Cybersécurité

Comment sécuriser votre email professionnel

12 min de lecture

Pourquoi votre email professionnel est plus critique que tous vos autres comptes ?

Votre email pro est l’« identité racine » de toute votre vie numérique : c’est par lui que passent les réinitialisations de mots de passe de tous vos autres comptes (banque, Wave, Facebook, AWS). Compromettre votre email = compromettre tout. Au Sénégal, le BEC (Business Email Compromise) coûte aux PME des dizaines de millions de FCFA chaque année — généralement via un faux mail du DG demandant un virement urgent. Configurer 2FA app + SPF/DKIM/DMARC + monitoring des règles de transfert prend 30 minutes et bloque 99 % des attaques.

Votre email professionnel : la cible N°1 des cyberattaques

91% des cyberattaques commencent par un email. Phishing, pièces jointes malveillantes, usurpation d’identité — votre messagerie professionnelle est le maillon faible de votre sécurité.

Attaques email les plus courantes

  • Phishing : faux emails imitant une banque, un fournisseur, un collègue
  • Spear phishing : phishing ciblé avec des informations personnelles
  • BEC (Business Email Compromise) : le « patron » demande un virement urgent
  • Pièces jointes malveillantes : fichiers .exe, .js, macros Office

Les 10 mesures de protection essentielles

1. Activer l’authentification à deux facteurs (2FA)

C’est la mesure la plus efficace. Même si votre mot de passe est volé, le 2FA bloque l’accès.

  • Gmail : Paramètres → Sécurité → Validation en 2 étapes
  • Outlook : account.microsoft.com → Sécurité → 2FA
  • Utilisez une app (Google Authenticator, Authy) plutôt que le SMS

2. Mot de passe robuste et unique

  • Minimum 14 caractères
  • Ne réutilisez JAMAIS le mot de passe email ailleurs
  • Utilisez un gestionnaire de mots de passe (Bitwarden, gratuit)

3. Configurer SPF, DKIM et DMARC

Ces 3 protocoles empêchent l’usurpation de votre domaine email.

Enregistrements DNS à ajouter :

SPF (qui peut envoyer en votre nom) :

v=spf1 include:_spf.google.com ~all

DMARC (politique d’authentification) :

v=DMARC1; p=quarantine; rua=mailto:dmarc@votresite.sn

4. Reconnaître le phishing

Signal d’alerte Exemple
Expéditeur suspect support@g00gle.com (zéros au lieu de « o »)
Urgence artificielle « Votre compte sera suspendu dans 24h »
Lien suspect Survolez sans cliquer : l’URL ne correspond pas
Demande inhabituelle « Envoyez vos identifiants » ou « faites un virement »
Fautes d’orthographe Emails officiels = rarement des fautes grossières

5. Chiffrer les emails sensibles

  • Gmail : mode confidentiel (expiration + code SMS)
  • Outlook : chiffrement S/MIME ou OME
  • ProtonMail : chiffrement de bout en bout par défaut

6-10 : Mesures complémentaires

  • 6. Ne jamais ouvrir de pièces jointes inattendues
  • 7. Utiliser un antispam professionnel
  • 8. Séparer email personnel et professionnel
  • 9. Former régulièrement les employés
  • 10. Avoir un plan de réponse en cas de compromission

Que faire si votre email est compromis

  1. Changez immédiatement le mot de passe
  2. Activez le 2FA si ce n’est pas déjà fait
  3. Vérifiez les règles de transfert (les pirates ajoutent souvent un transfert automatique)
  4. Vérifiez les appareils connectés et déconnectez les inconnus
  5. Prévenez vos contacts que votre compte a été compromis
  6. Scannez votre ordinateur avec un antimalware

Erreurs fréquentes (email pro)

1. SPF/DKIM/DMARC absents

Cause : votre domaine n’a aucun enregistrement DNS de protection email. Conséquence : n’importe qui peut envoyer un email avec From: dg@votresite.sn qui passe les filtres de la banque ou des fournisseurs.

