Le guide définitif de la sécurité des e-mails de Red Sift

Publié le :20 mars 2024
Modifié le :31 mars 2026
Chapitre :6 min de lecture
Guide :39 min de lecture
image
Découvrez notre guide
Dans ce chapitre
Dans ce chapitre

À quel point vos emails sont-ils sécurisés ?

La vérité ? Pas vraiment, surtout avec la montée des attaques de phishing et d’usurpation améliorées par l’IA, qui ne cessent d’évoluer en 2026 et coûtent des millions aux entreprises.

Les technologies de sécurité des emails existent sous plusieurs formes. Mais au final, elles partagent toutes les mêmes objectifs : limiter le volume de spams, détecter les menaces et les empêcher d’atteindre votre boîte de réception.  

Le plus souvent, ces technologies fonctionnent en repérant les caractéristiques les plus courantes d’un email malveillant – comme une adresse IP sur liste noire ou un domaine suspect – puis en le bloquant avant qu’il n’arrive dans votre boîte de réception.  L’usurpation exacte de domaine, c’est lorsqu’un attaquant utilise votre domaine pour envoyer un email frauduleux.

Toutes les mesures de sécurité email (à l’exception de DMARC – nous y reviendrons !) sont inefficaces pour repérer un email malveillant lorsqu’il semble provenir d’un domaine légitime.  

Cela s’explique par une faille du Simple Mail Transfer Protocol (SMTP) – le standard internet pour la transmission de messages électroniques. En octobre 2008, le Network Working Group l’a officiellement qualifié « d’intrinsèquement non sécurisé ». Il a déclaré que n’importe qui pouvait usurper un domaine et l’utiliser pour envoyer des emails frauduleux en se faisant passer pour le propriétaire du domaine. Cette vulnérabilité est toujours présente en 2026, c’est pourquoi l’authentification de domaine est devenue une exigence plutôt qu’une simple recommandation.

Est-ce que n’importe qui peut se faire passer pour vous par email ?

Oui. N’importe qui avec des connaissances très basiques en codage peut apprendre les étapes pour usurper l’identité email de quelqu’un. Une simple recherche sur Google suffit. Le résultat est un email qui paraît légitime et n’affiche aucun signe classique d’attaque de phishing, comme une adresse suspecte. Le serveur email du destinataire acceptera alors ce message (si les bonnes mesures de sécurité ne sont pas en place). Il est alors difficile de voir qu’il s’agit en réalité d’une attaque de phishing utilisant un domaine usurpé. 

icon
Qu’est-ce qu’un domaine usurpé ?

Un domaine usurpé est un site web ou une adresse email trompeuse créée pour ressembler à un domaine légitime. Il existe différentes techniques d’usurpation, comme :

  • Usurpation exacte de domaine : lorsque l’attaquant usurpe uniquement votre domaine exact. Par exemple, yourcompany.com
  • Domaine ressemblant : lorsqu’un attaquant enregistre un domaine si similaire au domaine d’origine qu’il est difficile de l’identifier. Ceci est également appelé typosquatting. Par exemple, yourc0mpany.com
  • Usurpation de sous-domaine : quand l’attaquant crée une page de sous-domaine d’apparence légitime où il peut par exemple installer un formulaire malveillant pour récolter des identifiants. Par exemple, login.yourcompany.com

Qu’est-ce que le phishing par email ?

Le phishing par email survient lorsqu’un attaquant ou « acteur malveillant » envoie des emails frauduleux en se faisant passer pour une organisation de confiance, dans le but d’amener le destinataire à dévoiler des informations sensibles telles que des coordonnées bancaires ou des données personnelles. Parfois, les emails de phishing sont envoyés pour déployer des logiciels malveillants sur l’infrastructure de la victime. 

icon

Les attaques de phishing ne cessent d’augmenter d’année en année. Les dernières données de l’APWG montrent qu’en 2026, les organisations doivent faire face à des attaques plus sophistiquées et fréquentes que jamais, les attaquants exploitant l’automatisation et l’ingénierie sociale à grande échelle.

