Cybersécurité

Phishing et sécurité de la messagerie : se défendre en entreprise

SPF, DKIM, DMARC, filtrage et sensibilisation : réduire le risque d'hameçonnage et de compromission de la messagerie en entreprise, selon l'ANSSI et la CISA.

Marc Aubert · Mis à jour le par Marc Aubert

Le courriel est le moyen de communication le plus universel de l’entreprise, et c’est précisément ce qui en fait la porte d’entrée préférée des attaquants. Année après année, les agences nationales et les rapports de menaces font le même constat : l’hameçonnage demeure le vecteur initial de la grande majorité des compromissions, qu’il s’agisse de voler des identifiants, de déclencher un rançongiciel ou de détourner un virement. La raison est simple : il est plus facile de tromper une personne que de percer une défense technique correctement configurée. Sécuriser la messagerie ne se résume donc pas à installer un anti-spam. C’est une discipline en profondeur qui combine l’authentification du domaine, le filtrage technique et la préparation des collaborateurs. Ce guide détaille ces trois piliers et les procédures qui font la différence pour un RSSI ou un DSI.

Pourquoi la messagerie reste le maillon faible

Le protocole de messagerie historique, SMTP, a été conçu à une époque où la confiance entre serveurs allait de soi. Il ne prévoit nativement aucun mécanisme pour garantir que l’expéditeur affiché est bien celui qu’il prétend être. Cette permissivité d’origine permet à un attaquant d’usurper trivialement une adresse d’expéditeur, c’est-à-dire d’afficher dans le champ « De : » une adresse qui n’est pas la sienne. C’est le fondement technique d’une grande partie des campagnes d’hameçonnage.

À cette faiblesse de conception s’ajoute la dimension humaine. Un courriel arrive dans un flux quotidien dense, souvent lu rapidement, parfois sur mobile où les indices de fraude sont moins visibles. L’attaquant exploite des ressorts psychologiques bien connus : l’urgence (« votre compte sera suspendu »), l’autorité (« message du directeur financier »), la curiosité ou la peur. Ces leviers d’ingénierie sociale court-circuitent l’analyse rationnelle. La CISA, l’agence américaine de cybersécurité, rappelle que la défense la plus efficace contre ces manipulations combine vigilance humaine et garde-fous techniques, jamais l’un sans l’autre [3].

Un éventail de techniques, du massif au ciblé

Toutes les attaques par courriel ne se valent pas. Distinguer les familles aide à calibrer la défense.

L’hameçonnage de masse envoie le même message frauduleux à un très grand nombre de destinataires, en pariant sur le volume. Il imite généralement une marque connue (banque, transporteur, administration) et reste souvent détectable par un filtrage technique correct.

Le spear phishing, ou harponnage, cible une personne précise. L’attaquant collecte au préalable des informations sur sa victime, son organisation, ses relations, parfois sur les réseaux sociaux, pour fabriquer un message sur mesure. La crédibilité est bien supérieure, et le filtrage automatique beaucoup moins efficace.

La fraude au président, désignée par l’acronyme BEC (Business Email Compromise), pousse la logique à son extrême. Elle usurpe l’identité d’un dirigeant ou d’un fournisseur pour obtenir un virement urgent ou un changement de coordonnées bancaires. Particularité redoutable : ce type de message ne contient souvent ni lien ni pièce jointe malveillante. Il n’y a donc rien à analyser techniquement, seulement un texte plausible. C’est l’une des fraudes les plus coûteuses pour les entreprises, et elle ne se traite pas par un filtre mais par une procédure.

Premier pilier : authentifier sa messagerie avec SPF, DKIM et DMARC

Le premier réflexe n’est pas défensif au sens classique : il s’agit d’empêcher que votre propre domaine soit utilisé pour piéger autrui. Trois mécanismes, normalisés et complémentaires, répondent à cet objectif. Ils s’appuient tous sur des enregistrements publiés dans votre zone DNS.

