L’objectif de cet article est de vous fournir quelques bonnes pratiques faciles à adopter en matière de sécurité de la messagerie électronique. Elles vous permettront d’améliorer grandement la posture de sécurité de votre organisation.
L’email est le vecteur d’attaques cybercriminelles le plus courant !
N’importe quel système de messagerie professionnelle risque d’êtes attaqué par les pirates informatiques un jour où l’autre. Des mesures de sécurité doivent donc être mises en place. Pour les entreprises, la meilleure solution de sécurisation des emails consiste à supprimer complètement leur compte de messagerie. Seulement, elles comptent sur la messagerie courrier électronique pour communiquer avec leurs clients, partenaires et fournisseurs. Ce n’est tout simplement pas la meilleure option.
Non seulement la messagerie électronique facilite la communication entre les personnes qui contribuent au bon fonctionnement d’une entreprise, mais elle permet également aux cybercriminels de communiquer facilement avec les employés et de mener des attaques de phishing, de répandre des malwares, etc.
La sécurité des emails est donc essentielle, mais il n’existe pas de solution unique pour protéger ce canal de communication. Une solution de filtrage du spam empêchera par exemple la majorité des spams et des emails malveillants d’atteindre les boîtes de réception des utilisateurs finaux. Pourtant, quel que soit le filtre anti-spam que vous implémentez, il ne pourra pas bloquer 100 % des emails indésirables.
La clé d’une sécurité robuste de la messagerie électronique est basée sur les défenses à plusieurs niveaux. Dans ce cas, si une mesure défensive échoue, d’autres mesures de protection peuvent prendre le relai.
Besoin d’une solution fiable qui combine les mesures de protection technique, physique et administrative pour sécuriser votre système de messagerie électronique ? Même s’il n’existe pas d’approche universelle pour sécuriser la messagerie électronique, nous pouvons proposer quelques pratiques exemplaires en matière de sécurité des emails. Vous pouvez les adopter pour améliorer votre dispositif de sécurité et pour rendre la tâche beaucoup plus difficile aux cybercriminels.
Bonnes pratiques en matière de sécurité des emails à mettre en œuvre immédiatement
Les cybercriminels tenteront d’envoyer des malwares et des ransomwares via la messagerie électronique. Des tactiques de phishing seront également utilisées pour voler des renseignements de nature délicate comme les identifiants de connexion.
Vous trouverez ci-dessous 8 pratiques exemplaires en matière de sécurisation des emails. Si vous n’avez pas encore mis en œuvre l’un ou l’autre de ces conseils, ou si vous ne l’avez fait que partiellement, le moment est venu d’apporter certains changements.
Élaborez un plan de cybersécurité pour votre entreprise
Nous avons choisi ce thème comme première pratique exemplaire parce qu’elle est très importante. Il est essentiel pour vous d’élaborer un plan de cybersécurité complet pour l’ensemble de votre organisation, car toutes les menaces n’arrivent pas via l’email. Les attaques viennent de tous les angles et l’amélioration de la sécurité de la messagerie électronique n’est qu’une des mesures que vous devez prendre pour améliorer votre posture globale de cybersécurité.
Il existe de nombreuses ressources qui peuvent vous aider à élaborer un plan de cybersécurité, en abordant tous les risques cybernétiques. La Commission fédérale des communications a par exemple mis au point un cyberplanificateur dans le but d’aider les entreprises à créer un plan de cybersécurité personnalisé. L’Agence de cybersécurité et de sécurité de l’infrastructure (CISA) du Département de la sécurité intérieure Américain vient également de publier un Cyber guide essentiel pour les petites entreprises et les gouvernements. En France, il existe aussi plusieurs ressources que vous pouvez utiliser lorsque vous voulez élaborer un plan de cybersécurité efficace, alors utilisez-les.
Implémentez une solution avancée de filtrage des spams
Un filtre anti-spam sert de membrane semi-perméable empêchant les messages malveillants d’arriver dans les boîtes de réception de leurs destinataires et laissant passer les messages authentiques sans entrave. Il s’agit de l’une des mesures de sécurité les plus importantes que vous devriez mettre en œuvre pour vous protéger contre les menaces par email et les spams qui peuvent perturber la productivité de vos employés.
