Sécurité des e-mails : un guide complet destiné aux équipes informatiques et aux prestataires de services gérés (MSP)

Le courrier électronique reste le vecteur d'attaque le plus exploité dans le domaine de la cybersécurité. Il constitue le point d'entrée pour le phishing, le piratage des comptes de messagerie professionnels, la diffusion de logiciels malveillants et les ransomwares. Malgré des décennies de sensibilisation, c'est toujours par là que commencent la plupart des attaques réussies.

Selon le rapport Kaseya 2026 sur la situation des MSP, 44 % des MSP indiquent qu'au moins 10 % de leurs clients ont été victimes d'une cyberattaque en 2025, et le phishing par e-mail reste le vecteur d'accès initial le plus courant à l'origine de ces incidents. Le rapport Kaseya INKY 2026 sur la sécurité INKY met ces chiffres en perspective : 26 % de toutes les plaintes pour cybercriminalité déposées auprès du FBI sont liées au phishing, avec 2,8 milliards de dollars de pertes déclarées rien que pour les compromissions d'e-mails professionnels. Téléchargez le rapport sur les MSP.

La raison pour laquelle le courrier électronique est un vecteur d'attaque si efficace est simple : il est indispensable, omniprésent et jouit d'une grande confiance. Les gens ouvrent leurs e-mails. Ils cliquent sur les liens. Ils donnent suite aux demandes émanant de personnes qui semblent faire autorité. Les mécanismes qui permettent au courrier électronique de fonctionner comme outil de communication sont précisément ceux que les pirates exploitent. Aucun contrôle technique ne peut se substituer entièrement au jugement humain, mais une infrastructure de sécurité de messagerie adaptée réduit considérablement le volume de contenus malveillants qui parviennent aux utilisateurs et limite les dégâts lorsque certaines attaques parviennent à passer.

Ce guide présente les différents aspects d'une stratégie complète de sécurité des e-mails, des protocoles de base à la détection basée sur l'IA, à l'intention des équipes informatiques et des prestataires de services gérés (MSP) qui gèrent les environnements de messagerie pour le compte de leurs clients.

Pourquoi la sécurité des e-mails nécessite plusieurs niveaux de protection

Aucune mesure de sécurité des e-mails n'est suffisante à elle seule, car différents types d'attaques exploitent différentes vulnérabilités.

Le phishing de masse mise sur le volume : il suffit qu'un faible pourcentage de destinataires clique sur un lien pour que des milliers de comptes soient compromis. Le spear phishing mise sur la pertinence : des messages personnalisés parviennent à tromper même les utilisateurs les plus avertis. Le BEC mise sur la confiance : les messages provenant de comptes compromis ou usurpés contournent totalement les filtres basés sur le contenu. La diffusion de logiciels malveillants mise sur la curiosité : les pièces jointes et les liens malveillants comptent sur le fait que les utilisateurs ouvrent le contenu. La prise de contrôle de compte contourne tous les systèmes de sécurité une fois les identifiants obtenus, car l'attaquant agit alors comme un utilisateur légitime.

Chacune de ces menaces nécessite des mesures de contrôle spécifiques. Un filtrage au niveau de la passerelle qui bloque les contenus malveillants connus n’est d’aucune utilité contre une attaque BEC provenant d’un compte légitime. Le protocole DMARC empêche l’usurpation de domaine, mais ne bloque pas les tentatives sophistiquées d’usurpation d’identité à partir de domaines ressemblants. Les formations de sensibilisation à la sécurité réduisent les taux de clics, mais ne les éliminent pas. Le rapport 2026 de Kaseya INKY sur la sécurité INKY a révélé que le phishing généré par l'IA est désormais la norme, les attaquants produisant à grande échelle des messages très convaincants et étendant leurs attaques à de nouvelles surfaces d'attaque telles que les invitations de calendrier, les documents protégés et les numéros de téléphone de rappel. Téléchargez le rapport 2026 sur la sécurité des e-mails.

La solution efficace consiste à mettre en place des contrôles à plusieurs niveaux, chacun ciblant une partie différente de la surface d'attaque.

Les bases : les protocoles d'authentification des e-mails

Trois protocoles fondamentaux traitent de l'usurpation de domaine, cette technique consistant à envoyer des e-mails qui prétendent à tort provenir d'un domaine légitime.

Le SPF (Sender Policy Framework) définit quels serveurs de messagerie sont autorisés à envoyer des e-mails au nom d'un domaine. Lorsqu'un e-mail prétendant provenir de votre domaine arrive, le serveur destinataire vérifie les enregistrements SPF afin de s'assurer que le serveur expéditeur est bien autorisé.

Le protocole DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique aux e-mails sortants, ce qui permet aux serveurs destinataires de vérifier que le message a bien été envoyé par un expéditeur autorisé et qu'il n'a pas été modifié pendant son acheminement.

Le protocole DMARC (Domain-based Message Authentication, Reporting and Conformance) s'appuie sur les protocoles SPF et DKIM pour indiquer aux serveurs destinataires comment réagir en cas d'échec de l'authentification — mettre en quarantaine ou rejeter les e-mails non authentifiés — et pour rendre compte des messages envoyés qui prétendent provenir de votre domaine.

