Utiliser les outils des courriels en toute sécurité.

Les meilleures pratiques en matière de sécurité des e-mails que chaque professionnel doit connaître.

La sécurité des e-mails n'est pas un sujet à prendre à la légère.

Pour de nombreuses organisations, le courrier électronique est le canal de communication le plus important. Et si quelqu'un accède à votre compte, cela peut ouvrir la porte à un certain nombre de violations de données - et elles ne sont pas bon marché de nos jours.

Dans cet article, nous aborderons les meilleures pratiques en matière de sécurité de la messagerie électronique que toute organisation devrait suivre, ou du moins connaître.

Meilleures pratiques en matière de sécurité des e-mails
La plupart des pirates en puissance et des concurrents curieux sont des opportunistes, à la recherche de fruits mûrs pour dépenser le moins de ressources possible. Les pratiques de sécurité de base, même routinières, suffiront à vous protéger contre la grande majorité de ces types de menaces.

Si vous pouvez utiliser la plupart ou la totalité de ces meilleures pratiques de sécurité des e-mails, vous vous protégerez de la grande majorité des menaces potentielles :

1. Visualisez l'activité de messagerie de votre équipe

Cela peut sembler simple, mais commencez par visualiser votre activité de messagerie. L'e-mail est tellement intégré à notre vie professionnelle que nous pouvons l'utiliser des heures par jour sans même penser à son fonctionnement, d'un point de vue technologique.

Combien d'e-mails envoyez-vous et recevez vous chaque jour ? À combien de listes et de bulletins d'information par courriel êtes-vous abonné ? Combien de temps passez-vous à échanger des courriels avec des personnes extérieures à votre organisation ?

La visualisation de votre activité de messagerie est le moyen de répondre à ces questions et de découvrir quels sont vos plus grands risques en matière de sécurité de messagerie.

Par exemple, de qui les membres de votre équipe reçoivent-ils des e-mails ? Ces e-mails contiennent-ils des pièces jointes ou des liens qui pourraient être dangereux s'ils étaient ouverts ou cliqués ? Les membres de votre équipe répondent-ils à ces e-mails, ce qui pourrait indiquer qu'ils ont été victimes d'un hameçonnage ?

2. Ne mélangez pas vos comptes de messagerie.

Si vous êtes comme moi, vous avez à la fois un compte de messagerie personnel et un compte de messagerie "professionnel". Vous pouvez même avoir plusieurs comptes dans chaque catégorie.

Dans tous les cas, évitez d'utiliser votre compte personnel pour des e-mails professionnels ou un compte professionnel pour des e-mails personnels. Si vous commencez à utiliser votre adresse électronique professionnelle pour des communications ou des intérêts personnels, cela peut ouvrir la porte à d'autres risques de sécurité.

Si vous échangez des informations professionnelles sur un compte de messagerie privé, elles peuvent devenir vulnérables si ce compte personnel est piraté. Il est préférable de garder vos comptes aussi segmentés que possible.

3. Utilisez un mot de passe de messagerie fort.

Cela devrait être une question de bon sens, mais comme 2 millions de personnes utilisent "123456" comme mot de passe pour au moins un compte, c'est un sujet qui mérite d'être exploré.

La majorité des cybercriminels n'utilisent pas la force brute pour accéder aux comptes violés ; ils devinent les mots de passe ou utilisent des tactiques d'ingénierie sociale pour les obtenir. Plus un mot de passe est facile à deviner, plus votre compte de messagerie est vulnérable. Un mot de passe "fort" est un mot de passe difficile à deviner, et il existe plusieurs façons de renforcer la force de votre mot de passe.

Par exemple, vous pouvez utiliser un mélange de différents caractères ; idéalement, vous utiliserez un mélange de lettres minuscules, de lettres majuscules, de chiffres et de symboles spéciaux. Cela multiplie considérablement le nombre de suppositions qu'un pirate devra faire pour chaque emplacement de caractère.

Vous pouvez également renforcer votre mot de passe en le rendant plus long ; chaque nouveau caractère de la chaîne multiplie le nombre de combinaisons alternatives possibles par le nombre de caractères que vous utilisez.