Qu’est-ce que l’ingénierie sociale ?

Une attaque de phishing traditionnelle consiste généralement à envoyer un email frauduleux à plusieurs destinataires. Cependant, les attaques de phishing deviennent de plus en plus personnalisées grâce à l’essor de l’ingénierie sociale, qui consiste à utiliser des tactiques psychologiques pour pousser les victimes à divulguer des informations sensibles. Il y a aujourd’hui beaucoup plus d’informations facilement accessibles en ligne, et les attaquants s’en servent pour mener des attaques plus ciblées et spécifiques. 

BEC attacks gartner quoteBEC attacks gartner quote

Qu’est-ce que la compromission de la messagerie professionnelle (BEC) et comment s’en protéger ?

La compromission de la messagerie professionnelle (BEC) est un terme générique désignant les attaques de phishing qui ciblent une organisation en usurpant son domaine. Alors que certaines attaques de phishing ciblent les consommateurs, les cybercriminels savent qu’ils ont beaucoup plus à gagner en s’attaquant à une organisation. L’attaquant s’appuie fortement sur l’ingénierie sociale et rédige un email de phishing conçu pour imiter celui d’un membre de l’entreprise (généralement le PDG). L’objectif principal de ce type d’attaque est de voler de l’argent ou des données sensibles.

icon

Les attaques BEC restent l’une des menaces les plus coûteuses pour les organisations en 2026. Selon une récente analyse du secteur, les attaques BEC (un type d’attaque d’ingénierie sociale) demeurent extrêmement efficaces et lucratives pour les cybercriminels. Elles représentent toujours plus de 50 % de tous les incidents d’ingénierie sociale.

Les types d’attaques regroupés sous le terme « compromission de la messagerie professionnelle (BEC) » incluent :

Ransomware

Le ransomware est un logiciel malveillant qui chiffre des fichiers ou bloque l’accès à des systèmes informatiques, exigeant une rançon en échange de leur libération.

Fraude au PDG

Lorsque l’attaquant se fait passer pour le PDG ou un autre dirigeant et cible les employés. 

Fraude à la facture ou au fournisseur

Lorsque l’attaquant tente de tromper la victime pour qu’elle paie une ou plusieurs fausses factures. 

Vol de données

Une attaque visant les personnes ayant accès à des informations personnelles identifiables (PII), comme les responsables des ressources humaines.

Compromission de compte

La compromission de compte fait référence à un accès non autorisé au compte d’un utilisateur par un tiers, conduisant souvent au vol d’informations sensibles ou à une utilisation malveillante du compte.

Les attaques de phishing varient en sophistication

Il n’est pas surprenant que de nombreux utilisateurs se fassent piéger par des emails de phishing. Bien réalisées, ces attaques sont presque impossibles à détecter. Les organisations victimes de phishing n’ont pas nécessairement commis d’erreur, et l’attaquant n’a même pas besoin d’accéder à leurs systèmes pour mener son attaque. Néanmoins, de nombreux gouvernements et régulateurs estiment que les organisations ont la responsabilité de protéger leurs clients contre les attaques de phishing. Ainsi, les organisations qui n’ont pas mis en place les mesures adéquates pour protéger leurs clients peuvent être tenues responsables d’une fuite de données – ainsi que des sanctions.

Au cours de la dernière décennie, plusieurs protocoles email ont été introduits par des acteurs majeurs du secteur pour tenter d’améliorer la sécurité des emails, mais l’usurpation d’identité par email contourne bon nombre de ces protocoles. En 2026, la mise en œuvre appropriée du DMARC s’est imposée comme la norme de défense contre l’usurpation de domaine, et les principaux fournisseurs de messagerie exigent cela pour les expéditeurs d’emails en masse.

Plongez dans le prochain chapitre pour avoir un aperçu rapide de ces protocoles et de ce qu’ils protègent.

free trial imagefree trial image
Envie de vérifier la sécurité de votre messagerie en moins d’une minute ?

