Messagerie professionnelle : les clés d’une protection efficace contre le spam et le phishing

Le courrier indésirable ou spam n’est pas qu’un désagrément quotidien. Pour un professionnel, chaque mail non sollicité représente une perte de temps, une distraction, voire un risque majeur. Quant au phishing (hameçonnage), il exploite la confiance pour dérober des données sensibles ou de l’argent. Aujourd’hui, 94 % des cyberattaques réussies débutent par un courriel piégé (Source : CSO Online, 2023). Les PME ne sont plus épargnées : selon une étude du Sénat (2023), une entreprise sur deux en France a été confrontée à une tentative de phishing en 2022.

Les conséquences peuvent être lourdes : fraude au président, vol d’argent, perte de confiance, RGPD non respecté… et ce, même avec un effectif réduit. Or, la plupart de ces attaques surfent sur la méconnaissance technique ou le manque de moyens pour s’en prémunir.

• Le spam classique : publicités non désirées, offres douteuses. Il inonde d’emails inutiles et masque parfois des menaces sérieuses.
• Le phishing : messages usurpant l’identité d’un tiers (banque, fournisseur, client…) pour voler des identifiants ou inciter à un paiement frauduleux.
• Le spear phishing : attaque ciblée, personnalisée, souvent dirigée vers les dirigeants ou comptables ; elle vise à obtenir des informations confidentielles ou initier une fraude.
• Les malwares par e-mail : pièces jointes infectées ou liens vers des logiciels malveillants.
• Le spoofing : usurpation d’adresse affichée, qui laisse croire à un mail authentique.

Entre 2021 et 2023, les attaques de phishing ciblant des PME françaises ont augmenté de 43 % (rapport ANSSI, 2023), avec des techniques de plus en plus crédibles comme la fausse signature ou la contrefaçon de factures.

Voici un tableau synthétique présentant les mesures prioritaires, du plus basique au plus avancé :

La grande majorité des boîtes mails professionnelles proposent leur propre filtre antispam. Cependant, leur efficacité varie. Il est pourtant crucial qu’un mail douteux n’arrive jamais à destination. Les solutions les plus robustes analysent le contenu, la provenance, et même la réputation de l’expéditeur.

• Chez OVH, Infomaniak, ou Gandi : activer et personnaliser le filtrage dans votre espace client. Pensez à relever la sensibilité pour stopper les nouveaux types de spam (source : Docs OVH 2023).
• Solutions tierces comme SpamExperts ou Mailinblack : elles offrent un tableau de bord pour entraîner le filtre (marquer comme “spam” ou “non spam”). Tarif moyen : à partir de 2 €/mois/boîte pour les petites structures.
• Sur Microsoft 365 ou Google Workspace : ces solutions intègrent un filtrage avancé, configurable pour détecter et isoler les menaces.

Petite astuce : vérifiez le dossier “Indésirables” et signalez manuellement les faux négatifs (spams non bloqués) pour aider le système à progresser.

Si le spam et le phishing passent autant par l’e-mail, c’est aussi parce que les protocoles d’envoi n’ont historiquement jamais vérifié fermement l’émetteur. Trois technologies gratuites remédient aujourd’hui à cela :

• SPF (Sender Policy Framework) : indique sur quels serveurs le domaine est autorisé à envoyer des emails.
• DKIM (DomainKeys Identified Mail) : signe cryptographiquement les emails pour attester de leur authenticité.
• DMARC (Domain-based Message Authentication, Reporting & Conformance) : associe SPF et DKIM pour décider quoi faire d’un email douteux (rejeter, mettre en spam, etc.).

Mettre en œuvre SPF et DKIM est désormais possible sur tous les hébergements pros réputés (voir docs Gandi, OVH, Google…). Pour DMARC, un simple enregistrement à ajouter – mais l’aide d’un technicien reste recommandée pour éviter la mauvaise configuration. Une erreur peut bloquer l’envoi ou la réception de vos emails.

Selon Google, les domaines adoptant DMARC voient le taux d’usurpation d’adresse baisser de 90 %. Un chiffre impressionnant, surtout que la configuration de ces protocoles est 100 % gratuite mais encore trop peu généralisée chez les TPE.

