À l'ère du numérique, l'email est devenu l'élément vital de la communication pour les entreprises de toutes tailles, mais il représente également un défi important en matière de sécurité, surtout pour les petites entreprises. Alors que les cybermenaces ne cessent d'évoluer et de se perfectionner, il n'a jamais été aussi crucial de protéger les informations confidentielles et de garantir la confidentialité des échanges par email.
Ces dernières années, les cyberattaques visant les serveurs de messageries des entreprises ont considérablement augmenté. Ce constat n'est pas vraiment surprenant si l'on tient compte de la tendance mondiale du travail à distance observée au cours des dernières années. Cependant, alors que le travail à distance est désormais bien ancré, la plupart des spécialistes de la cybersécurité sont surpris de constater que de nombreuses structures (en particulier les petites entreprises, qui sont pourtant les plus vulnérables à ce type de cyberattaques) n'ont pas encore mis en œuvre les pratiques de cybersécurité fondamentales visant à protéger leurs systèmes contre la compromission de la messagerie en entreprise (ou BEC), et contre d'autres formes plus traditionnelles de cyberattaques axées sur les emails.
La compromission de la messagerie en entreprise (ou BEC) est un type sérieux de fraude et d'extorsion numérique, qui cherche à tirer parti de la vague quotidienne de communications par email entre les entreprises. Par le biais d'un processus complexe d'ingénierie sociale, les cybercriminels se font passer pour un employé ou un associé de confiance et convainquent des victimes appartenant à la même entreprise de transmettre des informations confidentielles ou de transférer des fonds vers un compte caché. Ces types de cyberattaques peuvent être plus ou moins graves, mais s'avèrent généralement très coûteuses pour l'entreprise ciblée. C'est pour cette raison que nous avons décidé de créer ce guide dédié aux bonnes pratiques, aux lignes directrices, aux protocoles et aux stratégies liés à la protection des messageries, spécialement conçu pour les petites entreprises (même si les informations données peuvent servir aux structures de toute taille). Il est temps de vous assurer que les emails de votre petite entreprise sont sécurisés et que toutes vos informations confidentielles sont à l'abri des observateurs indésirables.
Bonnes pratiques de protection des messageries pour les petites entreprises
Les bonnes pratiques en matière de protection des messageries pour les petites entreprises sont semblables à celles des grandes structures. Elles vous protègent contre les trois principaux types de cyberattaques par email, à savoir les escroqueries par phishing, les attaques de phishing ciblé et les factures frauduleuses. Commençons par les mesures de protection des messageries essentielles :
Les messageries professionnelles sont destinées aux entreprises
Bien que cela puisse vous paraître assez logique et évident, il n'est pas inutile de le rappeler. Le travail occupant une place importante dans la vie de tout un chacun, il peut être tentant d'utiliser votre adresse email professionnelle pour vous inscrire ou vous connecter à des services auxquels vos comptes personnels n'ont pas accès. Cependant, le fait d'utiliser votre adresse email d'entreprise pour vos activités personnelles en ligne peut permettre à un escroc d'établir plus facilement votre profil, ce qui pourrait conduire à une cyberattaque beaucoup plus ciblée. De même, si vous utilisez votre ordinateur personnel ou la connexion Wi-Fi de votre domicile, qui ne sont généralement pas aussi sécurisés que les machines dédiées ou la connexion d'entreprise utilisées sur votre lieu de travail, vous offrez aux pirates informatiques une meilleure chance de voler vos identifiants professionnels. Ce point nous amène d'ailleurs à notre deuxième bonne pratique.
N'utilisez pas votre messagerie professionnelle sur un réseau Wi-Fi public
Même si vous utilisez la machine dédiée de votre entreprise pour accéder à votre compte de messagerie professionnel, le Wi-Fi public constitue la porte d'entrée idéale pour que les pirates informatiques et les cybercriminels puissent s'infiltrer dans votre machine et voler vos données confidentielles. Lorsqu'il vous est impossible de ne pas utiliser une connexion publique, nous vous recommandons d'utiliser un VPN pour vous connecter à vos serveurs professionnels importants afin d'améliorer la sécurité globale de votre terminal. Un réseau privé virtuel (ou VPN) crée une sorte de tunnel privé et chiffré entre l'ordinateur à distance de l'utilisateur et les serveurs dédiés de l'entreprise. Il protège ainsi toutes les données que vous envoyez sur un réseau non sécurisé grâce à un chiffrement en temps réel. Pour en savoir plus sur les VPN et leur fonctionnement, consultez notre article « Qu'est-ce qu'un VPN ? ».
