• Menaces critiques liées à la sécurité des emails
• Top 10 des bonnes pratiques de sécurité des emails
  • 1. Appliquer DMARC, SPF et DKIM
  • 2. Déployer une détection des menaces alimentée par l’IA
  • 3. Mettre en place une formation de sensibilisation au phishing
  • 4. Mettre en œuvre AI Recipient Validation
  • 5. Assurer un accès continu aux emails
  • 6. Sécuriser les points d’entrée cachés
  • 7. Adopter une authentification multifacteur (MFA) résistante au phishing
  • 8. Automatiser le chiffrement des emails
  • 9. Appliquer un archivage automatisé et conforme à la législation
  • 10. Centraliser la gestion multi-tenant (pour les MSP/grandes entreprises)
• Points à prendre en compte lors de l’élaboration de votre politique de sécurité des emails
• Ne vous contentez pas de sécuriser vos emails : transformez-les
• Conclusion et FAQ

Comprendre l’importance de la sécurité des emails

L’époque où l’arnaque du prince nigérian résumait le niveau de qualité et de sophistication de la plupart des menaces par email est révolue. Cette attaque de phishing emblématique symbolisait une époque où les menaces étaient indiscriminées et faciles à repérer au regard des standards actuels.

Phishing alimenté par l’IA à grande échelle

Le paysage actuel des menaces a radicalement changé et permet de déployer à grande échelle des attaques très avancées, convaincantes et ciblées. L’accès facile à de puissants LLM alimente ce phénomène. Ces modèles garantissent une orthographe, une grammaire et un ton irréprochables. Ils personnalisent aussi le contenu des emails pour chaque destinataire. Cette personnalisation augmente les chances de « réussite ».

Tactiques derrière les attaques modernes

Les emails de phishing utilisent des informations personnalisées et détournent des services légitimes pour rendre les attaques plus difficiles à détecter tout en paraissant plus crédibles. Les arnaques de Business email compromise s’appuient sur des recherches approfondies sur la victime. Elles utilisent des détails sur le rôle actuel ou le parcours de la victime afin de la manipuler. Les cybercriminels peuvent également utiliser des comptes compromis pour détourner des fils de discussion existants. En outre, ils usurpent l’identité d’expéditeurs légitimes et diffusent des menaces. Cette approche exploite la confiance des cibles.

Le coût croissant des violations

La frontière entre contenu malveillant et contenu légitime peut sembler imperceptible. Loin de l’époque du prince nigérian, les hackers conçoivent aujourd’hui des campagnes bien plus convaincantes et ciblées. Et les chiffres le confirment. Selon l’IBM Cost of a Data Breach Report 2025, le coût moyen mondial d’une violation de données a atteint un niveau record de 4,4 millions de dollars américains. Pour les entreprises comptant 500 employés ou moins, ce montant s’élève à 3,31 millions de dollars américains.

Menaces critiques liées à la sécurité des emails

Bien qu’il existe plusieurs types de menaces liées à la sécurité des emails, voici les plus courantes et les plus préoccupantes : 

• Phishing : le phishing est une menace fréquente dans laquelle des attaquants usurpent l’identité de marques connues et établies afin d’inciter les destinataires à cliquer sur des liens malveillants ou à télécharger des pièces jointes contenant des malwares. Il s’agit d’un type d’attaque courant qui vise plusieurs boîtes mail et ne comporte pas de personnalisation du contenu pour les destinataires. Le phishing peut entraîner le vol d’identifiants, des infections par malwares, des prises de contrôle de comptes (ATO) et plus encore.
  
  Selon l’Internet Crime Complaint Center, il reste la cybermenace la plus efficace en nombre de victimes. L’IC3 a reçu 859 532 plaintes de victimes rien qu’en 2024. Parallèlement, Hornetsecurity a détecté un nombre record de menaces de phishing en 2025.
  
