SecureMail: Voici comment les PME améliorent la sécurité des e-mails

Les e-mails rythment notre quotidien. Peu importe que nous soyons assis au bureau toute la journée ou que nous soyons en déplacement du matin au soir: Les e-mails sont le principal canal de communication pour la plupart des PME. Et c’est précisément pour cette raison qu'ils constituent une cible privilégiée pour les cyberattaques. Comment les PME peuvent-elles se protéger efficacement?
Une femme et un homme regardent ensemble un ordinateur portable

L’Office fédéral de la cybersécurité OFCS fait état chaque semaine d’attaques de phishing par e-mail, de rançongiciels diffusés par e-mail ou de spams qui, dans le meilleur des cas, ne font qu’encombrer les messageries électroniques. Les petites et moyennes entreprises sont des cibles de choix pour les cybercriminels. D’une part parce qu’elles sont généralement moins bien protégées que les grandes entreprises, d’autre part parce qu’elles n’ont pas en interne le savoir-faire nécessaire en matière de cybersécurité. C’est pourquoi la sécurité des e-mails est le talon d’Achille du dispositif de sécurité de nombreuses PME en Suisse. Ce n’est pas une fatalité: Les PME peuvent protéger efficacement leur communication par e-mail critique pour l’entreprise et donc leurs données sensibles en prenant quelques mesures.

Comprendre la menace: Voici comment les cybercriminels attaquent

Pour de nombreuses entreprises, les e-mails sont le principal canal de communication. C’est pourquoi les cybercriminels préfèrent utiliser la messagerie électronique pour s’introduire dans un système informatique et y causer des dommages. Les scénarios de menaces les plus fréquents:

  • Phishing: Dans le cadre de cette escroquerie, les cybercriminels envoient de faux e-mails pour inciter les destinataires à divulguer des informations confidentielles telles que des mots de passe ou des données de carte de crédit. Les e-mails sont souvent plus vrais que nature et semblent provenir d’un expéditeur digne de confiance. Lisez ici comment vous protéger contre le phishing.
  • Logiciels malveillants: Les cybercriminels envoient des logiciels malveillants par e-mail. Un clic sur une pièce jointe ou un lien leur suffit alors pour accéder au système, le verrouiller ou effacer, voler et vendre des données. Souvent, ils demandent une rançon pour débloquer le système ou les données. Lisez ici comment vous protéger contre les rançongiciels.
  • Spam: Avec les courriers indésirables, les cybercriminels inondent et bloquent les messageries électroniques, ce qui nuit à la productivité des destinataires. Souvent, les e-mails de masse sont des tentatives de phishing ou contiennent des logiciels malveillants. C’est pourquoi le spam constitue un risque pour la sécurité des e-mails.
  • Fraude: Les cybercriminels envoient des e-mails contenant des factures fausses ou manipulées. Dans le cas d’une fraude avec manipulation de factures, ils envoient par exemple une ancienne facture avec un nouveau numéro IBAN ou demandent de virer l’argent sur un autre compte à l'avenir. Ils utilisent des astuces d’ingénierie sociale et se réfèrent par exemple à la communication par e-mail existante.

Les conséquences – des fuites de données aux pertes financières, en passant par les chutes de production et les atteintes à la réputation – peuvent menacer l’existence même des entreprises. Quelle que soit leur taille. Lisez ici comment vous protéger contre les attaques de pirates informatiques.

Sécurité des e-mails: mesures de protection techniques

Les mesures de protection techniques sont un élément important d’une stratégie de sécurité globale. Grâce à ces mesures, les PME protègent efficacement leurs comptes de messagerie et donc leurs données:

  • Mots de passe: Des mots de passe forts constituent la première ligne de défense dans le dispositif de sécurité et protègent contre l’accès non autorisé au compte de messagerie. Un mot de passe sûr doit comporter au moins 12 caractères, être varié (lettres majuscules et minuscules, chiffres et caractères spéciaux), aléatoire, unique et individuel. Testez ici la sécurité de votre mot de passe.
  • 2FA (ou MFA): L’authentification à deux facteurs constitue un niveau de sécurité supplémentaire. Pour consulter les e-mails, le deuxième facteur est nécessaire en plus du mot de passe, par exemple un code de sécurité sur le smartphone. Les cybercriminels ont ainsi beaucoup plus de mal à y accéder. Lisez ici comment protéger votre réseau et vos données avec 2FA et MFA.
  • Cryptage: Les e-mails cryptés avec PGP (Pretty Good Privacy) ou S/MIME, par exemple, ne peuvent être ouverts et lus que par le bon destinataire. Il existe également des services conviviaux comme SEPPmail, développé en Suisse et en Allemagne et conforme au RGPD.
  • Format sécurisé: Envoyez et recevez des e-mails exclusivement dans des formats sécurisés et évitez par exemple les e-mails HTML. En effet, les cybercriminels aiment cacher des liens malveillants ou des codes malveillants exécutables dans le code HTML.
  • Affichage des images: Les contenus externes tels que les images dans les e-mails HTML peuvent charger et exécuter automatiquement le code malveillant. Désactivez donc l’affichage des contenus externes dans votre programme de messagerie.

