Le courriel est le vecteur d'attaque numéro un : 90 % des cyberattaques débutent par un message malveillant. SPF, DKIM et DMARC, combinés à un filtrage anti-hameçonnage, réduisent fortement ce risque.

Le courrier électronique est le vecteur d'attaque numéro un : 90 % des cyberattaques commencent par un message malveillant. Hameçonnage, harponnage (spear-phishing), fraude au président (Business Email Compromise, BEC), pièces jointes piégées et liens vers des sites de collecte d'identifiants sont des menaces quotidiennes que votre équipe affronte à chaque boîte de réception qu'elle ouvre. La bonne nouvelle : la combinaison de trois technologies d'authentification du courriel (SPF, DKIM, DMARC) avec des mesures organisationnelles peut réduire drastiquement le risque. Ce guide vous explique comment les mettre en œuvre pas à pas.

Pourquoi le courriel est-il le vecteur d'attaque privilégié ?

Le courriel est parfait pour les cybercriminels pour plusieurs raisons. Il arrive directement chez l'utilisateur final, en contournant les contrôles périmétriques. Il permet l'usurpation d'identité (envoyer un message qui semble provenir de votre banque, de votre supérieur ou d'un fournisseur). Il peut contenir des pièces jointes malveillantes ou des liens vers des sites frauduleux. Et il exploite la confiance et l'urgence, les leviers psychologiques les plus efficaces de l'ingénierie sociale. Les types d'attaques par courriel les plus fréquents sont l'hameçonnage de masse, le harponnage (attaques ciblées et personnalisées), la fraude au président ou BEC, et le logiciel malveillant en pièce jointe.

SPF : vérifier qui peut envoyer depuis votre domaine

SPF (Sender Policy Framework) est un enregistrement DNS qui indique quels serveurs de messagerie sont autorisés à envoyer des courriels au nom de votre domaine. Lorsqu'un serveur destinataire reçoit un message censé provenir de votre domaine, il consulte l'enregistrement SPF pour vérifier que le serveur émetteur figure dans la liste autorisée ; sinon, le message est marqué comme suspect ou rejeté. Pour configurer SPF, identifiez tous les serveurs et services qui envoient légitimement du courriel depuis votre domaine (serveur de messagerie, prestataire d'e-mailing, CRM, système de facturation), créez un enregistrement TXT qui les liste tous, et vérifiez le fonctionnement avec des outils tels que MXToolbox. L'erreur la plus fréquente est d'oublier un service légitime : faites un inventaire exhaustif avant de publier l'enregistrement.

DKIM : signer vos courriels de manière cryptographique

DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque courriel envoyé. Le serveur destinataire vérifie cette signature à l'aide d'une clé publique publiée dans votre DNS. Si la signature est valide, le destinataire a la certitude que le message n'a pas été modifié en transit et qu'il provient réellement de votre domaine. La configuration de DKIM est plus technique que celle de SPF : elle requiert de générer une paire de clés cryptographiques, de publier la clé publique dans le DNS et de configurer le serveur de messagerie pour signer les messages sortants. La plupart des services de messagerie professionnelle (Microsoft 365, Google Workspace) simplifient ce processus avec des assistants de configuration.

DMARC : la politique qui unifie tout

DMARC (Domain-based Message Authentication, Reporting, and Conformance) est l'élément qui relie SPF et DKIM et vous permet de définir le sort des courriels qui échouent aux vérifications. Il fournit en outre des rapports pour suivre qui envoie des courriels depuis votre domaine. La mise en œuvre de DMARC doit être progressive. Dans une première phase, configurez la politique sur « none » (simple surveillance, sans blocage) et examinez les rapports pendant 2 à 4 semaines pour identifier et corriger les courriels légitimes qui échouent. Dans une deuxième phase, passez la politique à « quarantine » (les courriels en échec sont placés en spam) et surveillez 2 à 4 semaines de plus. Dans une troisième phase, passez à « reject » (les courriels en échec sont rejetés) : c'est la politique la plus sûre et l'objectif final à viser.

Comment renforcer la défense au-delà de SPF, DKIM et DMARC ?

L'authentification du courriel ne suffit pas à elle seule. Elle doit être complétée par un filtrage anti-hameçonnage avancé qui analyse le contenu des messages, les pièces jointes et les liens. Les filtres les plus efficaces incluent un bac à sable (sandbox) pour analyser les pièces jointes dans un environnement isolé, la réécriture des URL pour vérifier les liens au moment du clic, l'analyse d'impersonation pour détecter les usurpations sophistiquées, et l'apprentissage automatique pour repérer les schémas d'hameçonnage qui contournent les règles statiques. La formation du personnel est le complément indispensable de la technologie : des simulations de phishing périodiques, au moins trimestrielles, avec une formation immédiate pour les personnes qui se font piéger, constituent l'outil le plus efficace pour réduire le taux de clic sur les messages malveillants réels. Consultez notre article sur la sensibilisation à la cybersécurité pour concevoir un programme de formation anti-hameçonnage efficace.

Quel plan de mise en œuvre en 30 jours ?

La première semaine, dressez l'inventaire de tous les services qui envoient du courriel depuis votre domaine et configurez SPF. La deuxième semaine, configurez DKIM sur votre service de messagerie principal. La troisième semaine, publiez DMARC en mode « none » et commencez à recevoir les rapports. La quatrième semaine, analysez les rapports, corrigez les faux positifs et planifiez la migration vers « quarantine ». Les mois suivants, progressez de « quarantine » vers « reject » à mesure que vous gagnez en confiance dans la configuration.

Sources officielles

Le marketing du cerveau est plus prévisible que le marketing de l'opinion. — Ángel Ortega Castro