• Une variante est le Quishing, ou phishing par QR code, où l’email malveillant contient un QR code au lieu d’un lien. Les utilisateurs bien formés se méfient des liens, mais ils ont l’habitude de scanner des QR codes pour payer un stationnement, consulter un menu au restaurant, etc. Autre avantage pour l’attaquant : l’utilisateur scanne souvent ce code avec son smartphone, souvent personnel, qui bénéficie de moins de protections ou de politiques de sécurité qu’un ordinateur portable professionnel. L’attaque est alors déplacée vers un appareil où elle a davantage de chances de réussir.
• Spear phishing ou Business email compromise : le spear phishing, souvent appelé Business email compromise, est une cyberattaque très ciblée. Les auteurs de spear phishing se font passer pour une personne légitime ou un fournisseur connu de la victime.
  
  Les attaques de spear phishing ne contiennent généralement pas de liens ou de pièces jointes malveillants, surtout dans le premier email. Elles s’appuient plutôt sur le contenu textuel, des recherches sur la victime et des techniques d’ingénierie sociale pour amener les cibles à effectuer une action compromettante, généralement de nature financière. Cela inclut :
  
  – le transfert de fonds vers un compte frauduleux (fraude au virement),
  – l’envoi de documents fiscaux à des hackers (fraude fiscale ou fraude W-2),
  – l’achat en masse de cartes-cadeaux (fraude aux cartes-cadeaux),
  – et bien plus encore.
  
  Cette forme d’attaque est devenue très puissante grâce à l’IA générative, comme ChatGPT, capable d’affiner la langue utilisée, et aux agents d’IA capables d’automatiser de nombreuses étapes, ce qui augmente l’ampleur des attaques personnalisées.
   
  Les attaques de spear phishing sont les cybermenaces les plus coûteuses. Selon l’IC3, les pertes déclarées liées au Business email compromise ont atteint 2,77 milliards de dollars américains en 2024. Plus inquiétant encore, le nombre d’attaques BEC continue d’augmenter. Selon le Verizon Data Breach Investigations Report 2025, les attaques BEC ont causé plus de 6,3 milliards de dollars de dommages en 2024.
• Malwares diffusés par email : bien que les malwares représentent une menace via plusieurs vecteurs, l’email reste le principal canal de diffusion, y compris pour les ransomwares. Ce type de menace par email utilise généralement une pièce jointe infectée qui compromet l’appareil de la victime une fois téléchargée. Selon Verizon, les pièces jointes contenant des malwares prennent le plus souvent la forme de documents Microsoft Office. Certaines attaques par email reposant sur des malwares peuvent aussi contenir un lien malveillant redirigeant la victime vers une page de phishing qui délivre la charge utile.
• Attaques Attacker-in-the-middle (AitM) : les attaques AitM se produisent lorsque des hackers interceptent ou espionnent des communications entre deux parties légitimes. Une attaque AitM courante consiste à utiliser des techniques de phishing pour voler les identifiants des victimes. Il s’agit désormais d’une fonctionnalité standard des kits de phishing « tout-en-un » auxquels les attaquants peuvent s’abonner sur les places de marché du dark web, et cela implique généralement un email de phishing contenant un lien vers une page AitM.
  
  L’utilisateur est incité à cliquer sur le lien au moyen d’un leurre (« vous devez réinitialiser votre mot de passe » ou « connectez-vous ici pour accéder à votre messagerie vocale »), puis il voit une page qui ressemble exactement à sa page de connexion habituelle. Lorsqu’il saisit son nom d’utilisateur et son mot de passe, ceux-ci sont transmis à la véritable page de connexion. Si une vérification d’authentification multifacteur (MFA), par exemple un code à deux chiffres, est demandée, elle est renvoyée à l’utilisateur pour finaliser la connexion. L’attaquant a alors capturé tout ce dont il a besoin pour usurper l’identité de l’utilisateur légitime et poursuivra ensuite la compromission des données et des systèmes.
• Spam : le spam désigne des emails non sollicités et souvent indésirables envoyés en masse à de nombreux destinataires. Même s’il n’a pas nécessairement une intention malveillante, le spam encombre les boîtes mail, consomme des ressources réseau et peut servir à diffuser du contenu malveillant, notamment des liens de phishing.

Top 10 des bonnes pratiques de sécurité des emails

Comme indiqué précédemment, une sécurité des emails à la fois efficace et robuste repose sur le bon ensemble de solutions et de procédures opérationnelles. Pour renforcer votre posture de sécurité, adoptez les bonnes pratiques ci-dessous et faites-en une priorité durable pour votre entreprise.