Si vous utilisez Office 365, vous bénéficiez déjà d’une certaine protection, car il comprend un filtre anti-spam et un logiciel antivirus. Pourtant, cette solution ne vous protège pas contre les attaques de phishing et ne bloque pas les menaces de malwares du type zero day. Autrement dit, il vous faut une solution de sécurité à plusieurs niveaux pour mieux sécuriser vos emails. Selon les recherches d’Avanan, 25 % des emails de phishing contournent les défenses d’Office 365. Le mieux serait de mettre en place un filtre anti-spam tiers, en plus de cette couche de sécurité.
Il existe de nombreux services de filtrage du spam, mais SpamTitan est le meilleur choix pour les PME, notamment si vous voulez bénéficier d’une protection complète contre les menaces connues et les attaques du type zero day. De plus, cette solution est très facile à mettre en œuvre et à utiliser, pour un prix très accessible.
Assurez-vous que votre solution antivirus analyse les emails entrants
Vous aurez sans doute un logiciel antivirus en place, mais savez-vous qu’il scanne les emails entrants ? La messagerie électronique est l’un des principaux moyens de transmission de malwares. Il est donc évident de mettre en place un logiciel antivirus pour ce canal de contact. Cela ne signifie pas nécessairement que vous avez besoin d’une solution antivirus différente. Votre solution existante peut avoir cette fonctionnalité.
En effet, votre filtre anti-spam est susceptible d’inclure une protection antivirus. Par exemple, SpamTitan intègre deux moteurs antivirus pour une meilleure protection et un bac à sable où les pièces jointes sont analysées pour détecter les actions malveillantes. Le bac à sable permet de détecter et bloquer les malwares du type zero day, les nouvelles variantes inédites de malwares dont les signatures n’ont pas encore été intégrées dans les moteurs antivirus.
Créez et appliquez des politiques de mots de passe
Une autre pratique exemplaire évidente en matière de sécurité des emails consiste à créer une politique de mots de passe qui exige que des mots de passe forts soient définis. Il ne sert à rien de créer une politique de mots de passe si elle n’est pas appliquée.
Assurez-vous donc d’adopter une mesure de contrôle pour éviter que des mots de passe faibles du genre « 123456 » ne soient définis. Bien entendu, ils sont faciles à retenir, mais ils sont aussi faciles à deviner. N’oubliez pas que les cybercriminels sont pas assis devant leur ordinateur pour deviner un seul mot de passe. Ils font appel à des outils d’automatisation qui leur permettent de deviner des milliers de mots de passe par minute.
Il est recommandé d’exiger un mot de passe d’au moins 8 caractères, avec une combinaison de lettres majuscules et minuscules, de chiffres et de symboles, puis de bloquer l’utilisation des mots du dictionnaire. Encouragez l’utilisation de longues phrases de passe, car elles sont plus faciles à retenir pour les employés.
Vous pouvez aussi consulter les conseils du National Institute of Science and Technology (NIST) sur les pratiques en matière de mots de passe sécurisés si vous n’êtes pas certain de la création de votre politique de mots de passe.
Sinon, assurez-vous que la limitation du débit est appliquée pour empêcher une adresse IP de se connecter après un certain nombre d’échecs de tentatives de connexion.
Mettre en œuvre le protocole DMARC pour mettre fin aux attaques d’usurpation d’identité et de domaine via les emails
DMARC, ou « Domain-based Message Authentication, Reporting & Conformance », est un protocole de messagerie qui utilise « Sender Policy Framework – SPF » et « DomainKeys Identified Mail – DKIM » pour déterminer si un email est authentique.
En créant un enregistrement DMARC, vous empêchez les personnes non autorisées d’envoyer des messages depuis votre nom domaine. DMARC vous permet également de savoir qui envoie des messages à partir de votre domaine, et vous permet de définir une politique pour déterminer ce qui arrive aux messages qui ne sont pas authentiques. Vous pouvez par exemple les mettre en quarantaine ou les rejeter si vous vous doutez de leur fiabilité.
Non seulement le protocole DMARC vous aide à bloquer les attaques d’usurpation d’identité via les emails, mais il prévient également les abus d’utilisation de votre domaine. Votre enregistrement DMARC indique aux serveurs de réception de messages électroniques de ne pas accepter les messages envoyés par des utilisateurs authentifiés, ce qui contribue à protéger votre organisation.
À noter que certaines solutions de sécurité de la messagerie électronique, comme SpamTitan, intègrent l’authentification DMARC.
