Retour aux actualités
    Cybersécurité18 min de lecture

    Sécurité email et anti-phishing : guide complet pour les entreprises 2026

    Guide expert anti-phishing : SPF, DKIM, DMARC, BIMI, MTA-STS, protection contre le BEC, AiTM et QR phishing. Comparatif Proofpoint, Mimecast, Microsoft Defender et bonnes pratiques.

    L'email reste le vecteur n°1 des cyberattaques en 2026 : plus de 90% des intrusions débutent par un message piégé (Verizon DBIR). Phishing, BEC (Business Email Compromise), QR phishing, attaques AiTM contournant la MFA… Les techniques évoluent vite. Ce guide complet vous donne la méthode et les outils pour sécuriser durablement votre messagerie.

    1. Panorama des menaces email en 2026

    • Phishing classique : usurpation de marque, vol d'identifiants.
    • Spear phishing : ciblé, basé sur OSINT et LinkedIn.
    • BEC / fraude au président : 2,9 Md$ de pertes en 2023 (FBI IC3).
    • AiTM (Adversary-in-the-Middle) : kits Evilginx, Tycoon, contournent la MFA TOTP/push.
    • Quishing : phishing par QR code, contourne les filtres URL.
    • Vendor Email Compromise : compromission d'un fournisseur pour piéger sa base clients.
    • Phishing assisté par IA générative : copies parfaites en français, sans faute.

    2. Les protocoles d'authentification email à activer

    2.1 SPF (Sender Policy Framework)

    Définit dans le DNS la liste des serveurs autorisés à envoyer pour votre domaine. À configurer en -all (hard fail) une fois l'inventaire stabilisé.

    2.2 DKIM (DomainKeys Identified Mail)

    Signature cryptographique des emails. Clé minimale 2048 bits, rotation annuelle, sélecteurs distincts par expéditeur (marketing, transactionnel, RH).

    2.3 DMARC (Domain-based Message Authentication, Reporting & Conformance)

    Politique qui aligne SPF/DKIM avec le domaine visible. Trajectoire à suivre : p=none (observation) → p=quarantinep=reject. Les rapports RUA permettent de détecter les usages non autorisés.

    Important 2026 : Google et Yahoo imposent DMARC pour tout expéditeur de masse depuis 2024. Microsoft suit la même trajectoire.

    2.4 BIMI et VMC

    BIMI affiche votre logo dans la boîte de réception (Gmail, Apple Mail). Nécessite DMARC en quarantine ou reject et un certificat VMC (Verified Mark Certificate). Booste la confiance et la délivrabilité.

    2.5 MTA-STS et TLS-RPT

    MTA-STS force le chiffrement TLS entre serveurs de messagerie et empêche les attaques de downgrade. TLS-RPT remonte les rapports d'échecs.

    3. Solutions de sécurité email (SEG & ICES)

    3.1 SEG traditionnels

    • Proofpoint : leader, très fort sur la threat intel et la détection BEC.
    • Mimecast : suite complète (email security, archivage, awareness).
    • Barracuda Email Protection : bon rapport qualité/prix PME.
    • Cisco Secure Email : large parc, intégration SecureX.

    3.2 ICES (Integrated Cloud Email Security) – API-based

    • Microsoft Defender for Office 365 Plan 2 : natif M365, Safe Links/Attachments, attack simulation.
    • Abnormal Security : ML comportemental, excellent contre BEC et VEC.
    • Avanan (Check Point) : déploiement API, multi-plateforme (M365, Google Workspace).
    • Tessian / Proofpoint Adaptive : prévention DLP et BEC par ML.

    3.3 Tendance 2026 : ICES en complément du SEG natif

    Beaucoup d'organisations gardent Microsoft Defender comme première ligne et ajoutent un ICES API-based pour la détection BEC avancée et la post-delivery remediation.

    4. Lutter contre l'AiTM et le contournement de MFA

    • Passer à des facteurs phishing resistant : passkeys, FIDO2 — voir notre guide Zero Trust.
    • Conditional Access : exiger un device compliant et un emplacement de confiance.
    • Token binding et continuous access evaluation (CAE) Entra ID.
    • Détection de session hijacking via les signaux de risque (impossible travel, anomalies ASN).

    5. Sensibilisation et simulation de phishing

    80% des incidents commencent par un clic humain. La sensibilisation continue est obligatoire et exigée par NIS2.

    • Plateformes : KnowBe4, Proofpoint Security Awareness, Hoxhunt, Cofense, Riot.
    • Campagnes mensuelles, scénarios réalistes, modules < 5 min.
    • Mesurer le taux de signalement (bouton « Report Phish ») plus que le taux de clic.
    • Onboarding sécurité dans les 7 premiers jours d'un nouvel arrivant.

    6. Réponse à incident phishing : playbook en 6 étapes

    1. Détection : signalement utilisateur, alerte SEG/ICES, télémétrie EDR.
    2. Confinement : suppression du message dans toutes les boîtes (clawback), blocage des URL/IOC.
    3. Investigation : qui a cliqué, qui a saisi des identifiants, sessions actives.
    4. Remédiation identité : reset MDP, révocation des tokens (Entra ID revokeSignInSessions), recheck MFA.
    5. Threat hunting : recherche d'autres victimes et de pivots latéraux dans le SaaS.
    6. Retour d'expérience aligné avec votre plan de réponse aux incidents.

    7. Sécuriser les expéditions sortantes (DLP & chiffrement)

    • DLP email : détecter les fuites de données (IBAN, NIR, secrets) avant envoi externe.
    • Chiffrement de bout en bout : S/MIME pour les échanges sensibles, ou solutions type Microsoft Purview Message Encryption.
    • Tagging de classification : Public, Interne, Confidentiel, Secret.
    • Alertes sur envoi atypique (gros volume, destinataire externe inhabituel).

    8. Conformité réglementaire

    • NIS2 : sensibilisation cyber obligatoire, mesures contre le phishing.
    • RGPD : protection des données personnelles transitant par email.
    • ISO 27001 A.6.3 (sensibilisation), A.8.23 (web filtering).
    • PCI-DSS : interdiction d'envoyer un PAN en clair par email.

    9. Checklist anti-phishing en 10 points

    1. DMARC p=reject sur tous les domaines actifs et parqués.
    2. SPF, DKIM, MTA-STS, TLS-RPT, BIMI activés et monitorés.
    3. SEG ou ICES avec sandboxing d'URL et de pièces jointes.
    4. MFA phishing-resistant (passkeys, FIDO2) pour tous les comptes.
    5. Conditional Access avec device compliance et risk-based.
    6. Bouton « Report Phish » dans Outlook et Gmail.
    7. Campagnes de simulation mensuelles + formation continue.
    8. Playbook IR phishing testé deux fois par an.
    9. DLP sortant + chiffrement disponible à la demande.
    10. Revue trimestrielle des rapports DMARC RUA/RUF.

    10. Conclusion

    Sécuriser l'email en 2026 ne se résume plus à un antispam : c'est un écosystème combinant authentification (SPF/DKIM/DMARC), filtrage avancé (SEG + ICES), identité forte (passkeys, Conditional Access), sensibilisation et réponse outillée. Chez CloudSecure, nous auditons votre posture email et déployons une protection alignée NIS2 et ISO 27001. À lire ensuite : Protection ransomware, EDR vs XDR, CASB & Shadow IT.

    Besoin d'un accompagnement en cybersécurité ?

    CloudSecure vous aide à sécuriser votre infrastructure cloud et à protéger vos données.

    Contactez-nous