La configuration DMARC avec une politique `p=reject` est la plus stricte : elle empêche la distribution de tout e-mail dont l'authentification échoue. Pour la mettre pleinement en œuvre, il faut d'abord s'assurer que tous les flux de messagerie légitimes sont correctement authentifiés, y compris ceux provenant de services d'envoi tiers, de plateformes marketing et de fournisseurs d'e-mails transactionnels, afin que les e-mails légitimes ne soient pas bloqués par la politique de rejet.

De nombreuses organisations ont configuré les protocoles SPF et DKIM, mais n'ont pas mis en place l'application de DMARC, ce qui les prive du niveau de protection le plus important.

Lutte contre le phishing et filtrage des e-mails entrants

Les plateformes modernes de sécurité des e-mails ont recours à l'intelligence artificielle et à l'apprentissage automatique pour aller bien au-delà du simple filtrage basé sur des listes noires.

L'analyse de contenu examine le contenu des messages, la réputation de l'expéditeur, l'infrastructure d'envoi et les métadonnées afin d'identifier les schémas de hameçonnage, y compris ceux qui ne correspondent à aucune campagne connue.

L'analyse des liens évalue les URL intégrées en les comparant à des données de renseignement sur les menaces, à des bases de données de réputation et à une analyse en temps réel du contenu de destination. L'analyse au moment du clic réécrit les liens afin qu'ils soient évalués au moment où l'utilisateur clique dessus, offrant ainsi une protection contre le phishing différé, où un lien est sûr au moment de sa transmission mais renvoie vers un contenu malveillant lorsque l'utilisateur clique dessus.

La détection des anomalies basée sur l'IA identifie les messages qui s'écartent des schémas de communication habituels de l'expéditeur apparent, en signalant ceux que l'analyse comportementale juge suspects, même lorsque les indices liés au contenu semblent normaux.

INKY, le produit de sécurité des e-mails de Kaseya, disponible en version autonome ou dans le cadre de Kaseya 365 , adopte une approche distincte face à ce problème. Plutôt que de s’appuyer uniquement sur la reconnaissance de motifs, INKY l’IA générative pour lire le texte des e-mails avec une véritable compréhension, en reconnaissant le sens, l’intention et les signaux subtils de manipulation. Sa vision par ordinateur analyse les e-mails comme le ferait un humain, détectant l'usurpation d'identité de marque, la manipulation de logos, les menaces liées aux codes QR et les attaques combinant texte et éléments visuels que la reconnaissance de formes ne parvient pas à détecter. Il analyse également les relations entre les expéditeurs et les schémas de rédaction pour mettre au jour les anomalies, les comptes compromis et les changements subtils dans la communication qui signalent des tentatives de phishing ou de prise de contrôle de compte.

INKY une menace, il ne se contente pas de la mettre en quarantaine en silence. Il affiche une bannière d'accompagnement claire, avec un code couleur, directement dans la boîte de réception, expliquant ce qui a été détecté et pourquoi, afin que les utilisateurs apprennent en temps réel plutôt que d'être simplement protégés. Une étude indépendante menée par Secure Mentem a révélé que les utilisateurs qui voyaient INKY étaient nettement plus aptes à identifier les messages de phishing et beaucoup moins enclins à interagir avec des e-mails malveillants.

Protection des pièces jointes et des liens

Les pièces jointes et les liens constituent les deux principaux moyens utilisés pour diffuser des logiciels malveillants par e-mail.

Le sandboxing ouvre les pièces jointes dans un environnement isolé avant de les transmettre aux utilisateurs, en exécutant tout code intégré et en observant son comportement. Les pièces jointes malveillantes qui déclenchent l'exécution de logiciels malveillants dans le bac à sable sont bloquées avant d'atteindre la boîte de réception.

La réécriture d'URL et la protection au moment du clic modifient les liens contenus dans les e-mails envoyés afin qu'ils transitent par un service de protection au moment où l'utilisateur clique dessus. Si un lien était sûr au moment de l'envoi mais devient malveillant par la suite, la protection au moment du clic le détecte.

Le blocage des types de fichiers empêche la transmission des types de fichiers couramment utilisés pour la diffusion de logiciels malveillants, notamment les fichiers exécutables, les documents Office contenant des macros et les fichiers JavaScript, lorsque ces types de fichiers n'ont aucune utilité professionnelle légitime dans l'environnement.

Protection contre la prise de contrôle de compte

Une fois qu'un pirate a mis la main sur des identifiants de messagerie, que ce soit par hameçonnage, par « credential stuffing » ou à la suite d'une fuite de données, il agit comme un utilisateur légitime. Le filtrage technique des e-mails n'empêche pas le passage des messages envoyés depuis un compte légitime et authentifié.

La protection contre le piratage de compte nécessite la mise en œuvre conjointe de plusieurs mesures de sécurité.

La mise en place de l'authentification multifactorielle (MFA) sur tous les comptes de messagerie garantit que le vol d'identifiants ne suffit pas à lui seul pour obtenir un accès. La MFA constitue la principale mesure de sécurité et la mesure la plus efficace que la plupart des organisations puissent mettre en œuvre.