Enfin, assurez-vous de ne pas utiliser de combinaisons de lettres ou de chiffres qui pourraient être faciles à deviner, comme l'intégration du nom de votre entreprise, de votre nom, de votre date de naissance ou de combinaisons simples comme "1234" ou "abcd".

4. Utilisez des mots de passe différents pour différents comptes de messagerie.

Une fois que vous aurez trouvé un mot de passe intelligent et fort, mais aussi unique et mémorable, vous serez tenté de l'utiliser pour tous les comptes de votre arsenal. Mais c'est une mauvaise idée.

Si un pirate ou un opportuniste parvient à obtenir votre mot de passe pour un compte, il sera enclin à l'utiliser pour d'autres comptes liés à votre nom. Si vous utilisez le même mot de passe pour chaque compte, tous vos comptes seront compromis si un seul d'entre eux est infiltré.

5. Changez souvent le mot de passe de votre messagerie.

C'est aussi une bonne idée de changer régulièrement vos mots de passe. En fonction de vos facteurs de risque personnels et du niveau de sécurité que vous souhaitez atteindre, changer une fois par an est un bon minimum.

Parfois, après une violation de données ou une fuite de mots de passe, les voleurs et les cybercriminels conservent les données pendant des semaines, voire des années, jusqu'à ce que la situation se calme.

Le fait de changer votre mot de passe empêche ces attaques à retardement et rend votre mot de passe plus difficile à deviner (puisqu'il n'est jamais le même pendant trop longtemps).

6. Ne donnez jamais le mot de passe de votre messagerie.

Aucune société de messagerie réputée ne vous demandera jamais votre mot de passe directement, par e-mail ou par téléphone. Si quelqu'un prétend être un représentant de Gmail et vous demande votre mot de passe dans l'un de ces canaux de communication, il s'agit très certainement d'une arnaque.

Votre mot de passe doit également être pris au sérieux. En effet, il est déconseillé d'en parler avec vos amis pour comparer la solidité de votre mot de passe ou de le noter sur une note autocollante. Gardez votre mot de passe en sécurité et privé à tout moment.

7. Activez l'authentification à deux facteurs.

Dans Gmail, il est possible d'activer l'authentification à deux facteurs , parfois appelée authentification en deux étapes ou multifactorielle (voici notre guide sur la façon de désactiver la vérification en deux étapes au cas où vous en auriez besoin).

Essentiellement, vous êtes invité à fournir deux informations d'identification personnelle avant de vous connecter à votre compte ; en général, il s'agit de fournir un mot de passe ainsi qu'un code temporaire envoyé à votre appareil mobile par SMS.

Bien que cela puisse être un peu ennuyeux si vous y êtes confronté tous les jours, cela ne prend en fin de compte que quelques secondes supplémentaires, et pourrait être la barrière de protection supplémentaire qui protège votre compte si vous perdez votre mot de passe.

8. Utilisez le mode confidentiel de Gmail.

Le mode confidentiel intégré de Gmail
Saviez-vous que Gmail dispose d'un mode "confidentiel" intégré qui vous permet d'envoyer des e-mails de manière encore plus sécurisée ?

Ouvrez la fenêtre Composer pour rédiger un nouveau message et cliquez sur l'icône de verrouillage et d'horloge dans la rangée du bas. Une fois ce mode activé, les destinataires de votre courrier électronique ne pourront pas transférer, copier, imprimer ou télécharger le contenu du message.

Cela peut vous aider à empêcher la diffusion d'informations confidentielles en dehors de vos destinataires. Vous disposerez également de deux options importantes pour sécuriser encore davantage votre courrier électronique.

Tout d'abord, vous pouvez fixer une date d'expiration, ce qui entraîne l'autodestruction du message, à la manière de Mission : Impossible, afin que l'information ne reste pas inutilisée dans la boîte de réception de votre destinataire pendant une période indéterminée.

Deuxièmement, vous pouvez exiger que l'e-mail soit déverrouillé à l'aide d'un code d'accès SMS unique envoyé à l'appareil mobile de votre destinataire - empêchant ainsi que le message soit vu par des yeux indiscrets.

9. Envisagez l'utilisation d'un module complémentaire de cryptage.

Gmail est très ouvert aux développeurs tiers. Il existe donc des centaines d'applications, de modules complémentaires et d'extensions Gmail que vous pouvez utiliser pour améliorer votre expérience globale de la messagerie.

