Pratiques exemplaires en matière de cybersécurité pour le courrier électronique (ITSAP.60.002)

Que vous soyez à la tête d’une petite ou moyenne entreprise ou membre du personnel, la configuration du courrier électronique est un élément essentiel à la protection de votre organisation contre diverses cybermenaces. La présente publication vise à décrire les principes fondamentaux de la configuration du courrier électronique et à aider à mieux comprendre l’importance d’adopter des pratiques sûres en matière de courrier électronique au sein de votre organisation.

Les fournisseurs de services de courrier électronique dignes de confiance proposent une gamme de fonctions de sécurité, dont la configuration automatique au moyen d’outils de sécurité essentiels, des options d’activation au cours de la configuration et l’atténuation des risques courants.

Pour éviter l’hameçonnage et le piratage, il est important de faire en sorte que votre boîte de réception professionnelle soit aussi organisée que possible. Pour ce faire, n’utilisez le domaine de votre organisation que pour échanger des messages liés à vos activités professionnelles et, dans la mesure du possible, utilisez des dispositifs différents pour éviter de mélanger les comptes personnels et professionnels. Tenez compte des points suivants au moment de configurer le courrier électronique au sein de votre organisation.

Sur cette page

• Menaces qui pèsent sur les applications de courrier électronique
• Pratiques exemplaires en matière de courrier électronique visant à favoriser la sécurité et la confidentialité
• Ce qu’il faut faire si votre courrier électronique a été compromis
• Renseignements supplémentaires

Menaces qui pèsent sur les applications de courrier électronique

Les auteurs de menace ne font pas de distinction entre les petites et grandes entreprises – ils ciblent les organisations de toutes tailles. Ils peuvent tirer avantage de mauvaises configurations ou de lacunes dans les protocoles de cybersécurité pour atteindre leurs objectifs. Les auteurs de menace ciblent souvent des systèmes de courrier électronique dans le but d’obtenir un accès non autorisé, de voler de l’information sensible ou de perturber les canaux de communication. Vous trouverez ci-dessous les types de menaces les plus courants.

Menaces d’usurpation d’identité

Il s’agit d’un incident dans le cadre duquel une entité non autorisée accède au système de courrier électronique d’une organisation ou falsifie les justificatifs de ses comptes pour mener des attaques contre sa clientèle, ses fournisseurs et les membres de son personnel. Les auteurs de menace qui font appel à l’usurpation d’identité peuvent créer des adresses courriel semblables à la source légitime dans l’intention de tromper les destinataires.

Ils peuvent également configurer les noms d’affichage des serveurs de courrier électronique de manière à instaurer la confiance et à demander de l’information sensible. Cette technique, qui porte également le nom de mystification de courriel, est un type d’attaque par hameçonnage. Votre organisation peut recevoir des courriels mystifiés de la part d’utilisatrices et utilisateurs non autorisés. Il est donc important de vérifier l’adresse et le contenu des courriels avant de cliquer sur le moindre lien qu’ils contiennent.

Menaces qui pèsent sur la confidentialité

Cela comprend l’accès non autorisé à des courriels contenant de l’information sensible, ainsi que l’interception ou la manipulation de tels courriels. En plus de faire appel à l’usurpation d’identité pour obtenir de l’information par la tromperie, les auteurs de menace peuvent intercepter le courriel en transit, en modifier le contenu ou utiliser des logiciels spécialisés pour copier les courriels sensibles dans des domaines non autorisés. Les conséquences de telles menaces peuvent aller d’une perte financière à une atteinte à la réputation de l’organisation.

Menaces qui pèsent sur l’intégrité

Ces menaces surviennent lorsqu’un auteur de menace effectue une des actions suivantes :

• contourner un système de détection d’intrusion;
• modifier les configurations d’un fichier pour permettre un accès non autorisé;
• modifier les journaux système;
• injecter des maliciels dans le système.

Ces actions pourraient faire en sorte que vos données ne soient plus cohérentes, exactes ou fiables, ou compromettre l’intégralité et la fiabilité de vos systèmes.

Menaces qui pèsent sur la disponibilité

Ces menaces surviennent lorsqu’un auteur de menace perturbe délibérément le domaine d’une organisation pour le rendre inaccessible ou inutilisable. Elles visent souvent à submerger l’infrastructure du système de courrier électronique dans le but de mener une attaque par déni de service.

Vous pouvez atténuer une attaque par déni de service en externalisant votre courrier électronique sur des serveurs sécurisés, particulièrement ceux appartenant à des fournisseurs dignes de confiance, puisque ces derniers sont moins susceptibles d’être attaqués. Les serveurs de courrier électronique sur site dont la sécurité n’a pas été configurée adéquatement sont plus susceptibles de faire l’objet de vulnérabilités. Mettre en place un mandataire inverse qui sert d’intermédiaire peut accroître les performances, renforcer la résilience et aider à protéger les serveurs contre les attaques par déni de service.