1. Appliquer DMARC, SPF et DKIM

Il existe trois principaux protocoles de sécurité des emails que les serveurs de messagerie utilisent pour vérifier les emails entrants : Sender Policy Framework (SPF), Domain-based Message Authentication, Reporting, and Conformance (DMARC) et DomainKeys Identified Mail (DKIM).

Ensemble, ils permettent aux serveurs de messagerie de déterminer si un email entrant a été envoyé depuis un serveur autorisé pour ce domaine, s’il n’a pas été altéré pendant le transit et quelle action entreprendre s’il échoue à l’un des contrôles. C’est un moyen de réduire le spam et les emails de phishing qui semblent provenir d’une personne de confiance alors qu’ils sont en réalité falsifiés.

Utilisez notre DMARC Manager pour vous assurer que ces paramètres sont correctement configurés. Cela s’applique à votre ou vos principaux domaines email professionnels, ainsi qu’à tous les domaines de test ou inutilisés dont vous êtes propriétaire.

2. Déployer une détection des menaces alimentée par l’IA

Lorsque vous sélectionnez une solution intégrée d’hygiène des emails, assurez-vous qu’elle ne repose pas sur des filtres basés sur des signatures. Cette méthode héritée de blocage des emails malveillants ne peut plus suivre le rythme du monde moderne, fait d’emails malveillants hautement personnalisés et alimentés par l’IA.

Il faut trop de temps pour identifier un email malveillant donné, puis diffuser sa signature afin d’intercepter les emails suivants. Vous avez plutôt besoin d’Advanced Threat Protection pour la sécurité des emails. Cette solution utilise des modèles d’IA et de machine learning (ML). Ces modèles analysent toutes les caractéristiques de chaque email. Ils évaluent le texte pour déterminer s’il est malveillant, s’il s’agit de spam ou s’il est légitime.

Pour les pièces jointes, vous avez besoin d’un Sandbox qui ouvre chaque pièce jointe (« la fait exploser ») dans un environnement isolé et analyse, là encore, le comportement du fichier ou du document afin d’émettre un verdict : sûr ou malveillant.

3. Mettre en place une formation de sensibilisation au phishing

Aucune solution individuelle n’est efficace à 100 %. Les attaquants essaient sans cesse de nouvelles astuces pour contourner les filtres. C’est pourquoi vous avez besoin de défenses multicouches, afin que les attaquants doivent franchir plusieurs obstacles avant d’atteindre leur objectif.

Construisez votre pare-feu humain

Vos utilisateurs font partie intégrante des bonnes pratiques de sécurité des emails. Si toutes les autres couches ont été contournées, vous voulez que vos utilisateurs soient « poliment paranoïaques ». Mais le « cours obligatoire de 30 minutes une fois par an » ne suffit pas. Il vous faut une solution moderne telle que Security Awareness Service, qui envoie régulièrement des emails de phishing simulés et propose une courte formation lorsque les utilisateurs se font piéger.

Cette formation régulière améliore nettement la mémorisation chez les utilisateurs et augmente les chances qu’ils repèrent une arnaque et la signalent.

Comment SAS s’adapte automatiquement

Security Awareness Service est alimenté par l’IA et comporte une fonctionnalité particulièrement appréciée des administrateurs : la solution fonctionne pratiquement en mode « configurez et oubliez ». Les utilisateurs qui ont besoin de tests et de formations supplémentaires dans un domaine précis les reçoivent automatiquement, tandis que les utilisateurs déjà vigilants ne reçoivent que très rarement des emails de phishing simulés.

Renforcer votre pare-feu humain a toutefois tendance à augmenter le nombre d’emails signalés à votre Security Operations Center (SOC). Notre AI Email Security Analyst intervient alors également en vérifiant automatiquement chaque email signalé pour déterminer s’il est réellement malveillant ou non.