La détection des connexions anormales signale les accès provenant d'endroits inhabituels, d'appareils inhabituels ou à des heures inhabituelles, afin de déclencher des alertes ou de déclencher une authentification renforcée.

La surveillance des règles de boîte de réception permet de détecter l'un des comportements les plus courants après une intrusion : les pirates qui accèdent à des comptes de messagerie créent souvent des règles de boîte de réception pour transférer des copies vers une adresse externe ou supprimer les notifications de sécurité entrantes. La surveillance de la création inattendue de règles de boîte de réception constitue un indicateur précoce d'une intrusion.

La surveillance du dark web permet d'identifier les identifiants apparus dans des bases de données issues de violations de données provenant de services tiers, ce qui déclenche une réinitialisation immédiate des mots de passe avant que les attaques par « credential stuffing » ne puissent aboutir. INKY les relations entre les expéditeurs et les schémas de communication afin de détecter les tentatives de prise de contrôle de comptes ; la surveillance du dark web pour les identifiants compromis est disponible via la suite de sécurité utilisateur plus complète Kaseya 365 .

Sécurité des e-mails sortants

La sécurité des e-mails sortants protège à la fois les données de l'entreprise et sa réputation en matière d'envoi.

Le DLP (Data Loss Prevention) analyse les e-mails sortants à la recherche de contenus qui ne devraient pas quitter l'entreprise : des données sensibles telles que des numéros de carte de paiement, des informations sur les patients ou des documents confidentiels.

Le chiffrement des e-mails sensibles sortants garantit la protection des contenus qui doivent être sécurisés pendant leur transfert.

La gestion de la réputation d'envoi permet de surveiller les taux de rebond, les plaintes pour spam et le statut sur liste noire des domaines d'envoi. Un compte piraté utilisant votre domaine pour envoyer du spam peut nuire à la délivrabilité de votre infrastructure de messagerie, ce qui affecte vos communications professionnelles légitimes.

Sécurité des e-mails pour les MSP

Pour les MSP qui gèrent les environnements de messagerie électronique de leurs clients, il convient de prendre en compte quelques éléments supplémentaires.

La mise en œuvre de DMARC pour l'ensemble du portefeuille de clients constitue un service à forte valeur ajoutée et évolutif. De nombreux clients ont déjà mis en place les protocoles SPF et DKIM, mais ne disposent pas encore de DMARC, ou bien ont configuré DMARC en mode surveillance sans application des règles. Le passage des clients à une application complète de DMARC réduit considérablement leur vulnérabilité face à l'usurpation de domaine et se traduit par une amélioration mesurable et quantifiable de la sécurité.

La gestion multi-locataires centralisée pour l'ensemble des clients garantit à la fois une efficacité opérationnelle et la disponibilité des données nécessaires à l'établissement des rapports clients. Le tableau de bord multi-locataires INKYpermet aux administrateurs de paramétrer le comportement des bannières, d'affiner les politiques de détection et de gérer la sécurité de toutes les boîtes mail des clients à partir d'une interface unique. Les données issues des études de cas de l'entreprise montrent qu'elle gère 1 000 boîtes mail en moins d'une heure par mois.

Des workflows de lutte contre le phishing signalés par les utilisateurs qui acheminent les e-mails suspects signalés vers un processus de vérification, assurent le suivi auprès de l'auteur du signalement et réinjectent ces informations dans les règles de détection. Les outils d'investigation et d'automatisation intégrés INKYprennent en charge ce workflow, réduisant ainsi la charge de travail liée au tri manuel que génère généralement le phishing signalé par les utilisateurs.

Découvrez INKY Kaseya 365 pour la sécurité des e-mails des MSP.

Au-delà des e-mails : quand la boîte de réception n'est qu'un point d'entrée

Les outils de sécurité des e-mails sont conçus pour bloquer les menaces dès la boîte de réception. Cependant, les attaques les plus destructrices utilisent l'e-mail comme point d'entrée, puis se propagent latéralement au sein des systèmes, en augmentant leurs privilèges et en exfiltrant des données d'une manière que les contrôles au niveau de la boîte de réception ne peuvent ni détecter ni contenir.

Kaseya SIEM étend la visibilité au-delà de la boîte de réception en regroupant les données de télémétrie des e-mails avec celles des terminaux, du réseau, du cloud et des identités, et en établissant des corrélations entre plus de 60 sources de données afin de détecter l'ensemble de la chaîne d'attaque : depuis l'e-mail de phishing initial jusqu'au vol d'identifiants, en passant par les mouvements latéraux et l'exfiltration de données. La réponse automatisée permet de contenir les menaces en quelques minutes, en intervenant sur l'ensemble des systèmes plutôt qu'en se contentant de mettre un seul message en quarantaine.

Pour les entreprises où la messagerie électronique constitue la principale surface d'attaque, l'association INKY la boîte de réception et de Kaseya SIEM à l'échelle de l'ensemble de l'environnement offre une protection multicouche qu'aucune de ces solutions ne peut assurer à elle seule.