Audit sécurité messagerie email entreprise : méthode complète 2026
28 juin 2026 · 13 min de lecture
La messagerie email reste le vecteur d'attaque n°1 en entreprise. Phishing, Business Email Compromise (BEC), usurpation de domaine, ransomware par pièce jointe — plus de 90% des cyberattaques commencent par un email. Pourtant, la sécurité de la messagerie reste souvent négligée. Voici comment réaliser un audit complet de votre infrastructure email.
Pourquoi auditer la sécurité de sa messagerie ?
La messagerie est la surface d'attaque la plus exposée de toute organisation. Les statistiques sont éloquentes : 91% des cyberattaques débutent par un phishing, les pertes liées au BEC (Business Email Compromise) dépassent 3 milliards de dollars par an dans le monde, et la grande majorité des ransomwares sont délivrés par email.
SPF/DKIM/DMARC mal configurés
Permet à n'importe qui d'usurper votre domaine pour envoyer des emails frauduleux en votre nom
Règles de forwarding malveillantes
Des attaquants créent des règles de redirection automatique vers des adresses externes après avoir compromis un compte
Legacy authentication active
IMAP/POP3/SMTP Basic Auth contournent le MFA et permettent des attaques par force brute sur les comptes
OAuth apps non contrôlées
Applications tierces avec accès total à la messagerie peuvent exfiltrer tous les emails silencieusement
1. Audit SPF, DKIM et DMARC
SPF, DKIM et DMARC sont les trois mécanismes d'authentification des emails. Un audit de messagerie commence toujours par la vérification de ces enregistrements DNS.
SPF (Sender Policy Framework)
Le SPF liste dans un enregistrement DNS TXT les serveurs autorisés à envoyer des emails au nom de votre domaine. Erreurs fréquentes :
- SPF absent — aucune protection contre l'usurpation du domaine
- Politique trop permissive (v=spf1 +all) — autorise tous les serveurs
- Plus de 10 lookups DNS (limite SPF) — l'enregistrement est invalide
- Oubli des services tiers (CRM, outil marketing, ERP) qui envoient des emails
DKIM (DomainKeys Identified Mail)
DKIM ajoute une signature cryptographique aux emails. Le destinataire vérifie la signature via la clé publique dans le DNS. Points à vérifier :
- DKIM activé et correctement configuré sur le serveur de messagerie
- Longueur de clé DKIM ≥ 2048 bits (les clés 1024 bits sont insuffisantes)
- Rotation régulière des clés DKIM (recommandée tous les 6 mois)
- DKIM activé sur tous les services tiers envoyant des emails (Salesforce, HubSpot, Mailchimp)
DMARC (Domain-based Message Authentication)
DMARC définit la politique à appliquer aux emails qui échouent les vérifications SPF/DKIM, et envoie des rapports d'agrégation. C'est l'étape finale de la protection anti-usurpation :
- p=none : Mode monitoring — aucun email n'est rejeté, rapports envoyés
- p=quarantine : Les emails suspects vont en spam
- p=reject : Les emails usurpateurs sont rejetés (recommandé)
Objectif recommandé
Passer à p=reject avec un taux d'alignement de 100% sur vos envois légitimes. Utiliser les rapports DMARC (DMARC Analyzer, PowerDMARC, Dmarcly) pour identifier et corriger les sources d'envoi non conformes avant de passer en reject.
2. Audit de la configuration Exchange Online / Google Workspace
Au-delà du DNS, la configuration de la plateforme de messagerie elle-même est critique.