Solution : SPF + DKIM + DMARC en mode progressive : p=none 30 jours pour observer, p=quarantine 30 jours, puis p=reject. Validez sur MXToolbox et mail-tester.com.

2. Règle de transfert silencieuse oubliée

Cause : attaque BEC classique : l’attaquant accède une fois au compte, configure une règle « forward all to externe@malicious.com », puis se déconnecte. Pendant des mois, il lit tous vos emails sans alerte.

Solution : auditez régulièrement (mensuel) les règles : Gmail > Paramètres > Filtres et adresses bloquées ; Outlook > Règles. Désactivez le forwarding automatique à des domaines externes au niveau organisation (Google Workspace Admin).

3. Email pro utilisé comme email perso

Cause : on utilise contact@votresite.sn pour s’inscrire à 50 newsletters, sites e-commerce, forums. Une fuite quelconque (n’importe lequel) expose votre email pro à des bots de phishing massif.

Solution : séparation stricte : email pro UNIQUEMENT pour le travail, email perso pour newsletters/inscriptions, alias SimpleLogin pour les sites peu fiables.

4. 2FA SMS au lieu de 2FA app

Cause : on active la 2FA mais via SMS — vulnérable au SIM swapping, particulièrement répandu au Sénégal.

Solution : 2FA via app (Google Authenticator, Authy, 2FAS) ou clé physique YubiKey pour les comptes admin/dirigeants. Désactivez le SMS comme méthode de récupération si possible.

5. Réponse à une demande de virement par mail sans callback voix

Cause : email « Bonjour, c’est le DG, fait un virement de 5M FCFA en urgence à ce nouveau RIB ». Le comptable obéit sans vérifier.

Solution : procédure stricte : tout virement > 500 000 FCFA + tout changement de RIB fournisseur impose un appel téléphonique de vérification sur le numéro connu du donneur d’ordre. Pas d’exception, jamais.

Exercice pratique

Sécurisez votre email en 15 minutes

  1. Activez le 2FA sur votre email professionnel
  2. Changez votre mot de passe pour un de 14+ caractères
  3. Vérifiez les sessions activés et déconnectez les inconnues
  4. Vérifiez qu’aucune règle de transfert suspecte n’existe
  5. Testez votre SPF/DKIM sur mail-tester.com

Pour approfondir

Vous cherchez un hébergement web sérieux et abordable ?

Hostinger offre des serveurs avec installation WordPress en un clic et un panel simple. Notre équipe l’utilise au quotidien.

Découvrir Hostinger →

Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.

Étape 1 — Auditer l’état actuel de votre messagerie professionnelle

Avant d’activer la moindre protection, dressez le portrait exact de votre messagerie. Connectez-vous à l’admin Microsoft 365 ou Google Workspace et notez : nombre de boîtes, fournisseur, version, comptes inactifs (anciens stagiaires, anciens prestataires), comptes partagés (commercial@, contact@), comptes administrateurs, présence ou absence de MFA. Pour une PME basée à Dakar ou Abidjan migrée à l’arrache pendant le COVID, on trouve typiquement 30 % de comptes inactifs et un seul administrateur sans MFA.

Vérifiez ensuite l’enregistrement DNS de votre domaine. Sur n’importe quelle ligne de commande, tapez dig TXT votreentreprise.sn +short. Si vous ne voyez ni SPF, ni DKIM, ni DMARC, votre domaine est trivialement usurpable, n’importe qui peut envoyer un faux message à vos clients en se faisant passer pour le directeur. Cette absence est la première brèche à colmater.

Étape 2 — Configurer un mot de passe fort et activer la MFA partout

Le mot de passe seul ne protège plus depuis 2017. Imposez la MFA sur 100 % des comptes, sans exception, en commençant par les administrateurs. Sur Microsoft 365, allez dans Microsoft Entra > Security > Conditional Access et créez une politique « Require MFA for all users ». Sur Google Workspace, Admin > Security > 2-Step Verification > Enforcement.

