Le guide définitif de Red Sift sur la sécurité de l’email

image
Explorer notre guide
Dans ce chapitre
Dans ce chapitre

À quel point vos emails sont-ils sécurisés ?

La vérité ? Pas vraiment, surtout avec la montée des attaques de phishing et d’usurpation améliorées par l’IA, qui ne cessent d’évoluer en 2026 et coûtent des millions aux entreprises.

Les technologies de sécurité des emails existent sous plusieurs formes. Mais au final, elles partagent toutes les mêmes objectifs : limiter le volume de spams, détecter les menaces et les empêcher d’atteindre votre boîte de réception.  

Le plus souvent, ces technologies fonctionnent en repérant les caractéristiques les plus courantes d’un email malveillant – comme une adresse IP sur liste noire ou un domaine suspect – puis en le bloquant avant qu’il n’arrive dans votre boîte de réception.  L’usurpation exacte de domaine, c’est lorsqu’un attaquant utilise votre domaine pour envoyer un email frauduleux.

Toutes les mesures de sécurité email (à l’exception de DMARC – nous y reviendrons !) sont inefficaces pour repérer un email malveillant lorsqu’il semble provenir d’un domaine légitime.  

Cela s’explique par une faille du Simple Mail Transfer Protocol (SMTP) – le standard internet pour la transmission de messages électroniques. En octobre 2008, le Network Working Group l’a officiellement qualifié « d’intrinsèquement non sécurisé ». Il a déclaré que n’importe qui pouvait usurper un domaine et l’utiliser pour envoyer des emails frauduleux en se faisant passer pour le propriétaire du domaine. Cette vulnérabilité est toujours présente en 2026, c’est pourquoi l’authentification de domaine est devenue une exigence plutôt qu’une simple recommandation.

Est-ce que n’importe qui peut se faire passer pour vous par email ?

Oui. N’importe qui avec des connaissances très basiques en codage peut apprendre les étapes pour usurper l’identité email de quelqu’un. Une simple recherche sur Google suffit. Le résultat est un email qui paraît légitime et n’affiche aucun signe classique d’attaque de phishing, comme une adresse suspecte. Le serveur email du destinataire acceptera alors ce message (si les bonnes mesures de sécurité ne sont pas en place). Il est alors difficile de voir qu’il s’agit en réalité d’une attaque de phishing utilisant un domaine usurpé. 

icon
Qu’est-ce qu’un domaine usurpé ?

Un domaine usurpé est un site web ou une adresse email trompeuse créée pour ressembler à un domaine légitime. Il existe différentes techniques d’usurpation, comme :

  • Usurpation exacte de domaine : lorsque l’attaquant usurpe uniquement votre domaine exact. Par exemple, yourcompany.com
  • Domaine ressemblant : lorsqu’un attaquant enregistre un domaine si similaire au domaine d’origine qu’il est difficile de l’identifier. Ceci est également appelé typosquatting. Par exemple, yourc0mpany.com
  • Usurpation de sous-domaine : quand l’attaquant crée une page de sous-domaine d’apparence légitime où il peut par exemple installer un formulaire malveillant pour récolter des identifiants. Par exemple, login.yourcompany.com

Qu’est-ce que le phishing par email ?

Le phishing par email survient lorsqu’un attaquant ou « acteur malveillant » envoie des emails frauduleux en se faisant passer pour une organisation de confiance, dans le but d’amener le destinataire à dévoiler des informations sensibles telles que des coordonnées bancaires ou des données personnelles. Parfois, les emails de phishing sont envoyés pour déployer des logiciels malveillants sur l’infrastructure de la victime. 

icon

Les attaques de phishing ne cessent d’augmenter d’année en année. Les dernières données de l’APWG montrent qu’en 2026, les organisations doivent faire face à des attaques plus sophistiquées et fréquentes que jamais, les attaquants exploitant l’automatisation et l’ingénierie sociale à grande échelle.