Mettre en œuvre l’authentification multi-facteurs
L’authentification multi-facteurs est une autre couche de sécurité que vous pouvez ajouter à vos défenses anti-phishing.
Comme son nom l’indique, l’authentification multifactorielle signifie que plus d’une méthode est utilisée pour authentifier un utilisateur. Le premier facteur est généralement un mot de passe. Un deuxième facteur est aussi nécessaire, tel qu’un appel téléphonique, l’envoi d’un code PIN unique ou l’attribution d’un jeton sur un appareil de confiance de l’utilisateur.
Cette solution est vitale, car lors d’une attaque de phishing, le fait d’avoir un mot de passe uniquement n’autorisera pas le pirate d’accéder à un compte de messagerie sans qu’un facteur supplémentaire ne lui soit fourni. La combinaison d’un mot de passe, d’un jeton et d’un code PIN unique est une bonne alternative.
Formez vos employés et formez-les à nouveau
Peu importe le niveau de technicité de vos employés, supposez toujours qu’ils ne connaissent rien en matière de cybersécurité. Ils ne s’en tiendront certainement pas systématiquement aux pratiques exemplaires en matière de sécurité des emails, à moins que vous ne leur donniez une formation à cet effet et que vous ne leur fassiez comprendre le message.
Avant de permettre à tout employé d’avoir accès à la messagerie électronique, vous devriez lui donner une formation de sensibilisation à la sécurité. Votre formation devrait couvrir les meilleures pratiques en matière de sécurité des emails. Entre autres, vous devez lui faire comprendre qu’il ne doit jamais ouvrir les pièces jointes provenant d’un expéditeur inconnu. Il ne doit non plus activer le contenu d’un document à moins que celui-ci n’ait été vérifié comme légitime, ou bien cliquer sur des hyperliens dans les emails. De même, il ne devrait pas envoyer des renseignements très sensibles comme les mots de passe via l’email.
Il est crucial de former vos employés à reconnaître les emails de phishing et bien d’autres messages malveillants, tout en leur disant quoi faire lorsqu’ils reçoivent des emails suspects.
Bref, toute personne ayant accès au à la messagerie électronique ou à un ordinateur doit recevoir une formation de sensibilisation à la sécurité, du chef de la direction jusqu’aux employés.
Une seule séance de formation par an n’est pas suffisante. Vous devriez en offrir régulièrement, envoyer des bulletins d’information sur la cybersécurité pour mettre en garde vos employés contre les dernières menaces et utiliser d’autres outils pour créer une meilleure culture de sécurité dans votre organisation.
Effectuer des exercices de simulation de sensibilisation au phishing
Vous avez donné de la formation à vos employés, mais comment savoir si elle a été efficace ? La seule façon de le savoir est d’effectuer des tests, et le moyen le plus facile pour ce faire est de réaliser des exercices de simulation de phishing.
Le principe consiste à envoyer de faux emails de phishing aux employés au moment où ils ne s’y attendent pas à en recevoir un. Vous serez peut-être surpris du nombre d’employés qui répondent et divulguent des renseignements de nature délicate, ou qui ouvrent des pièces jointes ou cliquent sur des liens dans les faux emails de phishing.
Le but de ces emails est d’identifier les personnes qui n’ont pas bien compris ou qui ont oublié les choses que vous les avez appris lors des séances de formation. Pourtant, l’idée n’est pas de punir ces employés, mais de savoir lesquels de vos employés ont encore besoin d’une formation complémentaire.
Plusieurs entreprises peuvent vous aider à concevoir ce genre de tests. Certains offrent même des faux emails de simulation de phishing gratuits pour les PME.
TitanHQ est là pour vous aider !
La solution SpamTitan de TitanHQ a été conçue pour être facile à mettre en œuvre, à utiliser et à maintenir par les PME. Son déploiement ne nécessite aucun matériel, aucun logiciel, et tout le filtrage se fait dans le cloud.
Non seulement SpamTitan offre une excellente protection contre un très grand nombre de menaces basées sur la messagerie électronique, mais c’est aussi l’une des solutions les moins coûteuses pour les PME.
Appelez l’équipe du TitanHQ dès aujourd’hui pour plus d’informations sur SpamTitan et pour savoir comment vous pouvez protéger votre entreprise contre les menaces basées sur le web. Nous nous ferons un plaisir de répondre à vos exigences de conformité pour les emails.