MécanismeCe qu’il vérifieCe qu’il protège
SPFQue le serveur émetteur est autorisé à envoyer pour le domaineContre l’usurpation de l’enveloppe d’envoi
DKIMQue le message n’a pas été altéré, via une signature cryptographiqueL’intégrité et l’authenticité du message
DMARCL’alignement de SPF et DKIM avec l’adresse affichée, et la conduite à tenir en cas d’échecContre l’usurpation de l’adresse visible par l’utilisateur

SPF (Sender Policy Framework) publie dans le DNS la liste des serveurs autorisés à émettre du courrier au nom de votre domaine. Le serveur destinataire compare l’origine du message à cette liste. SPF protège l’adresse d’enveloppe, mais pas nécessairement l’adresse affichée à l’utilisateur, d’où la nécessité des deux autres briques.

DKIM (DomainKeys Identified Mail) ajoute à chaque message une signature cryptographique. Le serveur récepteur vérifie cette signature à l’aide d’une clé publique publiée dans le DNS. Si la signature est valide, le message provient bien du domaine annoncé et n’a pas été modifié en transit.

DMARC (Domain-based Message Authentication, Reporting and Conformance) est la clé de voûte. Il vérifie que SPF ou DKIM réussit ET que le domaine validé correspond bien à l’adresse affichée dans le champ « De : », celle que voit l’utilisateur. C’est ce qu’on appelle l’alignement. DMARC indique aussi au serveur destinataire la conduite à tenir en cas d’échec (ne rien faire, mettre en quarantaine, rejeter) et organise l’envoi de rapports vers l’émetteur [6].

Déployer DMARC sans casser son courrier légitime

L’erreur classique consiste à activer une politique de rejet immédiate, ce qui bloque alors tout le courrier légitime émis par des sources mal configurées ou oubliées. Le déploiement se fait par paliers. On commence en politique de supervision, dite p=none : aucun message n’est bloqué, mais les rapports DMARC remontent et révèlent toutes les sources d’envoi du domaine, y compris les outils marketing, l’ERP ou les prestataires que personne n’avait recensés. Une fois ces sources correctement alignées, on passe en quarantaine (p=quarantine), puis seulement en rejet (p=reject). Cette progression méthodique est la condition d’un déploiement réussi sans incident métier. L’ANSSI recommande explicitement cette montée en charge progressive pour les domaines de l’État comme des entreprises [2].

Deuxième pilier : le filtrage technique en entrée

Authentifier son domaine protège ses correspondants. Il faut en parallèle protéger ses propres utilisateurs des messages malveillants entrants. C’est le rôle de la passerelle de sécurité de messagerie, qui s’interpose avant la boîte de réception.

Un dispositif de filtrage moderne combine plusieurs couches d’analyse. L’analyse de réputation écarte les serveurs et domaines connus pour émettre du courrier malveillant. L’analyse des pièces jointes détecte les fichiers piégés, parfois en les exécutant dans un environnement isolé (bac à sable) pour observer leur comportement avant livraison. L’analyse des liens réécrit ou inspecte les URL pour bloquer les pages d’hameçonnage, y compris lorsque le lien devient malveillant après l’envoi, une technique d’évasion courante. Enfin, des modèles comportementaux repèrent les anomalies, comme un message prétendant venir d’un dirigeant mais émis depuis une infrastructure inhabituelle.

Ce filtrage traite l’écrasante majorité du volume malveillant, mais il a une limite structurelle. Face au spear phishing personnalisé et surtout au BEC sans charge utile technique, il n’y a souvent rien à détecter : le message est un simple texte crédible. C’est précisément cette zone résiduelle que les deux autres piliers doivent couvrir. Cette logique de couches qui se relaient, où aucune n’est jugée suffisante isolément, est au cœur de l’approche que nous détaillons dans notre guide de l’architecture Zero Trust.

Troisième pilier : la sensibilisation et la culture du signalement

Puisque la technique laisse passer une part irréductible des attaques les plus ciblées, le collaborateur devient un capteur essentiel. Encore faut-il l’outiller et l’entraîner correctement, sans en faire un bouc émissaire.

Former, mesurer, recommencer

Une sensibilisation efficace n’est pas une formation annuelle expédiée en une heure. C’est un programme continu qui combine des contenus courts et réguliers, des rappels contextualisés et des exercices pratiques. Les campagnes de tests d’hameçonnage, lorsqu’elles sont bien menées, sont un outil de cet arsenal : elles envoient des faux messages d’hameçonnage contrôlés, puis affichent immédiatement un message pédagogique au collaborateur qui clique. L’indicateur pertinent n’est pas le taux de clic, qui peut être manipulé par la difficulté du test, mais l’évolution du taux de signalement : la proportion de collaborateurs qui repèrent et remontent un message douteux.