Certains d'entre eux sont spécifiquement axés sur la sécurité ; par exemple, vous pouvez utiliser un module complémentaire tel que FlowCrypt ou Virtru pour sécuriser vos pièces jointes et vos messages électroniques avec un chiffrement de bout en bout.

10. Faites attention aux appareils que vous utilisez.

De nombreuses entreprises ont désormais une politique de "bring-your-own device" (BYOD), qui non seulement autorise mais encourage les employés à utiliser leurs appareils personnels à des fins professionnelles.

Cependant, cela peut être dangereux du point de vue de la sécurité. Si votre appareil personnel est infecté par un logiciel malveillant, le simple fait de vous connecter à votre compte de messagerie professionnelle avec celui-ci pourrait vous exposer à une tentative de piratage.

Assurez-vous que vous prenez des précautions de sécurité avec chaque appareil que vous pouvez utiliser pour vous connecter à votre compte de messagerie professionnelle.

11. Faites attention aux réseaux Wi-fi que vous utilisez.

Vous voudrez également accéder à votre compte de messagerie uniquement si vous êtes sûr de la sécurité du réseau que vous utilisez.

Par exemple, il est généralement déconseillé d'utiliser un réseau Wi-Fi non sécurisé et accessible au public pour se connecter à votre messagerie électronique ; en effet, toute personne ayant accès à ce réseau pourrait surveiller vos actions et accéder à vos informations personnelles.

Restez sur des réseaux Wi-Fi fiables ou utilisez un VPN ( voir comparatif VPN payant) qui vous permettra de protéger vos données.

12. Faites attention aux stratagèmes par courriel.

De nombreux escrocs utilisent le courrier électronique comme support de choix pour leurs stratagèmes ; le courrier électronique est bon marché et extensible à l'infini, c'est donc logique.

Heureusement, vous pouvez vous prémunir contre la plupart de ces escroqueries en étant simplement conscient de leur existence. Par exemple, l'une des escroqueries les plus courantes par courrier électronique est le "phishing" : un courrier électronique imite l'apparence d'une autorité de confiance (telle que votre banque ou un site Web important comme eBay) pour vous inciter à donner des informations personnelles, comme votre numéro de carte de crédit ou le mot de passe de votre messagerie.

Toutefois, si vous savez que ce stratagème existe, vous redoublerez de vigilance pour vérifier l'identité de ces expéditeurs. L'escroquerie du prince nigérian est une autre escroquerie bien connue, mais soyez également attentif aux prêts garantis, aux gains de loterie, aux escroqueries de secours en cas de catastrophe et à toute offre douteuse sur des articles que vous achetez ou vendez en ligne.

13. N'ouvrez jamais une pièce jointe non fiable.

Les pièces jointes sont le moyen le plus courant de diffuser des logiciels malveillants, qui peuvent dérober vos informations personnelles ou même rendre votre machine inopérante.

En effet, l'ouverture d'une pièce jointe entraîne son téléchargement sur votre ordinateur, et un script ou un programme malveillant peut facilement y être intégré. La plupart de ces tentatives se présentent sous la forme d'une pièce jointe avec un type de fichier étrange ou zippé, mais certaines peuvent être livrées sous la forme d'un fichier classique, comme un .jpg ou un .pdf.

N'ouvrez que les pièces jointes qui correspondent à ce que vous attendez d'une pièce jointe et qui proviennent d'utilisateurs en qui vous avez confiance. En cas de doute, appelez la personne qui vous a envoyé la pièce jointe et demandez-lui de vérifier son contenu.

14. Enquêtez sur les messages suspects.

Si vous recevez un message de quelqu'un qui vous semble un tant soit peu suspect, prenez le temps de l'examiner. Souvent, une recherche en ligne sur l'objet du message ou sur son contenu permet d'obtenir un certain nombre de pages identifiant le message comme une arnaque.

Vous n'êtes probablement pas le premier à être visé. Si le message semble provenir d'une source sûre ou fiable, allez la voir en utilisant un autre canal de confiance et demandez-lui de vérifier le message.