Qu’est-ce que l’ingénierie sociale ?

Une attaque de phishing traditionnelle consiste généralement à envoyer un email frauduleux à plusieurs destinataires. Cependant, les attaques de phishing deviennent de plus en plus personnalisées grâce à l’essor de l’ingénierie sociale, qui consiste à utiliser des tactiques psychologiques pour pousser les victimes à divulguer des informations sensibles. Il y a aujourd’hui beaucoup plus d’informations facilement accessibles en ligne, et les attaquants s’en servent pour mener des attaques plus ciblées et spécifiques. 

BEC attacks gartner quoteBEC attacks gartner quote

Qu’est-ce que la compromission de la messagerie professionnelle (BEC) et comment s’en protéger ?

La compromission de la messagerie professionnelle (BEC) est un terme générique désignant les attaques de phishing qui ciblent une organisation en usurpant son domaine. Alors que certaines attaques de phishing ciblent les consommateurs, les cybercriminels savent qu’ils ont beaucoup plus à gagner en s’attaquant à une organisation. L’attaquant s’appuie fortement sur l’ingénierie sociale et rédige un email de phishing conçu pour imiter celui d’un membre de l’entreprise (généralement le PDG). L’objectif principal de ce type d’attaque est de voler de l’argent ou des données sensibles.

icon

Les attaques BEC restent l’une des menaces les plus coûteuses pour les organisations en 2026. Selon une récente analyse du secteur, les attaques BEC (un type d’attaque d’ingénierie sociale) demeurent extrêmement efficaces et lucratives pour les cybercriminels. Elles représentent toujours plus de 50 % de tous les incidents d’ingénierie sociale.

Les types d’attaques regroupés sous le terme « compromission de la messagerie professionnelle (BEC) » incluent :

Ransomware

Le ransomware est un logiciel malveillant qui chiffre des fichiers ou bloque l’accès à des systèmes informatiques, exigeant une rançon en échange de leur libération.

Fraude au PDG

Lorsque l’attaquant se fait passer pour le PDG ou un autre dirigeant et cible les employés. 

Fraude à la facture ou au fournisseur

Lorsque l’attaquant tente de tromper la victime pour qu’elle paie une ou plusieurs fausses factures. 

Vol de données

Une attaque visant les personnes ayant accès à des informations personnelles identifiables (PII), comme les responsables des ressources humaines.

Compromission de compte

La compromission de compte fait référence à un accès non autorisé au compte d’un utilisateur par un tiers, conduisant souvent au vol d’informations sensibles ou à une utilisation malveillante du compte.

Les attaques de phishing varient en sophistication

Il n’est pas surprenant que de nombreux utilisateurs se fassent piéger par des emails de phishing. Bien réalisées, ces attaques sont presque impossibles à détecter. Les organisations victimes de phishing n’ont pas nécessairement commis d’erreur, et l’attaquant n’a même pas besoin d’accéder à leurs systèmes pour mener son attaque. Néanmoins, de nombreux gouvernements et régulateurs estiment que les organisations ont la responsabilité de protéger leurs clients contre les attaques de phishing. Ainsi, les organisations qui n’ont pas mis en place les mesures adéquates pour protéger leurs clients peuvent être tenues responsables d’une fuite de données – ainsi que des sanctions.

Au cours de la dernière décennie, plusieurs protocoles email ont été introduits par des acteurs majeurs du secteur pour tenter d’améliorer la sécurité des emails, mais l’usurpation d’identité par email contourne bon nombre de ces protocoles. En 2026, la mise en œuvre appropriée du DMARC s’est imposée comme la norme de défense contre l’usurpation de domaine, et les principaux fournisseurs de messagerie exigent cela pour les expéditeurs d’emails en masse.

Plongez dans le prochain chapitre pour avoir un aperçu rapide de ces protocoles et de ce qu’ils protègent.

free trial imagefree trial image
Envie de vérifier la sécurité de votre messagerie en moins d’une minute ?