Le ton compte autant que le contenu. Une démarche punitive génère de la peur, et la peur pousse à cacher les erreurs plutôt qu’à les signaler. Or, en matière d’hameçonnage, le délai entre le clic et le signalement détermine la gravité de l’incident. Une culture où signaler une erreur est valorisé, et non sanctionné, raccourcit ce délai et limite les dégâts.

Le bouton de signalement, un réflexe à industrialiser

Concrètement, chaque collaborateur doit disposer d’un moyen simple et visible de signaler un message suspect, idéalement un bouton intégré directement à la messagerie. Ces signalements alimentent l’équipe de sécurité, qui peut alors retirer en masse un message malveillant des autres boîtes avant qu’il ne soit ouvert. Le réflexe individuel devient ainsi une donnée collective de détection. Cette logique de détection alimentée par les utilisateurs s’articule avec le dispositif de surveillance global, comme nous l’évoquons dans notre comparatif des solutions de détection et de réponse EDR, MDR et XDR pour le RSSI.

Le cas particulier de la fraude au virement (BEC)

La fraude au président mérite un traitement à part, car elle déjoue par construction les défenses techniques. Le scénario type : un message paraissant émaner du dirigeant ou d’un fournisseur habituel demande, avec un argument d’urgence et de confidentialité, un virement vers un nouveau compte ou un changement de coordonnées bancaires. Aucun lien, aucune pièce jointe : rien à filtrer.

La seule parade robuste est procédurale, et non technique. Toute opération sensible, virement au-delà d’un seuil, modification de coordonnées bancaires d’un bénéficiaire, doit faire l’objet d’une validation par un canal indépendant de la messagerie. Concrètement : rappeler le demandeur sur un numéro connu et vérifié au préalable, jamais celui indiqué dans le message suspect. Ce principe de double validation hors bande neutralise l’essentiel de la fraude BEC, à condition d’être inscrit dans une procédure formelle, connue de tous les acteurs de la chaîne financière, et appliqué sans exception même sous pression hiérarchique. La gestion d’un incident de ce type, lorsqu’il survient, relève de la même rigueur que celle exposée dans notre dossier sur la gestion de crise cyber, PCA et PRA.

L’effet de l’IA générative sur l’hameçonnage en 2026

Une évolution structurelle pèse sur le paysage 2026 : la qualité des messages frauduleux a fait un bond. Les fautes d’orthographe et les tournures maladroites, qui servaient longtemps d’indices de fraude, disparaissent. Les outils d’IA générative produisent des courriels parfaitement rédigés, dans la langue et le registre de la cible, et permettent de personnaliser à grande échelle ce qui relevait auparavant d’un travail manuel réservé aux attaques les plus soignées. La frontière entre hameçonnage de masse et spear phishing s’estompe.

Cette montée en qualité a une conséquence directe sur la stratégie de défense : il devient illusoire de compter sur la capacité des utilisateurs à repérer un message « mal fait ». Le critère de vigilance se déplace du « ce message est mal écrit » vers « cette demande est-elle légitime, attendue, et conforme à la procédure », indépendamment de la qualité formelle. C’est un changement de posture que les programmes de sensibilisation doivent intégrer. Cette dimension rejoint plus largement les enjeux que nous traitons dans notre analyse de l’IA appliquée à la cybersécurité et à la détection des menaces.

Renforcer les comptes : l’authentification multifacteur

Beaucoup d’attaques par hameçonnage visent en réalité un objectif intermédiaire : voler les identifiants d’un compte de messagerie pour s’en servir ensuite comme tremplin. Un compte compromis devient une base d’attaque idéale, car les messages envoyés depuis une adresse interne légitime franchissent toutes les défenses. C’est pourquoi la protection des comptes par authentification multifacteur est indissociable de la sécurité de la messagerie.