# Vérifier le statut MFA des utilisateurs Microsoft 365 (PowerShell)
Connect-MgGraph -Scopes "User.Read.All","UserAuthenticationMethod.Read.All"
Get-MgUser -All | ForEach-Object {
  $methods = Get-MgUserAuthenticationMethod -UserId $_.Id
  [PSCustomObject]@{ User = $_.UserPrincipalName; MfaCount = $methods.Count }
} | Where-Object { $_.MfaCount -le 1 }

L’output liste les utilisateurs sans méthode forte (seulement le mot de passe). Convoquez-les un par un pour enrôler Microsoft Authenticator ou une clé YubiKey. Pour les administrateurs, exigez deux méthodes (clé physique + Authenticator) afin de garantir l’accès en cas de perte de téléphone.

Étape 3 — Publier les enregistrements SPF, DKIM et DMARC

Ces trois enregistrements DNS authentifient les e-mails que vous envoyez et bloquent ceux qui usurpent votre nom de domaine. Sans eux, Gmail et Outlook classent vos messages légitimes en spam et acceptent les contrefaçons. Depuis février 2024, Google et Yahoo l’exigent pour tout expéditeur dépassant 5 000 messages par jour, mais l’effet bénéfique est immédiat même pour 50 messages.

# SPF : autoriser seulement Microsoft 365 à envoyer
votreentreprise.sn.  TXT  "v=spf1 include:spf.protection.outlook.com -all"

# DKIM : exposer la clé publique fournie par votre admin
selector1._domainkey  CNAME selector1-votreentreprise-sn._domainkey.votreentreprise.onmicrosoft.com

# DMARC : commencer en monitor, durcir ensuite
_dmarc.votreentreprise.sn.  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@votreentreprise.sn; pct=100"

Démarrez DMARC avec p=none pendant deux semaines pour collecter les rapports sans rien bloquer. Une fois certain qu’aucun service légitime (CRM, newsletter, paie) n’est cassé, basculez à p=quarantine puis p=reject. Vérifiez avec dig TXT _dmarc.votreentreprise.sn +short que la valeur est bien publiée.

Étape 4 — Activer le chiffrement TLS et la signature S/MIME pour les échanges sensibles

Le chiffrement en transit (TLS 1.3) est aujourd’hui activé par défaut entre Microsoft 365, Google Workspace et la plupart des opérateurs. Vérifiez-le sur checktls.com en saisissant une adresse de votre domaine. Pour les échanges contenant des bulletins de paie, contrats, données clients, ajoutez un chiffrement de bout en bout avec S/MIME ou PGP.

Sur Microsoft 365 Business Premium, S/MIME se déploie via l’admin Exchange en publiant un certificat par utilisateur. Sur Google Workspace, S/MIME requiert l’édition Enterprise (44 USD/utilisateur/mois soit ~28 800 FCFA, hors budget pour la plupart des PME). L’alternative pragmatique : utiliser Microsoft Purview Message Encryption (inclus dans Business Premium), qui envoie un lien sécurisé au destinataire avec authentification.

Étape 5 — Activer les filtres anti-phishing et anti-malware avancés

Microsoft Defender for Office 365 Plan 1 (inclus dans Business Premium) et Google Workspace Business Standard activent par défaut une première couche de filtrage. Pour bloquer les attaques de spear-phishing ciblées contre vos dirigeants, montez d’un cran : Defender Plan 2 ou Workspace Enterprise. Concrètement, ces niveaux ajoutent l’analyse en sandbox des pièces jointes (Safe Attachments), la réécriture des liens (Safe Links), et la détection d’imitation des dirigeants.