Questions fréquentes : Guide de la sécurité de l’email

Pourquoi l’email est-il intrinsèquement non sécurisé et comment les attaquants exploitent-ils cette vulnérabilité ?

Toutes les mesures de sécurité des emails (à l’exception de DMARC) sont inefficaces pour détecter un email malveillant lorsqu’il semble provenir d’un domaine légitime. Cela s’explique par une faille dans le Simple Mail Transfer Protocol (SMTP). En octobre 2008, le Network Working Group l’a officiellement qualifié « d’intrinsèquement non sécurisé », indiquant que quiconque pouvait usurper un domaine et l’utiliser pour envoyer des emails frauduleux en se faisant passer pour le propriétaire du domaine.

Quiconque possède quelques connaissances de base en codage peut apprendre, en quelques recherches sur Google, les étapes nécessaires pour usurper l’identité d’un email. Le résultat est un email qui semble légitime sans les indicateurs typiques de phishing. Avec 3,4 milliards d’emails de phishing envoyés chaque jour, les systèmes de messagerie restent la cible privilégiée des cybercriminels.

Que sont SPF et DKIM, et pourquoi ne suffisent-ils pas à eux seuls à sécuriser l’email ?

SPF (Sender Policy Framework) vérifie qu’un email est envoyé à partir d’une adresse IP autorisée par l’enregistrement SPF du domaine expéditeur, via un enregistrement TXT DNS qui liste les serveurs de messagerie autorisés.

DKIM (DomainKeys Identified Mail) utilise une signature cryptographique, validée par une clé publique dans le DNS, pour confirmer que le contenu de l’email n’a pas été modifié et provient d’un domaine autorisé. Tous deux sont essentiels à la sécurité de l’email, mais aucun ne prévient l’usurpation exacte d’un domaine.

Si ces protocoles informent le destinataire de l’origine d’un email, celui-ci n’a aucune instruction sur la façon d’agir sur cette information. Les principaux fournisseurs de messagerie exigent désormais SPF et DKIM pour les expéditeurs d’emails en masse en 2026.

Qu’est-ce que DMARC et comment fonctionne-t-il avec SPF et DKIM pour empêcher l’usurpation de domaine ?

DMARC signifie Domain-based Message Authentication, Reporting, and Conformance. C’est un protocole de sécurité sortante de l’email qui permet aux propriétaires de domaines d’indiquer aux boîtes de réception de rejeter les emails usurpés. DMARC fonctionne en combinant les résultats de SPF et DKIM pour déterminer si votre email est authentique et autorisé.

La politique DMARC (définie par le tag « p= » dans votre enregistrement DNS) indique ensuite aux serveurs destinataires ce qu’ils doivent en faire. DMARC empêche l’usurpation exacte d’un domaine en demandant aux serveurs destinataires de ne pas accepter les emails qui ne sont pas authentifiés. En 2026, DMARC est devenu une exigence standard pour les organisations envoyant des emails en masse.

Qu’est-ce que la limite des 10 recherches de SPF et comment les organisations la contournent-elles en 2026 ?

La spécification SPF limite les recherches DNS à 10. Si votre enregistrement SPF dépasse cette limite, le SPF échouera. Les mécanismes SPF comptabilisés sont : a, ptr, mx, include, redirect et exists. En réalité, 10 recherches ne suffisent pas car la plupart des entreprises utilisent plusieurs outils d’envoi d’emails.

G Suite utilise à lui seul 4 recherches DNS. Ajoutez HubSpot pour le marketing, qui en utilise 7, et vous dépassez déjà la limite. Dès que vous dépassez les 10 recherches SPF, votre trafic d’emails commencera à échouer aléatoirement à la validation. C’est pourquoi les organisations en 2026 passent à une gestion dynamique du SPF plutôt que de tenter de maintenir manuellement des enregistrements aplanis.