Le vol de mot de passe reste l’une des principales causes de compromission de comptes de messagerie pro. Pourtant, la solution est souvent à un clic : l’authentification à deux facteurs (2FA). Selon le rapport Verizon Data Breach (2023), activer la 2FA empêche plus de 99,9 % des attaques par mot de passe connu.

• Email pro sur Microsoft 365 ou Google Workspace : activez la double authentification via SMS, appli mobile, ou clé physique.
• Autres hébergeurs : vérifiez si la fonctionnalité est proposée dans votre espace client ou au niveau webmail (Roundcube, Zimbra, etc.).

Attention, ne choisissez jamais une question de sécurité trop évidente (nom de jeune fille, date de naissance).

L’humain, maillon faible ou meilleur rempart ? D’après une étude du CLUSIF (2022), 43 % des incidents de phishing dans les petites entreprises ont été évités grâce à la vigilance des collaborateurs. Trop souvent, un salarié ouvre par réflexe une pièce jointe suspecte, pensant à une facture ou une commande.

• Organiser une brève session de sensibilisation (même en visioconférence) pour présenter des exemples concrets de phishing et les bons réflexes : vérifier l’adresse réelle, ne jamais cliquer dans le doute, signaler tout mail inhabituel.
• Document à diffuser : L’ANSSI publie des kits gratuits de formation, à télécharger (source : ANSSI).
• N’hésitez pas à tester l’équipe avec un faux mail (outil gratuit tel que phishing.info.security.trail).

1. Ne jamais communiquer son mot de passe par e-mail.
2. Examiner l’adresse d’expédition réelle, pas seulement le nom affiché.
3. Ne jamais cliquer sur des liens ou ouvrir des pièces jointes inattendus, surtout s’ils évoquent l’urgence (paiement, signature…).
4. Utiliser un mot de passe complexe, unique et le changer régulièrement.
5. Mettre à jour systématiquement son logiciel de messagerie (Outlook, Thunderbird…) et son antivirus.
6. Sauvegarder régulièrement les emails importants.
7. Limiter les accès : seuls ceux qui en ont vraiment besoin disposent d’une adresse pro valide.
8. Signaliser tout incident ou suspicion au responsable ou à la personne compétente.

• Mot de passe piraté : changer immédiatement le mot de passe partout où il est utilisé, activer la double authentification.
• Phishing suspecté : prévenir l’équipe, transférer l’email à la cellule dédiée de votre hébergeur (ex : [email protected]), signaler à phishing-initiative.fr.
• Fichier ou lien cliqué par erreur : déconnecter l’ordinateur du réseau, lancer une analyse antivirus, contacter le support informatique si besoin.

Voici quelques solutions fiables pour filtrer les menaces et maintenir une messagerie pro saine :

• Mailinblack : filtrage français robuste, adapté aux petites structures (à partir de 3 €/user/mois, source : site éditeur).
• SpamExperts (via OVH, Infomaniak…) pour améliorer la détection au-delà du filtre standard intégré.
• Google Workspace, Microsoft 365 : filtrage avancé natif, DMARC et 2FA inclus par défaut.
• Mailvelope, Protonmail : pour ajouter une couche de chiffrement ou renforcer la confidentialité.

Pour se protéger concrètement contre les spams et les attaques de phishing, il ne suffit pas d’activer une option ou d’installer un outil. C’est un ensemble d’actions simples, accessibles à toutes les entreprises, qui fait la vraie différence : bien choisir son filtre antispam, activer la double authentification, former et sensibiliser, surveiller les enregistrements DNS et les mises à jour. Les technologies récentes, notamment DMARC, sont aujourd’hui à la portée de tous, souvent gratuitement. Ce sont pourtant leurs usages quotidiens, combinés, qui feront la force de votre messagerie professionnelle face à des menaces en constante évolution.

La vigilance humaine reste complémentaire et précieuse. Et s’il reste un seul conseil à retenir : prenez une heure pour faire le tour de vos protections, sensibilisez votre entourage professionnel, cela vous évitera bien des soucis et des pertes, parfois lourdes, parfois vitales.