Aller au contenu principal
Retour aux blog
Comment protéger sa boîte email professionnelle contre le phishing
BlogDanger élevé

Comment protéger sa boîte email professionnelle contre le phishing

Guide complet pour sécuriser votre messagerie d'entreprise contre le BEC, le spear phishing et la fraude au président. Méthodes et outils concrets.

Partager

Le phishing professionnel : une menace en pleine explosion

En 2025, 91 % des cyberattaques contre les entreprises françaises ont commencé par un email. Le phishing ciblant les messageries professionnelles ne ressemble plus aux arnaques grossières bourrées de fautes d'orthographe. Aujourd'hui, les attaquants mènent de véritables enquêtes sur leurs cibles avant de frapper.

Le coût moyen d'une attaque réussie de type BEC (Business Email Compromise) dépasse les 120 000 euros pour une PME française. Pour les grandes entreprises, les pertes peuvent atteindre plusieurs millions. Au-delà de l'impact financier, c'est la réputation de l'entreprise et la confiance de ses partenaires qui sont en jeu.

Ce guide vous présente les différentes formes de phishing professionnel et les mesures concrètes pour protéger votre organisation.

Les trois grandes menaces sur la messagerie d'entreprise

Le BEC (Business Email Compromise)

Le BEC, ou compromission de messagerie d'entreprise, consiste à usurper ou pirater un compte email professionnel pour détourner des fonds ou voler des données. L'attaquant se fait passer pour un collaborateur, un fournisseur ou un dirigeant.

Scénario type : Un fournisseur vous envoie une facture avec un nouveau RIB. L'email provient bien de son adresse habituelle (qui a été piratée). Vous effectuez le virement sur le nouveau compte... qui appartient aux escrocs.

Signaux d'alerte :

  • Changement de coordonnées bancaires par email
  • Demande urgente de virement inhabituel
  • Légères différences dans l'adresse email (un caractère modifié)
  • Ton ou formulation qui ne correspond pas à l'interlocuteur habituel

Le spear phishing (hameçonnage ciblé)

Contrairement au phishing de masse, le spear phishing cible une personne précise au sein de l'entreprise. L'attaquant a fait ses recherches : il connaît votre nom, votre poste, vos collègues, vos projets en cours.

Exemple concret : Vous recevez un email de votre "DRH" vous demandant de consulter le nouveau planning des congés via un lien. Le lien mène vers une fausse page de connexion Microsoft 365 qui capture vos identifiants.

Ce qui rend le spear phishing redoutable :

  • L'email mentionne des informations réelles (nom de projets, collègues)
  • L'expéditeur semble être quelqu'un de votre organisation
  • Le contexte est plausible et adapté à votre fonction
  • L'urgence ou l'autorité hiérarchique pousse à agir vite

La fraude au président (CEO fraud)

Variante du BEC, la fraude au président consiste à usurper l'identité du dirigeant pour ordonner un virement urgent et confidentiel. L'escroc joue sur l'autorité hiérarchique et la pression temporelle.

Le schéma classique :

  1. L'escroc identifie le dirigeant et le comptable de l'entreprise (via LinkedIn, Societe.com, etc.)
  2. Il contacte le comptable en se faisant passer pour le PDG
  3. Il invoque un dossier confidentiel nécessitant un virement immédiat
  4. Il insiste sur le secret absolu ("N'en parlez à personne pour l'instant")
  5. Il maintient la pression par des relances téléphoniques

Chiffres alarmants : En France, la fraude au président a coûté plus de 500 millions d'euros aux entreprises ces dernières années. Certaines PME ont fait faillite suite à un seul virement frauduleux.

Les techniques d'attaque les plus sophistiquées en 2026

| Technique | Description | Niveau de danger | |-----------|-------------|-----------------| | Typosquatting | Domaine quasi identique (ex: entreprlse.fr au lieu de entreprise.fr) | Elevé | | Compromission de compte | Accès réel au compte email d'un collaborateur | Critique | | Man-in-the-middle email | Interception et modification d'emails en transit | Critique | | Deepfake vocal | Appel téléphonique avec voix clonée du dirigeant | Elevé | | Thread hijacking | Insertion dans une conversation email existante | Très élevé | | Phishing via QR code | QR code dans un email professionnel menant vers un site frauduleux | Moyen |

Le thread hijacking est particulièrement dangereux : après avoir compromis une boîte mail, l'attaquant répond à de vrais échanges en cours. Le destinataire n'a aucune raison de se méfier puisque la conversation est authentique.

10 mesures concrètes pour protéger votre entreprise

1. Activer l'authentification multifacteur (MFA)

C'est la mesure la plus efficace et la plus simple à mettre en place. Même si un mot de passe est volé, l'attaquant ne peut pas accéder au compte sans le second facteur.

  • Privilégiez une application d'authentification (Microsoft Authenticator, Google Authenticator) plutôt que les SMS
  • Déployez le MFA sur tous les comptes sans exception, y compris les comptes administrateurs
  • Envisagez les clés de sécurité physiques (YubiKey, FIDO2) pour les postes les plus sensibles

2. Configurer les protocoles d'authentification email

Trois protocoles essentiels empêchent l'usurpation de votre domaine :

  • SPF (Sender Policy Framework) : définit quels serveurs sont autorisés à envoyer des emails pour votre domaine
  • DKIM (DomainKeys Identified Mail) : ajoute une signature cryptographique à vos emails
  • DMARC (Domain-based Message Authentication) : indique aux serveurs destinataires comment traiter les emails échouant aux vérifications SPF/DKIM

Sans ces protocoles, n'importe qui peut envoyer un email en se faisant passer pour votre entreprise.