Parmi les autres attaques ciblant la disponibilité, on retrouve :

• les attaques visant le système de noms de domaine (DNS pour Domain Name System) qui tentent de perturber le serveur DNS de manière à rediriger le trafic ou d’y accéder;
• la prise de contrôle de domaines expirés vers lesquels un auteur de menace peut détourner le trafic des domaines redondants d’une organisation afin de mener diverses attaques.

Pixels espions

Un courriel contenant un logo ou une image pourrait inclure un pixel 1x1 avec du code intégré permettant de repérer l’emplacement et de suivre le comportement de la ou du destinataire. Une adresse URL unique est créée pour chaque utilisatrice ou utilisateur. Chaque fois que le message est ouvert ou téléchargé, l’événement est consigné dans un journal et un rapport des activités peut être généré. Pour contrer cette menace, configurez votre boîte de réception de manière à ne pas charger les images externes. Cette approche permet de renforcer la sécurité, même si la boîte de réception est moins agréable à l’œil. Pour veiller à ne pas contribuer au problème, il vaut mieux éviter d’utiliser les pixels espions dans vos propres échanges par courriel avec vos clientes et clients.

Selon leur configuration, les pixels espions pourraient être en mesure de recueillir l’information suivante :

• quand le courriel a été ouvert;
• si la ou le destinataire a cliqué sur un des liens dans le courriel (dans la mesure où les liens sont contrôlés par l’expéditrice ou expéditeur);
• l’adresse IP de la ou du destinataire;
• le client de messagerie et le type de dispositif de la ou du destinataire;
• l’emplacement approximatif de la ou du destinataire, qui peut être utilisé dans le cadre d’attaques subséquentes.

Pratiques exemplaires en matière de courrier électronique visant à favoriser la sécurité et la confidentialité

On retrouve ci-dessous les pratiques exemplaires et les stratégies à mettre en œuvre sur le lieu de travail en plus des contrôles de configuration du courrier électronique.

Authentification multifacteur

Assurez-vous que l’authentification multifacteur (AMF) est activée sur tous les comptes d’utilisateur et d’administrateur. Pour de plus amples renseignements, prière de consulter la publication Étapes à suivre pour déployer efficacement l’authentification multifacteur.

Dans la mesure du possible, faites appel à une AMF résistante à l’hameçonnage pour atténuer les risques comme ceux posés par le bombardement de notifications Push. Il s’agit d’une attaque dans le cadre de laquelle un auteur de menace envoie plusieurs notifications à un dispositif pour accabler l’utilisatrice ou utilisateur et l’inciter à interagir avec un produit, un service ou un site Web en particulier. Pour en apprendre plus, consultez cette publication sur la mise en œuvre d’une AMF résistante à l’hameçonnage (en anglais seulement) de la Cybersecurity and Infrastructure Security Agency (CISA).

Configuration et authentification des comptes

Modifiez toujours le mot de passe et le nom d’utilisateur par défaut sur les nouveaux dispositifs. Pour prévenir les accès non autorisés, assurez-vous que les utilisatrices et utilisateurs créent des mots de passe robustes pour leurs comptes de courrier électronique. Apprenez-en plus sur les Pratiques exemplaires de création de phrases de passe et de mots de passe.

Protection d’un nom de domaine

Créez un domaine distinct pour les actions comme l’envoi de promotions et de bulletins d’information à une liste de distribution. Cette pratique permettrait d’éviter que des communications importantes soient signalées comme des pourriels alors qu’elles proviennent du domaine de courrier principal de l’organisation.

Mises à jour

Vérifiez régulièrement les mises à jour, installez-les sur les systèmes pour assurer la sécurité et activez la fonction de mise à jour automatique lorsque cela s’avère possible. Tenez à jour les logiciels de messagerie et les applications de sécurité pour corriger les vulnérabilités et veiller à ce que les plus récentes fonctions de sécurité soient en place. Apprenez-en plus sur l’Application des mises à jour sur les dispositifs.

Réseau privé virtuel

Utilisez un réseau privé virtuel (RPV). Il s’agit d’un tunnel par l’entremise duquel vous pouvez envoyer et recevoir des données sécurisées sur un réseau physique existant. Un RPV peut chiffrer le trafic de courrier électronique, y compris l’adresse IP.

Chiffrement

Chiffrez le contenu des courriels en mettant en place deux protocoles : le protocole de sécurité de la couche transport (TLS pour Transport Layer Security) et le chiffrement de bout en bout.

Le protocole TLS permet de chiffrer les messages entre les serveurs de manière à ce qu’ils ne soient pas compromis en transit. Il s’agit d’une configuration principale du courrier électronique utilisée pour assurer la confidentialité et l’intégrité de la correspondance au sein d’une organisation. Bien que le protocole TLS puisse sécuriser le transfert initial entre le client de messagerie et le premier serveur, on ne peut garantir que les transferts subséquents feront appel au chiffrement TLS.