# Créer une politique anti-phishing ciblant le DG (Microsoft Defender)
# Admin > Email & collaboration > Policies > Anti-phishing > Create
# - Users to protect : ajouter le DG et le DAF
# - Domain to protect : votreentreprise.sn
# - Action si imitation détectée : Quarantaine + alerte admin

Validez en envoyant depuis un compte externe un mail dont le nom d’affichage imite le DG (« Moussa Diop <attacker@gmail.com> »). Le message doit être quarantiné et l’administrateur recevoir une notification. Si le message arrive en boîte, la politique n’a pas pris effet, attendez 30 minutes et retestez.

Étape 6 — Former les utilisateurs aux signaux d’un mail piégé

La technique la plus rentable n’est pas un nouveau filtre, c’est un utilisateur qui reconnaît un mail suspect en cinq secondes. Organisez une session pratique d’une heure par groupe de huit, avec exemples réels anonymisés tirés de votre boîte spam : faux ordre de virement (BEC), faux SMS Mixx by Yas demandant un code, fausse facture Wave en pièce jointe, faux message LinkedIn « votre compte a été compromis ».

Les six signaux à graver : expéditeur dont le domaine ne correspond pas (passer la souris dessus), urgence inhabituelle (« réponds dans l’heure »), demande de confidentialité (« n’en parle à personne »), pièce jointe inattendue, lien qui ne correspond pas au texte affiché (passer la souris), demande de modification de RIB. Tout mail combinant deux de ces signaux est suspect par défaut, et doit être signalé via le bouton « Signaler hameçonnage » de la barre Outlook ou Gmail.

Étape 7 — Surveiller les connexions inhabituelles et les transferts automatiques

Quand un attaquant compromet une boîte mail, son premier geste est souvent de configurer une règle de transfert automatique vers une boîte externe pour exfiltrer la correspondance. Surveillez ces deux signaux faibles. Sur Microsoft 365 Defender, activez l’alerte « Suspicious inbox forwarding » qui notifie l’admin dès qu’un utilisateur configure un forward vers un domaine externe.

# Lister les règles de transfert externes (PowerShell Exchange Online)
Connect-ExchangeOnline
Get-Mailbox -ResultSize Unlimited | ForEach-Object {
  Get-InboxRule -Mailbox $_.Identity | Where-Object {
    $_.ForwardTo -or $_.ForwardAsAttachmentTo -or $_.RedirectTo
  } | Select-Object MailboxOwnerId, Name, ForwardTo, RedirectTo
}

Si l’output révèle des règles que les utilisateurs ne reconnaissent pas, considérez le compte comme compromis : forcez la déconnexion globale, réinitialisez le mot de passe, révoquez les sessions OAuth, supprimez les règles, scannez le poste. Ce contrôle mensuel est l’un des plus rentables de l’hygiène messagerie.

Étape 8 — Mettre en place un plan de sauvegarde et de réponse à incident

Microsoft 365 et Google Workspace ne sont pas des outils de sauvegarde. Si un attaquant supprime trois mois d’e-mails, ils sont réellement perdus passé la rétention native (30 jours pour la corbeille standard). Souscrivez à une solution tierce comme Veeam Backup for Microsoft 365, Datto SaaS Protection ou Synology Active Backup, qui sauvegarde quotidiennement boîtes mail, OneDrive, Teams, SharePoint vers un stockage indépendant.

Documentez parallèlement un plan d’incident d’une page : qui appeler en premier (admin IT, DG), comment isoler un compte (révoquer les sessions, forcer changement mot de passe), comment communiquer aux clients si exfiltration confirmée, comment notifier l’autorité de protection des données dans les 72 heures comme l’exige la loi sénégalaise 2008-12 ou son équivalent ivoirien (loi 2013-450). Conservez ce plan en version papier dans un classeur accessible. Pour explorer plus loin, lisez nos guides configurer SPF, DKIM et DMARC sur Microsoft 365 et sauvegarder Microsoft 365 avec Veeam.

#chiffrement #email #sécurité
Service ITSkillsCenter

Application mobile Android et iOS

Création d'application mobile Android et iOS. À partir de 350 000 FCFA.

Démarrer mon projet
Publicité

Articles Similaires