3. Former régulièrement les collaborateurs

La technologie ne suffit pas. Le facteur humain reste le maillon faible. Organisez des formations régulières incluant :

  • Des exemples concrets d'emails de phishing (anonymisés)
  • Des exercices de simulation : envoyez de faux phishing pour tester la vigilance
  • Des procédures claires : que faire quand on reçoit un email suspect ?
  • Des mises à jour trimestrielles sur les nouvelles techniques d'arnaque

4. Mettre en place une procédure de double validation

Pour tout virement supérieur à un certain montant ou tout changement de coordonnées bancaires :

  • Vérification téléphonique auprès du demandeur (à un numéro connu, pas celui fourni dans l'email)
  • Double signature obligatoire pour les virements importants
  • Délai de validation de 24 à 48 heures pour tout changement de RIB fournisseur

5. Utiliser un filtre anti-phishing avancé

Les solutions de filtrage modernes analysent bien plus que le contenu textuel :

  • Analyse des liens en temps réel (sandboxing d'URL)
  • Détection des pièces jointes malveillantes (analyse comportementale)
  • Vérification de la réputation de l'expéditeur
  • Détection d'anomalies dans les habitudes de communication

6. Segmenter les accès et appliquer le principe du moindre privilège

Chaque collaborateur ne doit avoir accès qu'aux ressources nécessaires à sa fonction. Si un compte est compromis, les dégâts restent limités à son périmètre d'accès.

7. Surveiller les connexions suspectes

Activez les alertes pour :

  • Les connexions depuis des pays inhabituels
  • Les connexions à des heures anormales
  • Les transferts massifs d'emails vers l'extérieur
  • La création de règles de transfert automatique (technique favorite des attaquants après compromission)

8. Sécuriser les appareils mobiles

Les smartphones accèdent aux emails professionnels mais affichent moins d'informations de sécurité :

  • L'adresse complète de l'expéditeur est souvent tronquée
  • Le survol des liens est impossible sur écran tactile
  • Les connexions sur réseaux Wi-Fi publics sont plus fréquentes

Imposez un MDM (Mobile Device Management) et une politique de sécurité mobile claire.

9. Préparer un plan de réponse aux incidents

Avant qu'une attaque ne survienne, définissez :

  • Qui contacter en cas de suspicion (référent cybersécurité, RSSI, prestataire IT)
  • Comment isoler un compte compromis rapidement
  • Comment communiquer avec les partenaires si votre domaine a été usurpé
  • Comment préserver les preuves pour un éventuel dépôt de plainte

10. Auditer régulièrement votre posture de sécurité

  • Testez vos configurations SPF, DKIM et DMARC avec des outils en ligne
  • Réalisez des tests d'intrusion (pentest) incluant le volet ingénierie sociale
  • Analysez les emails de phishing reçus pour identifier les tendances
  • Vérifiez régulièrement les droits d'accès et supprimez les comptes obsolètes

Que faire si votre entreprise est victime ?

Si malgré toutes les précautions une attaque réussit, voici les étapes immédiates :

  1. Isolez le compte compromis : changez le mot de passe, révoquez les sessions actives
  2. Alertez votre banque immédiatement si un virement frauduleux a été effectué (vous avez un court délai pour tenter un rappel de fonds)
  3. Prévenez vos contacts : si votre compte a été utilisé pour envoyer des phishing, informez vos partenaires
  4. Conservez toutes les preuves : emails, logs de connexion, captures d'écran
  5. Déposez plainte auprès de la police ou de la gendarmerie, et signalez sur la plateforme Thésée
  6. Contactez l'ANSSI si vous êtes un opérateur d'importance vitale ou un organisme public

Conclusion : la sécurité email est l'affaire de tous

La protection de la messagerie professionnelle ne repose pas sur un seul outil ou une seule mesure. C'est une approche multicouche combinant technologie, formation et procédures organisationnelles.

Les entreprises les plus résilientes sont celles qui considèrent la cybersécurité comme un investissement continu, pas comme une dépense ponctuelle. Face à des attaquants de plus en plus sophistiqués, seule une culture de la vigilance partagée par tous les collaborateurs peut faire la différence.

Commencez par les mesures les plus impactantes : le MFA, la formation des équipes et les procédures de double validation. Ces trois piliers suffisent à bloquer la grande majorité des attaques par phishing professionnel.

Articles similaires

Phishing en entreprise : BEC, spear phishing et whale phishing expliqués

BEC, spear phishing, whale phishing : comprendre les attaques ciblées en entreprise et former efficacement vos employés pour s'en protéger.

Lire

Phishing Chronopost : SMS et emails de livraison frauduleux, faux frais de douane

Reconnaissez les faux SMS et emails Chronopost : frais de livraison fictifs, faux suivi de colis, arnaques aux frais de douane. Guide complet.

Lire

Phishing Doctolib : faux rappels de rendez-vous et emails de confirmation frauduleux

Apprenez a reconnaitre les faux emails et SMS Doctolib : faux rappels de rendez-vous, confirmations frauduleuses, vol de donnees de sante.

Lire