Si vous voulez que votre entreprise soit attaquée par un malware, que votre directeur général se fasse cyber-escroquer ou encore que votre département recherche soit l’objet de l’espionnage de vos concurrents, choisissez donc une messagerie sans anti-spams, sans possibilité de chiffrement de message et non hébergée en France ou en Europe. C’est un bon début.
Vous affinerez plus tard vos choix en permettant, par exemple, à vos employés de fournir leur adresse e-mail professionnelle pour recevoir des avis de passage de livraison de colis chez eux, et cela afin que quantité de spams viennent leur demander de remplir un formulaire en scannant un QR code pour finaliser une commande, car l’adresse de livraison était censée être manquante… Très, très bonne idée de mélanger professionnel et personnel, vous êtes décidément ingénieux. Ces pratiques coûteront à votre PME ou ETI environ 665 000 euros quand elle se fera attaquer par e-mail – très rapidement – selonune étude de Barracuda. Félicitations, vous avez gagné le gros lot !
Pour Hélène Madar, directrice générale banque de proximité et assurance Banque Populaire et Caisse d’Épargne, c’était une évidence : « Face aux défis cyber auxquels sont confrontés nos clients en termes de protection de leurs données et de leurs activités, il était important d’accompagner et d’encourager tous nos clients professionnels et entreprises à se saisir du risque cyber. » Le groupe BPCE vient en effet de signer un partenariat au mois d’octobre avec Mailinblack, une société française qui édite une messagerie du même nom, afin de proposer ses solutions – messagerie et sensibilisation à ses dangers – à leurs clients professionnels et entreprises. « Les organisations doivent se protéger sur le plan technologique mais aussi humain. 90 % des incidents de sécurité sont liés à une erreur humaine. Il est devenu crucial de former et d’accompagner les collaborateurs aux cyber-menaces grandissantes », renchérit Thomas Kerjean, P-DG de Mailinblack.
L’e-mail, la porte d’entrée des cyberattaquants
La messagerie électronique est un canal de communication omniprésent et a priori de confiance pour ses utilisateurs, ce qui en fait une cible de prédilection pour les cybercriminels, que ce soit chez les particuliers, les entreprises ou les collectivités. Diverses études montrent que 9 cyberattaques sur 10 commencent par un e-mail. C’est dire l’importance de protéger la boîte e-mail de l’entreprise. E-securemail, de Secuserve, spécialiste français de la sécurité et de la messagerie collaborative, aurait le filtre anti-spams le plus complet du marché, avec 16 technologies complémentaires. Une version dédiée à M565 est également proposée par l’éditeur.
Vade, start-up française créée en 2009 et faisant partie depuis cette année du groupe allemand Hornetsecurity, propose une protection alimentée par l’IA contre les menaces les plus avancées en matière de phishing, de spear phishing et de logiciels malveillants. Ses offres de sécurité de la messagerie électronique comprennent divers services qui peuvent être proposés dans une offre packagée selon les besoins : cryptage TLS empêchant les tiers d’espionner l’e-mail en cours de transmission, filtre anti-phishing et anti-spams, analyse et test de pièces jointes malveillantes dans un environnement virtuel (Sandbox). Des solutions de cyber-protection sont spécifiquement adaptées à Microsoft 365 et Google Workplace.
Des services souverains, conçus et hébergés en France
Chez Cheops Technology, la messagerie, qui comprend un espace de travail, se nomme Mail in France. Sortie en avril 2023, elle se définit comme « une messagerie dans un cloud français ». Tous les composants applicatifs sont open source. Elle s’adresse aussi bien aux PME et ETI qu’aux collectivités locales et établissements publics. Car, bien entendu, ces derniers sont eux aussi confrontés aux mêmes risques cyber. Il existe des solutions qui leur sont spécifiquement dédiées comme Mailo Collectivités, à destination des mairies, communautés de communes et collectivités territoriales.