Points de contrôle Exchange Online (Microsoft 365)
- Blocage de l'authentification héritée (IMAP, POP3, SMTP Basic Auth) via Conditional Access
- Désactivation du forwarding automatique vers des domaines externes (transport rule)
- Anti-spam, anti-phishing, Safe Links, Safe Attachments (Defender for Office 365 Plan 1 minimum)
- Audit logs activés sur toutes les boîtes mail (Exchange Auditing)
- Revue des règles de messagerie des administrateurs (règles cachées créées par des attaquants)
- Politiques de rétention et de suppression des emails conformes RGPD
- Vérification des accès Full Access sur les boîtes mail partagées
Points de contrôle Google Workspace
- DKIM configuré depuis la console Admin Google Workspace
- Alertes de sécurité Gmail activées (connexions suspectes, forwarding)
- Contrôle des applications tierces autorisées via l'API Gmail OAuth
- Google Workspace Vault activé pour l'archivage légal et la gestion des preuves
- Restrictions des partages Drive avec des utilisateurs externes
- Revue des autorisations des apps Google marketplace
3. Détection du Business Email Compromise (BEC)
Le BEC est l'une des attaques les plus coûteuses. L'attaquant compromet ou usurpe un email dirigeant pour demander un virement frauduleux ou une modification de RIB fournisseur. Les signaux d'alerte à investiguer dans un audit :
- Présence de règles de boîte mail cachées (InboxRules) redigeant des emails spécifiques vers un dossier inconnu ou une adresse externe
- Accès à la boîte mail depuis des adresses IP inhabituelles ou des pays non représentés dans l'entreprise
- Délégations de boîte mail non documentées (Full Access, SendAs, SendOnBehalf)
- Applications OAuth avec accès mail non reconnues par la DSI
- Emails envoyés en dehors des horaires habituels (nuit, week-end) depuis des comptes dirigeants
- Modifications récentes des données de profil email (nom d'affichage, réponse automatique)
Indicateur critique : règles de forwarding cachées
Dans les attaques BEC documentées, les attaquants créent systématiquement des règles de boîte mail qui redirigent les emails contenant des mots-clés (virement, facturation, RIB, paiement) vers un dossier masqué. Cette règle persiste même après le changement de mot de passe si le compte n'est pas entièrement nettoyé.
4. Formation anti-phishing et sensibilisation
Les contrôles techniques ne suffisent pas — la défense humaine est essentielle. L'audit de sécurité de la messagerie inclut généralement une évaluation de la sensibilisation des équipes :
- Simulation de phishing : Envoi d'emails de phishing simulés pour mesurer le taux de clic et identifier les collaborateurs à former en priorité (Microsoft Attack Simulator, KnowBe4, Proofpoint Security Awareness)
- Formation ciblée : Formation spécifique BEC pour les équipes financières, comptabilité, direction — cibles prioritaires des attaques
- Procédure de vérification des virements : Mise en place d'un processus de double vérification pour tout ordre de virement, changement de RIB fournisseur ou demande urgente de paiement
- Signalement facilitée : Bouton "Signaler un phishing" dans Outlook/Gmail pour permettre aux utilisateurs de remonter les emails suspects
5. Obligations réglementaires NIS2 et RGPD sur la messagerie
La sécurité de la messagerie est directement concernée par NIS2 et le RGPD :
- NIS2 article 21 : Politiques de sécurité des systèmes d'information incluant la messagerie — MFA, chiffrement, gestion des incidents email
- RGPD article 32 : Chiffrement des communications contenant des données personnelles — chiffrement TLS 1.2+ obligatoire pour les emails en transit
- Violation de données : Une compromission de boîte mail contenant des données personnelles est une violation RGPD à notifier à la CNIL dans les 72h
- Durée de conservation : La politique de rétention des emails doit respecter les durées légales et être documentée dans le registre des traitements
Livrables d'un audit messagerie
Un audit de sécurité messagerie réalisé par CyberSecure produit les livrables suivants :
- Rapport d'analyse SPF/DKIM/DMARC avec plan de déploiement DMARC p=reject
- Audit de configuration Exchange Online ou Google Workspace avec scoring
- Rapport d'investigation BEC (règles de messagerie, délégations, OAuth apps)
- Plan de remédiation priorisé par niveau de risque (critique, élevé, moyen)
- Résultats du test de phishing simulé avec taux de clic par département
- Recommandations de formation anti-phishing ciblées