Foire aux questions : Guide de la sécurité des e-mails

Pourquoi l'e-mail est-il intrinsèquement non sécurisé et comment les attaquants exploitent-ils cette vulnérabilité ?

Toutes les mesures de sécurité des e-mails (à l'exception de DMARC) sont inefficaces pour détecter qu'un e-mail malveillant semble provenir d'un domaine légitime. Cela s'explique par une faille dans le protocole Simple Mail Transfer Protocol (SMTP). En octobre 2008, le Network Working Group a officiellement qualifié ce protocole d'« intrinsèquement non sécurisé », déclarant que n'importe qui pouvait usurper un domaine et l'utiliser pour envoyer des e-mails frauduleux en se faisant passer pour le propriétaire du domaine.

Une personne ayant des connaissances très basiques en codage peut facilement trouver les étapes nécessaires pour usurper l'identité e-mail de quelqu'un via une simple recherche Google. Le résultat est un e-mail qui semble légitime et ne montre aucun signe classique de phishing. Avec 3,4 milliards d'e-mails de phishing envoyés chaque jour, les systèmes de messagerie restent une cible de choix pour les cybercriminels.

Qu'est-ce que SPF et DKIM, et pourquoi ne suffisent-ils pas à protéger l'e-mail à eux seuls ?

SPF (Sender Policy Framework) vérifie qu'un e-mail est envoyé depuis une adresse IP autorisée par l'enregistrement SPF du domaine expéditeur grâce à un enregistrement DNS TXT listant les serveurs d'envoi autorisés.

DKIM (DomainKeys Identified Mail) utilise une signature cryptographique, validée via une clé publique dans le DNS, pour confirmer que le contenu de l'e-mail n'a pas été modifié et qu'il provient d'un domaine autorisé. Les deux sont essentiels à la sécurité des e-mails, mais aucun ne permet d'empêcher l'usurpation exacte d'un domaine.

Alors que ces protocoles informent le destinataire de l'origine de l'e-mail, ce dernier ne dispose d'aucune instruction sur la marche à suivre avec cette information. Les principaux fournisseurs de boîtes mail exigent désormais SPF et DKIM pour les expéditeurs d'e-mails en masse en 2026.

Qu'est-ce que DMARC et comment fonctionne-t-il avec SPF et DKIM pour empêcher l'usurpation de domaine ?

DMARC signifie "Domain-based Message Authentication, Reporting and Conformance". Il s'agit d'un protocole de sécurité pour les e-mails sortants qui permet aux propriétaires de domaine d'indiquer aux boîtes de réception de refuser les e-mails usurpés. DMARC fonctionne en combinant les résultats de SPF et DKIM pour déterminer si votre e-mail est authentique et autorisé.

La politique DMARC (définie par le tag "p=" dans votre enregistrement DNS) indique ensuite aux serveurs destinataires comment agir. DMARC empêche l’usurpation exacte de domaine en instruisant les serveurs à ne pas accepter les e-mails non authentifiés. En 2026, DMARC est devenu une exigence standard pour les organisations effectuant des envois en masse.

Quelle est la limite des 10 recherches DNS pour SPF et comment les organisations résolvent-elles ce problème en 2026 ?

La spécification SPF limite les recherches DNS à 10. Si votre enregistrement SPF dépasse ce nombre, SPF échouera. Les mécanismes SPF comptabilisés sont : a, ptr, mx, include, redirect et exists. En réalité, 10 recherches DNS ne suffisent pas car la plupart des entreprises utilisent plusieurs outils d'envoi d'e-mails.

G Suite à lui seul consomme 4 recherches DNS ; en ajoutant HubSpot pour le marketing, qui en utilise 7, vous dépassez déjà la limite. Dès que vous dépassez 10 recherches SPF, le trafic e-mail commence à échouer aléatoirement la validation. C'est pourquoi, en 2026, les organisations passent à une gestion dynamique de SPF au lieu d'essayer de maintenir manuellement des enregistrements plats.