15. Examinez les URL suspectes.

Les escrocs essaieront également de vous inciter à cliquer sur un lien qui mène finalement à une page de téléchargement de logiciels malveillants ou à quelque chose d'aussi ignoble.

Avant de cliquer sur un lien dans un courriel, surtout s'il provient d'une source inconnue, faites des recherches. L'URL peut sembler familière, mais l'est-elle vraiment ? Par exemple, un escroc peut remplacer une lettre ou une phrase d'un domaine pour vous faire croire que l'URL est légitime, comme utiliser paypal.net au lieu de paypal.com, ou goggle.com au lieu de google.com.

Ils peuvent également utiliser un service de raccourcissement de liens pour masquer le "vrai" lien qu'ils vous envoient. Heureusement, la plupart des services de raccourcissement de liens vous permettent de prévisualiser un lien avant de cliquer formellement dessus, par exemple en ajoutant un symbole + à la fin d'un bitly.

16. Gardez un programme antivirus installé.

Il est bon de garder un programme antivirus installé sur votre machine, au cas où. La plupart des programmes antivirus analysent automatiquement les pièces jointes de vos e-mails avant que vous ne les téléchargiez et vous empêchent d'accéder à des pages Web malveillantes.

Ils peuvent également vous aider à supprimer tout logiciel malveillant qui se serait introduit dans votre ordinateur à votre insu. Norton est le plus grand nom dans ce domaine, mais AVG est une option gratuite qui fait la plupart des mêmes choses.

17. Évitez de donner votre adresse électronique.

Essayez de résister à la tentation de donner votre adresse électronique à tous ceux qui en veulent. De nombreux sites Web demandent désormais votre adresse électronique pour accéder à leur contenu interne, mais si vous n'êtes pas obligé de la donner, évitez de le faire.

Si la majorité des entreprises n'utilisent votre adresse électronique que pour des bulletins d'information et des mises à jour périodiques, certaines peuvent vendre vos informations à des tiers ou les rendre publiques, vous exposant ainsi à d'autres menaces liées aux courriers électroniques.

Ce n'est pas un gros problème, mais c'est un petit pas qui peut vous aider à être un peu plus en sécurité.

18. Ne donnez jamais d'informations personnelles dans un e-mail.

Aucun agent ou entreprise digne de confiance ne vous demandera jamais d'informations d'identification personnelle par Gmail.

Si quelqu'un vous demande votre date de naissance, votre numéro de sécurité sociale, votre numéro de carte de crédit ou votre mot de passe, il s'agit très certainement d'une arnaque. Appelez l'entreprise ou le représentant qui vous demande ces informations en trouvant ses coordonnées en ligne, et non en suivant les coordonnées figurant dans le courriel que vous avez reçu, et demandez-lui de vérifier la demande.

Il est fort probable qu'ils n'aient aucune idée de ce dont vous parlez et qu'ils vous conseillent de ne jamais donner d'informations d'identification personnelle par courrier électronique.

19. Évitez de répondre aux escrocs et aux spammeurs.

Si vous avez identifié un escroc, vous pourriez être tenté de lui répondre pour lui dire ce que vous pensez ou pour vous amuser. Cependant, il est généralement préférable d'éviter de répondre.

L'envoi d'une réponse permettra de vérifier que votre adresse électronique est valide, ce qui ouvrira la porte à d'autres attaques à l'avenir, et risque de toute façon de ne jamais parvenir au destinataire.

21. Revoyez périodiquement vos paramètres de sécurité et de confidentialité.

Tous les quelques mois environ, prenez le temps de revoir tous vos paramètres de sécurité et de confidentialité dans Gmail (ou toute autre plate-forme de messagerie que vous utilisez).

Par exemple, vous pouvez répertorier les formes secondaires de coordonnées que Google peut utiliser pour vérifier votre identité, et vérifier s'il y a eu des tentatives non autorisées ou non reconnues de connexion à votre compte. Lorsque votre compte Gmail est ouvert, vous pouvez également faire défiler l'écran vers le bas et vérifier le coin inférieur droit pour voir la dernière activité reconnue de votre compte.

En cliquant sur les détails, vous pourrez voir toute l'activité de votre compte, ce qui vous permettra de surveiller de manière proactive toute violation ou activité suspecte.