Qu’est-ce que MTA-STS et pourquoi la sécurité de la couche de transport est-elle essentielle à la protection des emails ?

Mail Transfer Agent Strict Transport Security (MTA-STS) est une norme qui permet de chiffrer les messages envoyés entre deux serveurs de messagerie. Elle spécifie que les emails ne peuvent être envoyés que via une connexion chiffrée Transport Layer Security (TLS), ce qui empêche l’interception par des cybercriminels. SMTP seul ne fournit aucune sécurité, ce qui le rend vulnérable aux attaques de type man-in-the-middle où les communications sont interceptées et potentiellement modifiées.

De plus, le chiffrement est optionnel dans SMTP, ce qui signifie que les emails peuvent être envoyés en clair. Sans MTA-STS, un attaquant peut intercepter la communication et forcer l’envoi du message en texte clair. En 2026, MTA-STS est devenu un contrôle de sécurité standard pour les organisations traitant des communications sensibles.

Quels sont les bénéfices pour une entreprise de mettre DMARC en application ?

En mettant en place DMARC, vous bénéficiez de l’arrêt des tentatives de phishing paraissant provenir de votre domaine, d’une confiance renforcée de vos clients, d’un risque cyber réduit ainsi que du respect des exigences des plateformes d’envoi en masse, comme Google, Yahoo et Microsoft.

DMARC renforce la conformité avec PCI DSS 4.0 et améliore la résilience globale de l’organisation face à l’évolution des menaces cyber. Une fois la politique en p=reject (application), DMARC bloque la fraude fournisseurs, la prise de contrôle de comptes et l’usurpation d’identité par email en empêchant les acteurs malveillants d’utiliser votre domaine pour envoyer des emails de phishing ou réaliser des attaques de fraude au Président (BEC). Selon le rapport Data Breach Investigations Report de Verizon 2025, les attaques BEC constituent plus de 17 à 22% de tous les incidents d’ingénierie sociale.

Combien de temps prend en général la mise en œuvre de DMARC et qu’est-ce qui différencie Red Sift OnDMARC ?

Red Sift OnDMARC accélère le parcours DMARC grâce à la découverte automatisée des expéditeurs, à des corrections préconisées, à la détection des anomalies et à des accès par rôle pour les équipes globales. À partir de 2026, les principales plateformes permettent aux entreprises d’atteindre l’application p=reject (enforcement) en 6 à 8 semaines, contre six mois auparavant.

L’un des bénéfices les plus fréquemment rapportés d’OnDMARC est le délai moyen de 6 à 8 semaines pour atteindre l’application totale. La puissante automatisation de la plateforme analyse en continu ce qui se passe sur votre domaine, mettant en avant des alertes précises sur les changements à effectuer et où. En 24 heures après l’ajout de votre enregistrement DMARC spécifique dans le DNS, OnDMARC commence à analyser et afficher les rapports DMARC dans des tableaux de bord clairs.

Quelles sont les obligations et réglementations mondiales actuellement en place pour DMARC en 2026 ?

Les principaux fournisseurs d’email, dont Microsoft, Google et Yahoo, exigent désormais la mise en place de DMARC pour les expéditeurs d’emails en masse (organisations envoyant plus de 5 000 emails par jour) depuis 2024-2025, et ces exigences sont devenues standard en 2026.

En plus des exigences des fournisseurs de boîtes de réception, certains secteurs et réglementations gouvernementales tendent vers l’obligation de DMARC. Les agences fédérales américaines sont tenues d’utiliser DMARC, tout comme les établissements de paiement réglementés par DORA. De plus, la mise en œuvre de DMARC renforce la conformité avec PCI DSS 4.0, le RGPD, et NIS2. Pour la cybersécurité, la sécurité des emails et les équipes IT, s’assurer que la sécurité des emails de votre organisation soit conforme aux bonnes pratiques internationales et aux exigences en vigueur est essentiel.