Qu'est-ce que MTA-STS et pourquoi la sécurité de la couche transport est-elle essentielle pour la protection des e-mails ?

Mail Transfer Agent Strict Transport Security (MTA-STS) est une norme qui permet le chiffrement des messages entre deux serveurs de messagerie. Elle spécifie que les e-mails ne peuvent être envoyés que via une connexion chiffrée Transport Layer Security (TLS), ce qui empêche l'interception par les cybercriminels. SMTP seul n'apporte pas de sécurité, le rendant vulnérable aux attaques de type "man-in-the-middle" où la communication est interceptée (et potentiellement modifiée).

De plus, le chiffrement avec SMTP est optionnel, ce qui signifie que les e-mails peuvent être envoyés en clair. Sans MTA-STS, un attaquant peut intercepter la communication et forcer l'envoi du message en clair. En 2026, MTA-STS est devenu un contrôle de sécurité standard pour les organisations traitant des communications sensibles.

Quels sont les avantages business à appliquer DMARC en mode enforcement ?

La mise en œuvre de DMARC vous permet de bloquer les tentatives de phishing qui semblent provenir de vous, d'instaurer une confiance accrue auprès de vos clients, de réduire le risque cyber et de répondre aux exigences d’expéditeurs en masse de Google, Yahoo ou Microsoft.

DMARC renforce la conformité avec PCI DSS 4.0 et accroît la résilience organisationnelle face à l’évolution des menaces cyber. Une fois à p=reject (enforcement), DMARC bloque la fraude aux fournisseurs, la prise de contrôle de comptes et l'usurpation d’e-mail en empêchant les acteurs malveillants d’utiliser votre domaine pour envoyer des messages de phishing et opérer des compromissions de messagerie d’entreprise (BEC). Selon le rapport Data Breach Investigations Report 2025 de Verizon, les attaques BEC représentent plus de 17 à 22 % de tous les incidents d’ingénierie sociale.

Combien de temps prend habituellement la mise en place de DMARC et qu'est-ce qui différencie Red Sift OnDMARC ?

Red Sift OnDMARC accélère le déploiement de DMARC grâce à la découverte de vos expéditeurs, des recommandations prescriptives, la détection d’anomalies et des accès par rôle pour les équipes mondiales. Dès 2026, les principales plateformes permettent aux entreprises d’atteindre le niveau p=reject (enforcement) en 6 à 8 semaines alors que cela prenait parfois six mois auparavant.

L’un des bénéfices les plus souvent cités d’OnDMARC est un délai moyen de 6 à 8 semaines pour obtenir le plein enforcement. La puissante automatisation de la plateforme analyse en continu l’activité de votre domaine, affichant des alertes sur les zones nécessitant des changements. Dès l’ajout de votre enregistrement DMARC unique dans le DNS, OnDMARC commence sous 24h à collecter et afficher les rapports DMARC dans des tableaux de bord clairs.

Quelles obligations et exigences mondiales existent aujourd'hui pour DMARC en 2026 ?

Les principaux fournisseurs de messagerie tels que Microsoft, Google et Yahoo rendent désormais DMARC obligatoire pour les expéditeurs en masse (organisations envoyant plus de 5 000 e-mails par jour) depuis 2024-2025, et ces exigences se sont généralisées en 2026.

Au-delà des exigences des fournisseurs de messagerie, certains secteurs et réglementations gouvernementales tendent également à rendre DMARC obligatoire. Les agences fédérales américaines doivent utiliser DMARC, tout comme les établissements de paiement régulés par DORA. En outre, la mise en place de DMARC renforce la conformité avec PCI DSS 4.0, le RGPD et NIS2. Pour les équipes cybersécurité, sécurité email et IT, il est essentiel de garantir que la sécurité e-mail de votre organisation soit conforme aux pratiques et exigences internationales de référence.