Réponse automatique : éviter de trop en dire

12 Mar 2019

Avant de partir en congés ou en voyage d’affaires, de nombreux employés mettent en place une réponse automatique pour répondre aux e-mails entrants, afin que les clients et collègues sachent qui contacter en leur absence. Ces messages fournissent généralement des détails sur la durée du voyage, les coordonnées du personnel, et parfois sur les projets en cours.

Les réponses automatiques peuvent paraître inoffensives, mais elles peuvent représenter un risque pour votre entreprise. Si un employé ne limite pas la liste des destinataires, la réponse automatique va être envoyée à toutes les personnes dont l’e-mail figure dans la boîte de réception. Ce pourrait être l’adresse d’un cybercriminel, ou d’un escroc, qui a réussi à déjouer les filtres. Les informations contenues dans la réponse automatique pourraient même être suffisantes pour réaliser une attaque ciblée.

Une ligne, beaucoup de problèmes

Dans le cas des escrocs, la réponse automatique leur permet de savoir que l’adresse e-mail est valide, et appartient à une personne en particulier. Elle fournit également les nom et prénom de la personne, ainsi que le poste qu’elle occupe. Dans la plupart des cas, la signature comprend aussi un numéro de téléphone.

Les escrocs envoient généralement des messages aux adresses qui appartiennent à une immense base de données, qui devient progressivement désuète et moins efficace. Lorsqu’une personne réelle est détectée en fin de ligne, les cybercriminels marquent l’e-mail comme cible viable, et commencent à envoyer des messages beaucoup plus souvent. Ils peuvent même appeler la personne, mais ce n’est pas le pire.

Si la réponse automatique est envoyée en réponse à un e-mail d’hameçonnage, elle fournit des renseignements sur le personnel, avec leurs noms, postes occupés, horaires de travail, et même leurs numéros de téléphone. Ces informations peuvent être utilisées pour organiser une attaque efficace d’harponnage. Ce problème ne touche pas seulement les grandes entreprises. En réalité, les réponses automatiques sont des cibles faciles : des coffres aux trésors de données pour servir n’importe quel objectif d’ingénierie sociale.

Possibles actions des cybercriminels

Imaginez que Peter parte en vacances, et mette en place une réponse automatique détaillée. Par exemple : Je suis actuellement absent jusqu’au 27 mars. Veuillez contacter Tati (e-mail, numéro de téléphone) si vous avez des questions sur le projet Camomile. Andrew (adresse, numéro de téléphone) s’occupe de la restructuration de Medusa.

Andrew reçoit un message qui semble avoir été envoyé par le responsable de Medusa LLC. Le cybercriminel mentionne une conversation qu’il a eu antérieurement avec Peter, et demande à Andrew de visionner une suggestion de conception de l’interface utilisateur. Il est fort probable qu’Andrew ouvre la pièce jointe, ou suive le lien, dans une telle situation, et qu’il mette donc en danger son poste de travail puisqu’il pourrait être infecté.

De plus, les cybercriminels peuvent obtenir des informations confidentielles en échangeant quelques e-mails, en faisant notamment référence à la personne absente et à leur soi-disant historique professionnel. Plus ils en savent sur l’entreprise, plus l’employé qui remplace son collègue est susceptible de faire suivre des documents internes, ou de communiquer un secret commercial.

Que faire ?

Afin d’éviter les maux de tête provoqués par ces messages, vous devez suivre une politique judicieuse en matière de réponse automatique.

  • Déterminez quels employés en ont vraiment besoin. Si une personne ne gère que quelques clients, elle peut leur communiquer son absence par e-mail ou par téléphone.
  • Si une seule personne s’occupe des tâches des employés en congés, alors il convient d’utiliser la redirection des messages. Il est vrai que ce n’est pas toujours pratique, mais au moins vous n’allez pas passer à côté d’importants messages.
  • Conseillez à vos employés de créer deux réponses automatiques différentes : une en interne, et une autre pour les communications externes. Vous pouvez ajouter plus d’informations dans le message destiné à vos collègues, mais les e-mails externes devraient contenir le strict minimum.
  • Si un employé ne communique qu’avec ses collègues, alors désactivez complètement la réponse automatique pour les adresses externes.
  • Dans tous les cas, le personnel qui utilise les réponses automatiques ne devrait pas communiquer des informations superflues. Les noms des lignes de produits ou des clients, les numéros de téléphone des collègues, les renseignements sur l’endroit où l’employé est parti en vacances, et d’autres détails sont inutiles.
  • Quant à votre serveur d’e-mails, utilisez une solution de sécurité qui détecte automatiquement les spams et les tentatives d’hameçonnage, et qui analyse simultanément les pièces jointes pour vérifier qu’il n’y ait pas de malware.