Le chiffrement de bout en bout est mis en œuvre entre deux utilisatrices ou utilisateurs et veille également à ce que le courriel soit chiffré au niveau du serveur. Il est chiffré du côté de l’expéditrice ou expéditeur et ne peut être déchiffré que du côté de la ou du destinataire. À titre d’exemple, les utilisatrices et utilisateurs doivent obtenir et installer un certificat numérique qui leur permet d’envoyer et de recevoir des courriels chiffrés. L’expéditrice ou expéditeur et la ou le destinataire doivent tous deux avoir le protocole S/MIME (Secure/Multipurpose Internet Mail Extensions) configuré. Ce type de chiffrement doit être configuré par votre organisation.

Logiciels

Installez des outils de sécurité préventive, comme des antivirus et des antimaliciels, sur les dispositifs de l’organisation. Ces types de logiciels peuvent protéger les dispositifs contre les virus, les chevaux de Troie, les vers, les espiogiciels et d’autres maliciels.

Mots de passe robustes

Pour prévenir les accès non autorisés, assurez-vous que les utilisatrices et utilisateurs créent des mots de passe robustes pour leurs comptes de courrier électronique. L’authentification multifacteur devrait être mise en œuvre dans la mesure du possible.

Formation de sensibilisation à la sécurité

Offrez des formations régulières et à jour à l’ensemble du personnel. La sensibilisation est la première étape dans la lutte contre les cybermenaces. Pour en apprendre plus, consultez l’une des 10 mesures de sécurité des TI qui consiste à fournir de la formation sur mesure en matière de cybersécurité.

Paramètres de sécurité des fournisseurs

Si vous utilisez un fournisseur de services de courrier électronique tiers, passez en revue et configurez les paramètres de sécurité offerts par le fournisseur de manière à ce qu’ils respectent les exigences de votre organisation en matière de sécurité.

Paramètres de courrier électronique

Configurez les paramètres de courrier électronique de manière à filtrer les pourriels.

Stratégie de mise en quarantaine

Mettez en place une stratégie de mise en quarantaine pour votre organisation. Celle-ci devrait indiquer ce que les utilisatrices et utilisateurs sont en mesure de faire avec les messages en quarantaine, ainsi que fournir des rapports périodiques.

Habitudes de nettoyage des courriels

Encouragez l’adoption de saines habitudes en ce qui a trait au nettoyage des courriels, comme vider régulièrement le dossier des courriers indésirables et créer des catégories et des dossiers afin de parcourir plus facilement la boîte de réception, d’éviter la perte de courriels et de réduire le nombre de messages mal acheminés. Vous pouvez configurer les règles de la boîte de réception de manière à supprimer régulièrement les courriels indésirables.

Système de noms de domaine

Vérifiez les enregistrements de votre DNS pour vous assurer qu’il est possible d’envoyer et de recevoir correctement le courrier électronique depuis votre domaine.

Ce qu’il faut faire si votre courrier électronique a été compromis

Des fournisseurs, des clientes ou des clients pourraient communiquer directement avec vous pour vous signaler une activité inhabituelle liée au courrier électronique ou vous pourriez remarquer qu’un dispositif fonctionne plus lentement qu’à l’habitude ou se comporte étrangement. Ce sont là des signes que vos dispositifs et vos réseaux ont été infectés par un maliciel et que votre compte de courrier électronique a été compromis.

Advenant la compromission d’un compte de courrier électronique ou une fuite d’information, votre organisation devrait prendre les mesures suivantes :

1. Communiquez avec votre personnel informatique ou votre centre d’assistance en TI pour obtenir des consignes sur la marche à suivre. Les étapes consisteront probablement à faire ce qui suit :
   • a. changer tous les mots de passe associés avec le ou les comptes compromis;
   • b. communiquer avec les contacts du courrier électronique pour les informer de l’incident et des répercussions possibles sur la correspondance ultérieure;
   • c. analyser votre dispositif pour détecter les maliciels;
   • d. envisager de mettre en œuvre des méthodes d’identification et d’authentification plus robustes à l’avenir.
2. Communiquez avec l’équipe chargée de la plateforme de courrier électronique. Si le courrier électronique de votre organisation a été compromis, il est probable que ça soit également le cas pour les autres services sur le même serveur;
3. Si vous soupçonnez que des données financières ou de l’argent ont été transférés, communiquez immédiatement avec l’institution financière et avec l’équipe chargée de la plateforme de courrier électronique de l’organisation;
4. Signalez l’incident au Centre antifraude du Canada.

Pour obtenir de plus amples renseignements sur les fraudes du courriel d’affaires compromis et sur la façon de les reconnaître, prière de consulter la publication Fraude du président de la Gendarmerie royale du Canada.

Renseignements supplémentaires

• Ne mordez pas à l’hameçon : Reconnaître et prévenir les attaques par hameçonnage (ITSAP.00.101)
• Pratiques exemplaires de création de phrases de passe et de mots de passe (ITSAP.30.032)
• Sécurisez vos comptes et vos appareils avec une authentification multifacteur (ITSAP.30.030)
• Protéger son organisation contre les attaques par déni de service (ITSAP.80.100)
• Prévenir les attaques par déni de service distribué et s’y préparer (ITSAP.80.110)
• Guide rapide sur la configuration du courrier électronique (ITSAP.60.003)
• Directive de mise en œuvre – protection du domaine de courrier (ITSP.40.065)