Sécurité des e-mails: sensibiliser et former les collaborateurs

L’être humain est souvent le maillon le plus faible du dispositif de sécurité. C’est pourquoi la sensibilisation et la formation des collaborateurs sont au moins aussi importantes que les mesures de protection techniques. Des collaborateurs bien informés minimisent considérablement les risques de cyberattaques. Ils doivent donc être régulièrement formés à la reconnaissance des e-mails frauduleux, à l’identification des messages suspects et à la réaction appropriée pour éviter tout dommage. Thèmes de formation possibles:

  • Factures falsifiées: Les collaborateurs apprennent à reconnaître les factures falsifiées et évitent de se faire avoir par des demandes de paiement frauduleuses.
  • Fraude au CEO: Les collaborateurs apprennent comment procèdent les escrocs qui se font passer pour le CEO par exemple, comment reconnaître ces tentatives de fraude et comment les signaler au mieux.
  • E-mails de phishing: Les collaborateurs apprennent à reconnaître les e-mails de phishing et sont sensibilisés aux caractéristiques particulières de ce type d’attaque.
  • Pièces jointes et liens: Les collaborateurs apprennent à gérer en toute sécurité les pièces jointes ou les liens dans les e-mails dans le cadre de leur travail et à minimiser ainsi le risque d’infection par des logiciels malveillants.
  • Protection des données: Les collaborateurs apprennent comment les données à caractère personnel doivent être traitées, stockées et protégées conformément à la loi fédérale sur la protection des données et au règlement général sur la protection des données de l’Union européenne, afin qu’elles ne tombent pas entre de mauvaises mains.

Conseil

Zurich propose aux entreprises des formations de sensibilisation. Cinq modules d’e-learning et une simulation de phishing permettent de sensibiliser les collaborateurs aux cyber-risques. Ils apprennent notamment à reconnaître les e-mails frauduleux et peuvent renforcer la sécurité des e-mails au sein de l’entreprise. Le cours est gratuit pour les entreprises détenant une cyberassurance «Basic», «Optimum» ou «Premium» pour un maximum de 100 collaborateurs.

Sécurité des e-mails = mesures techniques + sensibilisation + formation

Le tout est plus que la somme de ses parties. Les mesures isolées sont efficaces, mais elles ne déploient tout leur potentiel que lorsqu'elles sont combinées. En prenant les bonnes mesures, même les petites et moyennes entreprises peuvent améliorer la sécurité de leur messagerie à un coût relativement faible. Il suffit par exemple d’utiliser des mots de passe forts et l’authentification à deux facteurs pour les comptes de messagerie, de crypter les e-mails, de se limiter aux formats sécurisés et de sensibiliser et former régulièrement ses collaborateurs. En outre, les PME devraient également mettre en place des politiques de protection des données et surveiller en permanence leurs systèmes pour détecter toute activité suspecte.

Calculez maintenant combien le coût d’une cyberassurance pour votre entreprise est faible, ou prenez rendez-vous pour un conseil. Nos experts vous recommandent des solutions de sécurité sur mesure pour votre entreprise.

Cyberassurance pour les PME en Suisse
Régulièrement, les médias font état de cyberattaques. Ce que nous lisons ou entendons n’est que la partie émergée de l’iceberg. Les petites et moyennes entreprises sont particulièrement exposées car elles sont considérées comme des victimes faciles. C’est pourquoi elles doivent se préparer aux cyberattaques et se protéger contre les risques financiers.

FAQ: Questions techniques sur la sécurité des e-mails pour les PME

Quelle est la différence entre l’e-mail dans le cloud et un serveur de messagerie électronique local?

E-mail dans le cloud

  • Avantages: Les services d’e-mail dans le cloud sont évolutifs, offrent des mises à jour automatiques et des correctifs de sécurité réguliers. Ils sont souvent plus rentables et offrent une haute disponibilité ainsi qu’une redondance. Chez de nombreux fournisseurs, il n’est pas non plus nécessaire de s’occuper soi-même des sauvegardes ou de l’archivage des e-mails.
  • Inconvénients: Dépendance à l’égard de fournisseurs tiers et/ou des connexions Internet. Il peut y avoir des craintes en matière de protection des données, car les données sont stockées en dehors du contrôle de l’utilisateur.
  • Sécurité: Les fournisseurs de cloud mettent souvent en œuvre des mesures de sécurité et des filtres de messagerie solides pour détecter les e-mails malveillants. Il est néanmoins important de vérifier les politiques de confidentialité et les pratiques de sécurité.