Mots de passe et phrases secrètes robustes
Lors d'une tentative de piratage d'un compte de messagerie professionnel, la première étape consiste à attaquer par force brute le compte et à essayer de deviner le mot de passe ou la phrase secrète. C'est pourquoi nous recommandons à tous les employés d'utiliser des mots de passe « forts » ou des phrases secrètes « fortes ». Un mot de passe est considéré comme « fort » lorsqu'il est suffisamment long (entre 12 et 14 caractères) et qu'il contient un mélange de caractères spéciaux, de chiffres, de lettres majuscules et de lettres minuscules. Les phrases secrètes « fortes » suivent à peu près les mêmes règles, à ceci près qu'elles doivent comporter entre 15 et 20 caractères et contenir si possible des lettres provenant d'autres langues.
Pour les mots de passe comme pour les phrases secrètes, la chose la plus importante à retenir est qu'ils ou elles doivent être uniques et ne servir que pour une seule application. Cela signifie que vous avez besoin d'un grand nombre de mots de passe ou de phrases secrètes, en fonction du nombre de systèmes que vous utilisez sur votre lieu de travail. Par conséquent, nous vous recommandons d'utiliser un gestionnaire de mots de passe ou un coffre-fort numérique de mots de passe fournissant également un générateur de mots de passe pour créer des mots de passe forts, afin de stocker tous vos mots de passe et toutes vos phrases secrètes uniques. Bien que les coffres-forts et les gestionnaires de mots de passe puissent être piratés, vos mots de passe resteront en sécurité parce qu'ils sont chiffrés. En effet, il est pratiquement impossible de déchiffrer un chiffrement conforme aux normes de l'industrie, comme le chiffrement AES 256 bits (Advanced Encryption Standard). Ainsi, même si un pirate informatique parvient à « pénétrer » dans le coffre-fort numérique, cela ne signifie pas qu'il peut exploiter vos données chiffrées.
Formation de sensibilisation à l'escroquerie par phishing et aux pièces jointes
L'un des moyens les plus simples de protéger votre entreprise consiste à investir dans une formation à la cybersécurité simple, s'adressant à tous vos employés. Si cette option n'est pas envisageable pour votre entreprise, nous vous recommandons de sensibiliser votre personnel aux dangers des escroqueries par phishing et des cyberattaques par pièce jointe, également connues sous le nom de pièces jointes malveillantes ou de contrebande HTML. Les principaux axes à suivre sont les suivants :
- Sensibiliser votre personnel aux escroqueries par phishing, comme les sites Internet frauduleux et les fenêtres de connexion qui recueillent les identifiants de connexion de l'utilisateur en imitant les fenêtres contextuelles courantes, comme la fenêtre de connexion de Microsoft Outlook.
- Faire connaître les principaux vecteurs de pièces jointes dans lesquels les programmes malveillants peuvent se cacher, comme les fichiers .docx, .html et .exe. Cela inclut également une forme récente et populaire de cyberattaques par email connue sous le nom de contrebande HTML.
- Avertir vos employés qu'ils ne doivent jamais cliquer sur un lien qui paraît suspect ou qui provient d'un expéditeur inconnu. Les liens malveillants constituent le moyen le plus facile pour les escrocs de mener à bien une cyberattaque contre vos employés et votre entreprise, généralement par le biais d'un site Internet de phishing.
Activer l'authentification à plusieurs facteurs
L'authentification à plusieurs facteurs est une méthode de sécurité qui devient de plus en plus populaire en raison de son efficacité. Parfois appelée MFA, authentification à deux facteurs ou 2FA, l'authentification à plusieurs facteurs offre aux comptes de messagerie professionnels plusieurs niveaux de contrôle de sécurité avant qu'un employé puisse avoir accès à ses messages. Il peut par exemple être question d'un mot de passe supplémentaire, d'un code provenant d'un SMS sécurisé, ou d'une réponse à une question de sécurité déterminée au préalable.
Ne pas oublier de se déconnecter
Encore une fois, cela peut vous sembler la chose la plus évidente à faire lorsque vous utilisez votre messagerie professionnelle, mais il est important de garder à l'esprit qu'un grand nombre d'attaques de cybersécurité est lié à d'anciens employés mécontents qui cherchent à nuire à l'entreprise de leur ancien employeur. La récupération du compte d'un autre employé et le fait de se faire passer pour lui représentent l'un des moyens les plus simples de commettre des actes de cybercriminalité sans se faire démasquer. Pour éviter que vous-même ou vos employés ne deveniez involontairement des suspects, veillez à ce que tous les employés de votre entreprise pensent à se déconnecter après chaque session et se souviennent de ne jamais partager leurs identifiants de connexion avec d'autres employés.
Systèmes d'analyse et de protection des emails
Face à la complexité croissante des menaces d'ingénierie sociale et des cyberattaques liées aux emails, un système dédié d'analyse et de protection des emails constitue la meilleure défense contre les pièces jointes malveillantes et les cyberattaques par script intégré. Nous recommandons d'utiliser une solution antivirus automatisée qui inclut le machine learning et l'analyse statique du code, afin de pouvoir déterminer le contenu réel d'un email et pas seulement le type de fichier joint. Pour une solution de cybersécurité en ligne avancée, nous recommandons Kaspersky Security for Microsoft Office 365. Ce système primé, destiné à la fois aux entreprises et aux particuliers, comprend une assistance à distance et un support disponibles 24 heures sur 24, 7 jours sur 7.