4. Mettre en œuvre AI Recipient Validation

La cause la plus fréquente des fuites de données involontaires dans les entreprises est l’envoi d’emails contenant des informations sensibles à la mauvaise personne. La saisie semi-automatique des adresses email est pratique, mais elle conduit parfois à envoyer le mauvais contenu aux mauvais destinataires, avec parfois des conséquences catastrophiques. C’est là qu’un assistant IA intégré, avec validation des destinataires, peut fournir un avertissement et un contrôle supplémentaire avant l’envoi accidentel de l’email.

5. Assurer un accès continu aux emails

L’email est un service d’infrastructure, invisible et considéré comme acquis, au même titre que le téléphone ou l’électricité. Ce n’est que lorsqu’il est interrompu que l’on réalise à quel point on en dépend. Disposer de boîtes mail d’urgence disponibles 24 h/24 et 7 j/7, qui s’activent automatiquement en cas d’indisponibilité de votre tenant Microsoft 365, contribue à assurer la continuité de l’activité.

6. Sécuriser les points d’entrée cachés

La collaboration moderne, en interne comme en externe, est multiforme : il ne s’agit plus seulement des emails. Microsoft Teams est utilisé pour les appels, les discussions et les réunions, et offre aux attaquants un autre moyen d’atteindre vos utilisateurs, souvent moins bien protégé que les emails. Ajoutez à cela les liens dans SharePoint et les outils de messagerie tiers, et vous obtenez plus de vecteurs d’attaque que jamais.

365 Total Protection Plan 4 inclut Teams Protection, qui analyse tous les liens partagés dans Teams et avertit les utilisateurs finaux lorsqu’ils pointent vers des destinations malveillantes.

7. Adopter une authentification multifacteur (MFA) résistante au phishing

Pourquoi la MFA est essentielle

À l’instar de politiques de mots de passe efficaces, la MFA complique la compromission et la manipulation de comptes légitimes par les hackers. La MFA exige que les utilisateurs prouvent leur identité à l’aide de plusieurs facteurs avant d’accéder à leurs emails ou à d’autres applications.

Choisir des options MFA plus robustes

Cependant, toutes les formes de MFA ne se valent pas, comme nous l’avons vu avec les attaques AitM. Vous devez donc déployer une MFA résistante au phishing pour tous les utilisateurs. Cela inclut les clés matérielles USB FIDO (Fast IDentity Online), Windows Hello for Business (Windows), Platform Credentials (MacOS) et la solution la plus récente : les passkeys. Le principe est identique à celui d’une clé FIDO, mais il utilise un smartphone au lieu d’une clé USB matérielle distincte.

Pourquoi la résistance au phishing est décisive

On parle de MFA résistante au phishing parce que ces méthodes ne fonctionnent pas sur une fausse page de connexion, même si l’utilisateur pense qu’elle est authentique. Elles protègent donc l’utilisateur dans les scénarios où il a été piégé. Toutefois, tout se joue dans les détails. Les kits de phishing évoqués plus haut incluent aussi, en standard, la rétrogradation automatique du type de connexion. Ainsi, si vous l’autorisez, au lieu d’être invité à utiliser une méthode MFA résistante au phishing, l’utilisateur devra recourir à une méthode d’authentification plus faible pour satisfaire à l’exigence MFA.

Par conséquent, non seulement vous devez déployer une MFA résistante au phishing pour tous les utilisateurs, mais vous devez aussi configurer la politique de sécurité de façon à interdire les autres méthodes, plus faibles.

Le risque côté helpdesk

Enfin, n’oubliez pas le facteur humain. Certains groupes de menaces sont devenus très habiles en ingénierie sociale, notamment contre le personnel du helpdesk, ce qui a conduit à plusieurs violations très médiatisées. Peu importe que vous ayez déployé la MFA la plus robuste pour tout le monde si les attaquants peuvent simplement appeler votre helpdesk, convaincre les équipes — à l’aide d’informations personnelles disponibles publiquement — qu’ils sont un administrateur IT de votre entreprise ayant perdu son téléphone et son ordinateur portable, puis faire réinitialiser leurs identifiants, ce qui leur ouvre l’accès.

8. Automatiser le chiffrement des emails

Pourquoi le chiffrement des emails est important

Les emails professionnels contiennent de nombreuses données sensibles et sont stockés dans des boîtes mail distribuées dans toute votre entreprise, sans compter tous les emails contenant des données sensibles envoyés à des destinataires externes. La solution est le chiffrement des emails, qui protège la confidentialité et l’intégrité de vos communications par email.