Serveur de messagerie électronique local

  • Avantages: Un contrôle total des données et de l’infrastructure de sécurité et de meilleures possibilités d’adaptation aux besoins spécifiques de l’entreprise.
  • Inconvénients: Coûts plus élevés et plus de travail pour la maintenance et l’exploitation. Des ressources informatiques propres et des connaissances spécialisées sont nécessaires.
  • Sécurité: Une maintenance régulière, des mises à jour de sécurité ainsi que des sauvegardes pour s’assurer que les systèmes sont protégés contre les menaces. En outre, il convient d’installer une solution de sécurité pour la messagerie qui analyse les e-mails entrants à la recherche de menaces.

Quelles sont les méthodes de cryptage les plus sûres?

  • PGP (Pretty Good Privacy) offre un cryptage fort de bout en bout pour les e-mails.
  • S/MIME (Secure Multipurpose Internet Mail Extensions) utilise des certificats numériques pour crypter et signer les e-mails.
  • SEPPmail est un service de cryptage convivial pour une communication par e-mail sécurisée.

Comment reconnaître les e-mails externes?

Les e-mails externes peuvent être identifiés par des mentions spécifiques dans l’objet, telles que «Externe». Des mécanismes tels que SPF (Sender Policy Framework) permettent de vérifier l’authenticité de l’expéditeur et de réduire le risque de phishing.

Comment reconnaître les comptes de messagerie piratés et comment réagir?

Vous identifiez souvent les comptes de messagerie piratés au fait que vous recevez des e-mails inhabituels ou suspects d’expéditeurs connus. Méfiez-vous d’un style d’écriture inhabituel, de pièces jointes et de liens inhabituels ou d’heures d’envoi en dehors des heures de bureau habituelles. En cas de doute, il vaut mieux appeler l’expéditeur (présumé), même si c’est pour rien, afin de vérifier l’authenticité du message.

Que sont les signatures numériques et en quoi sont-elles utiles?

Les signatures numériques utilisent l’infrastructure Public Key (PKI) et le Domain Keys Identified Mail (DKIM) pour garantir l’authenticité et l’intégrité des e-mails. Elles garantissent qu’un e-mail provient effectivement de l’expéditeur indiqué et qu’il n’a pas été modifié pendant la transmission.

Comment sécuriser un serveur de messagerie local?

Si vous utilisez un serveur de messagerie local tel que Microsoft Exchange, assurez-vous que tous les correctifs et mises à jour sont régulièrement installés. Utilisez une zone démilitarisée (DMZ) pour la segmentation sécurisée du réseau et limitez les droits d’administrateur. Planifiez en outre des sauvegardes régulières. Les serveurs de messagerie locaux ne disposent souvent pas de mécanismes de protection suffisamment fiables contre le phishing, le spam ou les logiciels malveillants. C’est pourquoi il est judicieux d’implémenter en complément un logiciel de sécurité spécialisé qui contrôle de manière exhaustive les e-mails entrants et détecte à temps les menaces potentielles. Demandez à votre fournisseur externalisé ou de services gérés quelle solution de messagerie il exploite et héberge et comment il la protège efficacement.

Qu’st-ce que l’archivage conforme à la législation?

Un archivage conforme à la législation exige un stockage sûr et traçable des e-mails et des données conformément aux exigences légales. Il s’agit notamment de respecter les délais de conservation et les politiques de protection des données et de veiller à ce que les données puissent être récupérées intégralement et sans modification en cas de besoin. Lisez à ce sujet la réponse à la question «Existe-t-il une stratégie de sauvegarde des e-mails pertinente pour les PME?» ci-dessous.

Comment une PME peut-elle envoyer de grandes quantités de données en toute sécurité?

Ces services ou mesures permettent d’envoyer de grandes quantités de données en toute sécurité:

  • Les services de messagerie électronique comme ProtonMail ou SEPPmail permettent d’envoyer et de recevoir des e-mails (avec ou sans pièces jointes) de manière sécurisée et cryptée.
  • Les services de transfert de données comme WeTransfer Ultimate transfèrent les fichiers de manière cryptée et protégée par un mot de passe.
  • Les services de stockage dans le cloud comme Dropbox Business, Google Drive ou Microsoft 365 partagent des fichiers de manière cryptée et avec une authentification à deux facteurs.
  • Les protocoles de transfert de fichiers comme le Secure File Transfer Protocol (SFTP) transfèrent les données de manière cryptée.

Existe-t-il une stratégie de sauvegarde des e-mails pertinente pour les PME?

Pour éviter la perte de données et assurer la continuité de l’activité, il est essentiel de procéder à des sauvegardes régulières. Voici quelques stratégies qui ont fait leurs preuves:

  • Sauvegardes régulières: Faites des sauvegardes quotidiennes ou hebdomadaires de tous vos e-mails et stockez-les dans un endroit sûr.
  • Emplacements redondants: Enregistrez les sauvegardes à plusieurs endroits (physiquement ou dans le cloud) pour vous assurer que les données sont disponibles même en cas de panne du site.
  • Solutions de sauvegarde automatisées: Utilisez des solutions logicielles qui effectuent des sauvegardes automatiques et vérifient l’intégrité des sauvegardes.

Lisez ici ce que vous devez savoir sur les concepts de sauvegarde et la protection des données pour les entreprises.