Encore faut-il privilégier des facteurs résistants à l’hameçonnage. Les codes à usage unique transmis par SMS ou par application peuvent eux-mêmes être interceptés par des pages d’hameçonnage en temps réel. Les standards modernes fondés sur la cryptographie, comme les clés et passkeys FIDO2, ne sont pas transmissibles à un attaquant et résistent donc à cette interception. Nous développons ce sujet, ainsi que les arbitrages de déploiement, dans notre guide sur la MFA et l’authentification forte en entreprise.

Hameçonnage et chaîne de l’attaque

Il est utile de replacer l’hameçonnage dans la séquence d’une attaque réussie. Le message frauduleux est rarement une fin en soi : il est l’accès initial, la première marche. Vol d’identifiants, dépôt d’un implant via une pièce jointe, ou simple manipulation conduisant à un virement, l’hameçonnage ouvre la porte à des phases ultérieures qui font les gros titres, à commencer par les rançongiciels. Bloquer ou ralentir cet accès initial a donc un effet de levier considérable sur l’ensemble de la chaîne. C’est pourquoi la sécurité de la messagerie figure en bonne place dans notre analyse des vecteurs d’attaque des ransomwares : casser le premier maillon évite d’avoir à gérer les suivants.

Que disent les autorités

Le message des agences est convergent et constant. La CISA insiste sur la combinaison entre garde-fous techniques et vigilance humaine, et rappelle qu’aucun filtre ne remplacera jamais un utilisateur informé [3]. L’ANSSI, via la plateforme cybermalveillance.gouv.fr, met à disposition des fiches réflexes destinées tant aux particuliers qu’aux organisations, et promeut le déploiement progressif de SPF, DKIM et DMARC pour assainir l’écosystème de la messagerie [1][2]. L’ENISA replace l’hameçonnage parmi les menaces majeures de son panorama annuel et souligne la sophistication croissante des campagnes, désormais amplifiée par l’automatisation [4]. Aucune de ces sources ne propose de solution miracle : toutes décrivent une défense en couches, à la fois technique, organisationnelle et humaine.

Synthèse pour le décideur

La sécurité de la messagerie ne se résume pas à un produit que l’on achète, mais à un système de défense à trois étages qui doivent tenir ensemble. Authentifier son domaine avec SPF, DKIM et DMARC protège sa marque et ses correspondants. Filtrer en entrée écarte le gros du volume malveillant. Préparer les collaborateurs et instaurer des procédures de vérification hors messagerie traitent ce que la technique ne peut pas voir, en particulier la fraude au virement. À ces trois piliers s’ajoute la protection des comptes par une authentification multifacteur résistante à l’hameçonnage. En 2026, la qualité des messages frauduleux dopés par l’IA rend ce dispositif d’ensemble plus nécessaire que jamais : on ne se défend plus en repérant un courriel mal écrit, mais en validant la légitimité d’une demande. Une PME et une grande entité n’ont pas les mêmes moyens, mais elles partagent la même logique : faire de la messagerie un terrain défendu en profondeur plutôt qu’une porte laissée entrouverte.

Références

[1] ANSSI et cybermalveillance.gouv.fr, fiche réflexe hameçonnage (phishing). [2] ANSSI, recommandations relatives à la sécurisation de la messagerie (SPF, DKIM, DMARC). [3] CISA, Avoiding Social Engineering and Phishing Attacks. [4] ENISA, Threat Landscape, chapitre relatif à l’hameçonnage. [5] FIRST, ressources sur la réponse aux incidents de messagerie. [6] DMARC.org, spécification et guides de déploiement de DMARC.

Sources primaires : ANSSI, Cybermalveillance, CISA, ENISA, DMARC.org.

Questions fréquentes

Quelle différence entre phishing, spear phishing et BEC ?

Le phishing (hameçonnage) désigne l'envoi massif de messages frauduleux qui imitent une marque ou une institution pour pousser le destinataire à divulguer des informations ou à cliquer sur un lien piégé. Le spear phishing (harponnage) est une variante ciblée : le message est personnalisé pour une personne précise à partir d'informations collectées en amont, ce qui le rend bien plus crédible. Le BEC (Business Email Compromise), ou fraude au président, est une forme avancée d'ingénierie sociale qui usurpe l'identité d'un dirigeant ou d'un fournisseur pour obtenir un virement ou un changement de coordonnées bancaires, souvent sans aucune pièce jointe ni lien malveillant. Cette absence d'élément technique détectable rend le BEC particulièrement difficile à filtrer et explique son coût élevé.