Ces solutions rendent les communications numériques incompréhensibles pour les destinataires non autorisés qui ne disposent pas de la clé de déchiffrement. À une époque où les attaques AitM sont de plus en plus courantes, le chiffrement protège la correspondance et les autres informations.

Automatiser la protection des emails sensibles

Toutefois, compter sur les utilisateurs finaux pour se souvenir de chiffrer manuellement un email sensible ou une pièce jointe ne constitue pas une stratégie de gouvernance fiable. Même avec les meilleures intentions, des erreurs humaines se produiront. C’est pourquoi une politique automatisée, comme celle de 365 Total Protection, qui analyse les emails à la recherche de données sensibles (IBAN, numéro de sécurité sociale, etc.) et les chiffre automatiquement lorsqu’elle en détecte, garantit que seuls l’expéditeur et le destinataire peuvent y accéder.

9. Appliquer un archivage automatisé et conforme à la législation

Il est essentiel de veiller à ce que les communications par email soient conservées de manière sûre et inviolable pendant la durée de rétention légalement requise, selon le ou les cadres réglementaires auxquels vous êtes soumis. Disposer d’une solution d’archivage automatisée permet de retrouver des emails à des fins d’audit, même si une boîte mail a été compromise ou supprimée.

10. Centraliser la gestion multi-tenant (pour les MSP/grandes entreprises)

De nombreuses grandes entreprises se retrouvent avec plusieurs tenants Microsoft 365, souvent à la suite de fusions et acquisitions, et beaucoup de petites entreprises s’appuient sur un Managed Service Provider (MSP) pour leurs besoins de support IT. Dans les deux cas, la charge de travail nécessaire pour maintenir la cohérence des politiques et des paramètres entre les tenants peut être considérable.

La puissance de 365 Multi-Tenant Manager de Hornetsecurity apporte ici une réponse efficace. Il vous permet de comparer facilement la configuration actuelle de chaque tenant à vos modèles, avec une remédiation automatisée disponible si vous le souhaitez.

Points à prendre en compte lors de l’élaboration de votre politique de sécurité des emails :

• Créez la politique à partir d’un modèle existant d’une organisation reconnue, comme le SANS Institute.

• Faites en sorte qu’il soit facile pour les employés de localiser la politique et d’y accéder.

• Faites en sorte qu’elle soit digeste et facile à comprendre.

• Intégrez la politique de sécurité des emails au programme d’orientation et d’onboarding des nouveaux collaborateurs.

• Faites la promotion de la politique lors des réunions formelles et informelles de l’entreprise.

• Permettez aux employés de consulter la politique et d’en accuser officiellement réception dès le départ, puis à chaque mise à jour importante.

Comme vous pouvez le constater, 365 Total Protection de Hornetsecurity couvre tous les aspects de la sécurité des emails et de la collaboration. La solution vous aide à gérer des réglementations mondiales complexes telles que le RGPD et HIPAA tout en s’intégrant parfaitement à vos opérations quotidiennes. En plus, elle demande très peu de travail d’administration IT.

---

Ne vous contentez pas de sécuriser vos emails : transformez-les

Votre entreprise s’appuie-t-elle encore sur des vérifications manuelles et des filtres de base ? Passez à une posture proactive qui protège automatiquement votre marque, vos données et vos utilisateurs.

Avec 365 Total Protection, vous bénéficiez de :

• Une tranquillité d’esprit totale : gestion automatisée de DMARC et protection anti-phishing pilotée par l’IA.

• Une continuité sans interruption : votre activité continue même pendant les pannes de Microsoft 365.

• Une conformité sans effort : archivage inviolable et chiffrement automatisé qui allègent la charge de vos employés.

Vos emails méritent la meilleure protection : découvrez 365 Total Protection !

---

Conclusion

S’appuyer sur un partenaire de confiance doté d’une technologie de pointe est essentiel pour sécuriser vos emails et vos outils de collaboration. Avec le soutien de notre Security Lab, vous pouvez considérablement augmenter vos chances de réussite.