Les boîtes mail professionnelles sont assaillies de menaces plus ou moins élaborées mais toutes redoutables. Selon le rapport annuel de l’éditeur japonais de logiciels de cybersécurité Trend Micro, le nombre de malwares transmis par courrier électronique a bondi de 196% en 2021. Et le coût des attaques par compromission des e-mails professionnels a lui aussi augmenté : +33% sur un an, selon le FBI qui évalue les dégâts pour les entreprises à 2,4 milliards de dollars. Pour protéger cette porte d’entrée virtuelle de l’entreprise, mieux vaut miser sur un cocktail alliant rigueur et prudence.
Une gestion rigoureuse des accès
Les professionnels de la cybersécurité préconisent d’appliquer le principe de zero trust – qui consiste à authentifier et vérifier en permanence l’identité des utilisateurs du réseau d’une entreprise – à la gestion des boîtes mail professionnelles, qui implique une gestion rigoureuse des accès. Cela peut paraître anodin à certaines grandes entreprises, inutile aux plus petites mais garder à jour ses fichiers de ressources humaines reste un incontournable de la cybersécurité. La liste des salariés doit donc être actualisée à chaque mouvement : entrant pour configurer au mieux les accès et faciliter la prise de poste mais aussi sortant afin de supprimer systématiquement les accès à leur boîte mail professionnelle aux salariés qui ont quitté les effectifs.
Pour limiter les risques les plus élémentaires, mieux vaut conseiller aux salariés de choisir un mot de passe robuste (long, complexe – sans mot lisible, avec différents types de caractères et surtout unique), qui doit être changé régulièrement. Un gestionnaire de mots de passe peut aider les collaborateurs à respecter cette hygiène cyber.
Lorsqu’elle est possible, l’authentification à 2 facteurs permet de renforcer encore la sécurisation de l’accès à la boîte mail professionnelle. Et elle ne doit pas être réservée aux salariés qui travaillent au contact de données sensibles. N’importe quelle boîte mail infectée peut devenir une porte d’entrée vers le réseau de l’entreprise et permettre aux pirates d’accéder alors à des données confidentielles.
Se doter des bons outils
Plusieurs méthodes ou outils technologiques se révèlent utiles pour ériger des barrières capables de détecter les menaces et protéger, in fine, les données sensibles. Antivirus et antispam sont ainsi devenus des incontournables de la sécurité des boîtes mail, premières défenses contre les attaques les plus massives. Analyse lexicale ou scan des pièces jointes constituent les préalables à tout examen approfondi.
Certaines organisations disposent d’un système de bac à sable (sandbox, en anglais). Le logiciel exécute les pièces jointes dans un environnement sécurisé, sans lien avec le reste des systèmes d’information de l’entreprise, pour vérifier ce qu’il se passe à l’ouverture. L’élément présentant une menace est alors mis en quarantaine ou supprimé, selon les procédures décidées par l’entreprise.
Ces outils sont d’autant plus redoutables face aux menaces qu’ils sont désormais dopés à l’intelligence artificielle. Ils ne se contentent plus de comparer les éléments analysés avec des listes de malwares connus, mises à jour plus ou moins régulièrement. Mais apprennent des habitudes des utilisateurs pour gagner en efficacité. Néanmoins, aucune défense n’est infaillible. Chiffrer ses e-mails reste donc un principe non négociable pour protéger ses données.
Former les collaborateurs
Reste qu’une confiance aveugle en la technologie risquerait d’oublier un élément déterminant de la cybersécurité des boîtes mail professionnelles : leurs utilisateurs, encore trop peu conscients qu’ouvrir un e-mail malveillant peut avoir des répercussions sur l’ensemble de l’entreprise. Combien laissent leur ordinateur à disposition de n’importe qui, messagerie ouverte, alors qu’ils filent au wagon bar acheter un café ? Ou se connectent à un réseau Wi-Fi public pour consulter des mails contenant des informations confidentielles ? Il est donc essentiel de former les collaborateurs aux réflexes de base en matière de sécurisation des boîtes mail.
La plupart des formations intègrent d’ailleurs des campagnes de sensibilisation, afin de tester les réflexes des salariés face à des e-mails douteux. Autrefois grossières, les tentatives de phishing deviennent de plus en plus sophistiquées. Les collaborateurs sont alertés s’ils cliquent sur un élément qu’ils auraient dû identifier comme suspect et l’entreprise dispose ainsi d’un état des lieux à jour des connaissances de ses équipes en matière de cybersécurité.