Pour les élus et agents, Mailo Collectivités est un service de messagerie et de cloud personnalisable avec de multiples fonctionnalités qui vient de s’enrichir d’agendas de ressources et de listes de distribution. La messagerie est dotée d’un anti-spams, d’un tri intelligent des messages et de fonctionnalités avancées (envoi différé, e-mail recommandé, envoi de fichiers par lien, alias, listes de distribution, chiffrement des messages par PGP, etc.). À cela s’ajoutent agenda, gestion des emplois du temps et des occupations des salles (avec agendas de ressources), envoi d’invitations, notifications par SMS, partage d’agendas et carnet d’adresses : organisation et partage de contacts, le cloud et une suite collaborative (stockage de documents, partage et coédition de documents texte, tableurs ou présentations en ligne). Enfin, elle propose un chat et un outil de visioconférence, Rainbow, pouvant accueillir jusqu’à 120 participants. « En hébergeant ses données en France, le service n’est pas soumis aux législations extraterritoriales comme le Cloud Act ou le Foreign Intelligence Surveillance Act (FISA) américains. Mailo Collectivités est également disponible sur l’hébergement SecNumCloud d’Outscale Dassault Systèmes et référencée au catalogue de l’UGAP », explique l’éditeur. Rappelons que la qualification SecNumCloud de l’ANSSI s’adresse aux prestataires de services cloud souhaitant démontrer un niveau de sécurité parmi les plus élevés du marché.
Gare au phishing basé sur des QR codes
Selon cybermalveillance.gouv.fr, le phishing, ou « hameçonnage » en français, reste la principale menace pour toutes les catégories de public et, dans 73 % des cas, il arrive via la messagerie.
Une méthode de plus en plus populaire consiste à envoyer des e-mails contenant des QR codes qui dirigent les utilisateurs vers des sites malveillants lorsqu’ils sont scannés – et les chercheurs ont maintenant trouvé une variante dans laquelle ces QR codes sont construits à l’aide de caractères ASCII et Unicode disposés en HTML au lieu d’images statiques.
Barracuda explique que cette technique, parfois appelée quishing, vise à contourner les filtres de sécurité dotés de capacités de reconnaissance optique de caractères (OCR) pour détecter le QR code à l’intérieur des images, puis inspecter les URL vers lesquelles ils pointent. La méthode ASCII rend la détection basée sur l’OCR inutile car une chaîne de caractères spéciaux dans les e-mails n’aura aucun sens pour un moteur OCR et ne pourra pas être distinguée d’un QR code pour un humain.
Les attaquants utilisent également de plus en plus d’URL dites « blob » (binary large object) qui ne s’ouvrent que dans le navigateur local pour afficher les pages de phishing au lieu d’utiliser des URL qui pointent vers des pages externes qui pourraient être mises sur liste noire par les logiciels de sécurité.
« Il y a un an, le volume d’attaques de phishing basées sur des QR codes a soudainement augmenté, ont déclaré des chercheurs de Barracuda Networks dans un rapport dédié à la question. Les données montrent qu’environ 1 boîte aux lettres sur 20 a été ciblée par des attaques par QR code au cours du dernier trimestre 2023. »
Ces e-mails de phishing se font généralement passer pour des notifications automatiques de services légitimes et incluent un QR code que l’utilisateur peut scanner avec son appareil mobile pour accéder à une ressource, telle qu’une facture, un document ou une page de suivi d’expédition.
Les banques BPCE proposent la messagerie Mailinblack à leurs entreprises clientes
Au travers d’un partenariat avec l’entreprise marseillaise Mailinblack, la Banque Populaire et la Caisse d’Épargne proposent des solutions de protection de messagerie aussi bien sur le volet technologique que sur le volet humain, actuellement la principale vulnérabilité que rencontrent entreprises et professionnels.
Ainsi, pour protéger au quotidien leurs messageries électroniques, les clients des banques du groupe BPCE peuvent compter sur une première solution permettant de filtrer les cyberattaques transitant par e-mails (en 2023, Mailinblack a permis le blocage de 143 millions de cyberattaques). Et pour sensibiliser les salariés des entreprises clientes au risque cyber, une seconde solution de simulation d’attaques est également disponible. À travers l’envoi régulier, personnalisé et inopiné de fausses attaques par e-mail, cet outil sensibilise régulièrement les clients aux bons réflexes cyber de manière concrète.
Sécuriser la messagerie : les 10 bonnes pratiques selon Secuserve
- Vérifiez la conformité DNS de votre domaine de messagerie.
- Appliquez et suivez votre politique de sécurité DMARC pour rejeter les usurpations d’identité, améliorer votre délivrabilité et votre réputation.
- Soyez vigilant si l’expéditeur affiché ne correspond pas à l’émetteur du message.
- Méfiez-vous des QR codes et des images pouvant cacher des menaces.
- Analysez en profondeur la structure des pièces jointes pour vous prémunir des cyber-menaces cachées et des malwares inconnus.
- Effectuez une levée de doutes grâce à l’identification de l’émetteur du message.
- Prévisualisez vos messages en quarantaine en toute sécurité.
- Empêchez l’utilisateur de suivre des liens malveillants.
Juliette Paoli