Protocoles et normes de protection des emails
L'un des principaux moyens de protéger le système de messagerie électronique de votre entreprise consiste à mettre en œuvre les protocoles de sécurité appropriés. Généralement considérés comme la première ligne de défense contre les cyberattaques liées aux emails, les protocoles d'emails sont conçus pour assurer la sécurité de vos communications lorsqu'elles transitent par les services de messagerie Web. En clair, les serveurs de messagerie transmettent les emails aux clients destinataires à l'aide de protocoles de messagerie. Les protocoles indiquent au serveur comment traiter et délivrer les messages. Les protocoles de sécurité vérifient et authentifient ce processus.
Il existe un certain nombre de protocoles différents qui peuvent être utilisés pour sécuriser votre messagerie professionnelle :
- SPF : permet aux propriétaires de domaine d'emails d'identifier et de vérifier qui est autorisé à utiliser leurs noms de domaine lors de l'envoi d'emails.
- DMARC : permet aux propriétaires de domaine d'être avertis et de réagir lorsqu'un message n'a pas été authentifié.
- SMTPS et STARTTLS : chiffrent les échanges d'emails entre les clients et les serveurs.
- DKIM : permet de lier l'utilisateur à une signature numérique à des fins d'authentification.
- S/MIME : définit comment chiffrer et authentifier les données formatées en MIME.
- OpenPGP : repose sur le système Pretty Good Privacy et constitue une norme de chiffrement et d'authentification pour les emails.
- Certificats numériques : permettent de vérifier les coordonnées de l'expéditeur via la possession d'une clé publique.
- SSL/TLS : n'est pas directement utilisé dans la protection des messageries, mais chiffre le trafic réseau entre les serveurs (y compris les messages provenant de messageries Web), car est utilisé pour le protocole HTTPS.
De nombreux fournisseurs de messagerie électronique utilisent le SPF, le DKIM et le DMARC (configurés via les enregistrements DNS) pour protéger la vie privée de leurs utilisateurs. Nous vous recommandons de mettre en œuvre ces trois protocoles au moins pour votre système de messagerie professionnel.
Stratégies, lignes directrices et conformité en matière de protection des emails
Les stratégies, les lignes directrices et la conformité en matière de protection des messageries définissent les normes et les règles relatives à l'utilisation des comptes de messagerie professionnels sur le lieu de travail. Chacun des points énumérés précédemment devrait représenter une part importante des stratégies de protection des messageries de votre entreprise. En outre, les lignes directrices devraient également inclure des règles portant sur :
- L'accès des utilisateurs et l'utilisation des appareils.
- Le traitement et le stockage des données.
- Le transfert, la suppression et la conservation des emails.
- L'étendue du champ d'application des stratégies, y compris concernant l'utilisation du réseau et du système.
- La conduite éthique et le comportement approprié.
- Le chiffrement des mots de passe et les autres outils de sécurité utilisés par les clients de la messagerie.
- Le matériel de formation à la cybersécurité concernant les programmes malveillants présents dans les emails et la manière de repérer les pièces jointes, les liens ou les messages frauduleux.
- La surveillance des emails et les pratiques d'enregistrement des employés mises en œuvre par votre entreprise.
- L'endroit où et la manière de signaler les programmes malveillants, les menaces ou les contenus illégaux reçus par email.
En bref, chaque structure, qu'il s'agisse d'une petite ou d'une grande entreprise, devrait disposer d'un modèle de conformité en matière de sécurité (SCN) qui expose et définit clairement les points mentionnés précédemment. Ces lignes directrices serviront de cadre juridique (applicable par le gouvernement national) qui garantira la confidentialité et la sécurité de l'ensemble du contenu des emails de l'entreprise. Ce point est d'autant plus important que les clients et les partenaires potentiels se méfient de plus en plus des entreprises qui ne respectent pas les règles en matière de communication numérique.
Dans le paysage numérique actuel, l'email est devenu indispensable pour les entreprises, petites comme grandes, mais il constitue également une cible de choix pour les cybercriminels. Le travail à distance étant de plus en plus répandu, le risque de cyberattaques liées aux emails augmente. Protégez aisément votre petite entreprise avec Kaspersky Small Business Security, spécialement conçu pour répondre aux besoins des petites entreprises.
Articles connexes :
- Que sont les gestionnaires de mots de passe et sont-ils sécurisés ?
- Comment chiffrer les emails dans Outlook, Gmail, iOS et Yahoo ?
- Comment stopper les spams – Trucs et astuces
- Emails de phishing : comment reconnaître et éviter les escroqueries de phishing par email ?
Produits recommandés :