SPF, DKIM et DMARC protègent-ils contre la réception de messages d'hameçonnage ?

Non, et c'est un malentendu fréquent. SPF, DKIM et DMARC authentifient les messages envoyés depuis votre propre domaine : ils empêchent un tiers d'usurper votre nom de domaine pour piéger vos clients ou vos partenaires. Ils protègent donc votre réputation et vos correspondants, pas votre boîte de réception. Pour filtrer les messages malveillants que vous recevez, il faut un dispositif de filtrage en entrée (passerelle de sécurité de messagerie, anti-spam, analyse des liens et des pièces jointes), distinct de l'authentification du domaine. Les deux sont nécessaires et complémentaires : l'un protège votre marque, l'autre protège vos utilisateurs.

Faut-il passer DMARC en politique de rejet d'emblée ?

Non, le déploiement de DMARC se fait par paliers pour éviter de bloquer du courrier légitime. On commence en politique de supervision (p=none), qui n'agit pas sur les messages mais déclenche l'envoi de rapports. Ces rapports permettent d'identifier toutes les sources d'envoi légitimes du domaine, souvent oubliées : outils marketing, ERP, prestataires, services tiers. Une fois ces sources correctement alignées sur SPF et DKIM, on passe en mise en quarantaine (p=quarantine), puis seulement en rejet (p=reject). Sauter cette phase d'observation expose à perdre des courriels métier légitimes, ce qui discrédite la démarche en interne.

Les tests d'hameçonnage envoyés aux salariés sont-ils utiles ?

Ils le sont à condition d'être conçus comme un outil de formation et non de sanction. Un test isolé ne produit aucun effet durable et, mal mené, peut nourrir la défiance envers la sécurité. Une campagne efficace est répétée dans le temps, accompagnée immédiatement d'un message pédagogique lorsqu'un collaborateur clique, et mesurée par l'évolution du taux de signalement plutôt que du seul taux de clic. L'objectif n'est pas de piéger les gens mais de construire un réflexe : signaler un message douteux. La CNIL et l'ANSSI rappellent par ailleurs que ces campagnes doivent respecter le cadre social et la proportionnalité, sans surveillance individuelle injustifiée.

Comment réagir si un collaborateur a cliqué sur un lien d'hameçonnage ?

La priorité est de ne pas culpabiliser pour favoriser le signalement rapide, car le délai de réaction est déterminant. Si des identifiants ont pu être saisis, il faut réinitialiser immédiatement le mot de passe concerné et vérifier que l'authentification multifacteur est active sur le compte. L'équipe de sécurité examine ensuite les journaux de connexion à la recherche d'un accès anormal, isole le poste si une pièce jointe a été ouverte, et surveille les règles de transfert automatique de la boîte, souvent posées par les attaquants pour exfiltrer le courrier. La plateforme cybermalveillance.gouv.fr fournit une fiche réflexe détaillée pour ces situations.

Sources citées

  1. https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing
  2. https://cyber.gouv.fr/
  3. https://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks
  4. https://www.enisa.europa.eu/
  5. https://www.first.org/
  6. https://dmarc.org/
#phishing#hameçonnage#DMARC#SPF#DKIM#messagerie
Cybersécurité

Protection DDoS en entreprise : guide de défense 2026

Comprendre les attaques DDoS volumétriques, protocolaires et applicatives, puis bâtir une architecture de mitigation résiliente : guide opérationnel pour RSSI et DSI en 2026.
Cybersécurité

Gestion de crise cyber : PCA, PRA et exercices en entreprise

Anticiper, décider, reconstruire : la méthode ANSSI pour bâtir un plan de continuité d'activité cyber, le tester et tenir la barre pendant l'incident.
Cybersécurité

Gestion des vulnérabilités : du CVE au patch en entreprise

CVE, CVSS, KEV, EPSS : comment bâtir un processus de gestion des vulnérabilités qui priorise sur le risque réel plutôt que sur le volume, en s'appuyant sur les sources officielles.