En plus d’être agaçante, la classification incorrecte des emails présente un risque coûteux et chronophage pour la sécurité. Chaque fois qu’un email inoffensif est marqué à tort comme malveillant, la productivité en prend un coup. Les collaborateurs passent à côté de messages importants, les équipes informatiques peinent à les libérer et la frustration grandit. D’autre part, lorsqu’un email véritablement dangereux passe entre les mailles du filet, les conséquences peuvent être dévastatrices — entraînant des compromissions, des fuites de données et des pertes financières.
Lorsque les équipes de sécurité sont capables de faire la différence entre les emails malveillants, les messages suspects, le spam et le graymail avec précision, elles peuvent réduire les risques, limiter les perturbations et restaurer la confiance dans la boîte de réception. Voici comment.
Comprendre les différentes classifications des emails : malveillants, suspects et inoffensifs
En général, la protection de la messagerie repose sur des classifications binaires. Les emails sont soit malveillants et mis en quarantaine, soit inoffensifs et remis dans les boîtes de réception. Cependant, cette simplification excessive ne tient pas compte de toute une catégorie de messages pourtant essentielle : les emails suspects.
Les emails suspects n’ont aucun indicateur probant. Ils présentent toutefois des caractéristiques qui incitent à la prudence. Cette catégorie intermédiaire est primordiale, car une mauvaise gestion de ces emails peut exposer les entreprises à des cybermenaces ou perturber ses activités si des messages légitimes sont mis en quarantaine.
Les trois catégories de classification des emails de Proofpoint
Emails inoffensifs : communications de confiance
Les emails inoffensifs sont des messages légitimes qui proviennent d’expéditeurs connus et de domaines authentifiés. Ils ne contiennent aucun indicateur de phishing, aucun malware ni aucune tentative d’ingénierie sociale. Voici leurs attributs :
- Vérification de l’expéditeur. Le domaine de l’expéditeur est validé par le processus d’authentification (SPF, DKIM, DMARC), ce qui confirme que l’email provient d’une source de confiance.
- Absence de pièces jointes et de liens malveillants. Les URL et les pièces jointes sont analysées et ne présentent aucun signe de malwares, de chevaux de Troie ou de tactiques de phishing.
- Légitimité du contenu. Le message est dénué de formulations suscitant un sentiment d’urgence et d’autres tactiques de manipulation, telles que des tentatives de fraude financière.
- Cohérence comportementale. Le comportement passé de l’expéditeur en matière d’emails ne dénote pas avec son comportement actuel (par exemple, un membre de l’équipe financière qui envoie régulièrement des factures).
Une fois que la légitimité de ces emails est établie, ils peuvent être remis sans crainte dans la boîte de réception d’un destinataire. L’équipe de sécurité n’a pas besoin d’intervenir.
Classification des emails par Proofpoint indiquant la présence de messages inoffensifs
Emails malveillants : les menaces évidentes
Les emails malveillants sont des menaces évidentes qui contiennent des charges virales ou des tactiques de tromperie. En général, ces emails sont automatiquement mis en quarantaine, car ils présentent un risque clair. Voici leurs attributs :
- Tentatives de phishing. Ces messages sont conçus pour voler des identifiants de connexion. Ils utilisent souvent de fausses pages de connexion, intègrent des liens trompeurs ou ont recours à l’usurpation d’identité.
- Pièces jointes contenant des malwares. Ces fichiers exécutent du code malveillant lorsqu’ils sont ouverts.
- Expéditeurs dont l’identité a été usurpée. Les cybercriminels se font souvent passer pour des contacts de confiance, des fournisseurs ou des dirigeants afin d’inciter les destinataires à effectuer des actions dangereuses.
- Indicateurs de compromission connus. L’email peut suivre des modes opératoires connus ou utiliser des domaines signalés ou des adresses IP figurant sur liste de blocage.
Lorsque des emails remplissent ces critères, les équipes de sécurité peuvent prendre des mesures décisives — les mettre en quarantaine, avertir les utilisateurs et bloquer les domaines associés.
Classification des emails par Proofpoint indiquant la présence d’un email malveillant
Emails suspects : la catégorie intermédiaire
Les emails suspects se situent entre les messages inoffensifs et les messages malveillants. Ils déclenchent des signaux d’alerte, mais ne présentent aucune preuve probante qu’ils constituent une menace. Cette ambiguïté explique pourquoi leur gestion constitue un défi de taille. Voici leurs attributs :
- Comportement inhabituel de l’expéditeur. L’email provient d’un contact connu, mais dont le comportement est inhabituel. Par exemple, un PDG demande soudainement à un collaborateur qui ne gère jamais les finances d’effectuer un virement.
- Domaines nouveaux ou non vérifiés. L’email provient d’un domaine inconnu, qui n’est pas ouvertement malveillant, mais qui est nouveau ou non vérifié.
- Formulations suscitant un sentiment d’urgence ou visant à manipuler le destinataire. L’expéditeur met la pression sur le destinataire pour qu’il effectue une action immédiate, par exemple : « N’attendez pas ! Votre compte sera désactivé dans 24 heures ! ».
- Pièces jointes ou URL non analysables. Certains liens et certaines pièces jointes échappent aux outils de détection. Il est donc difficile de déterminer leur légitimité.
Les emails suspects placent les équipes de sécurité dans une position délicate. Si les équipes les mettent automatiquement en quarantaine, les entreprises pourraient subir des perturbations dans le cas où les messages s’avèrent légitimes. En revanche, si ces messages sont autorisés, les entreprises sont exposées à des menaces potentielles.
Classification des emails par Proofpoint indiquant la présence d’emails suspects
Pourquoi les emails suspects sont difficiles à gérer
Contrairement aux emails malveillants, qui sont faciles à repérer, les messages suspects requièrent un examen plus approfondi. Voici les principales raisons pour lesquelles leur gestion est difficile :
1. Il est important de trouver le juste équilibre entre perturbation des activités et risque pour la sécurité
Si les emails suspects sont mis en quarantaine sans discernement, cela peut entraîner de faux positifs. Les processus métier sont alors ralentis, car les messages légitimes mettent plus de temps à arriver. À l’inverse, si les emails suspects sont remis dans les boîtes de réception, il existe un risque accru qu’un collaborateur tombe dans le piège d’une tentative de phishing élaborée avec soin. Le défi consiste à trouver le juste équilibre entre sécurité et continuité des activités.
2. Le contexte est important — seul le destinataire peut se forger une opinion
Certains emails suspects doivent absolument être interprétés par des humains. Par exemple, un membre de l’équipe financière peut reconnaître une demande de paiement d’un fournisseur connu qui semble inhabituelle, mais qui est pourtant légitime. Les outils automatisés n’ont pas ce discernement.
3. Les apparences peuvent être trompeuses — gare aux techniques d’attaque adaptatives
Les cybercriminels perfectionnent sans cesse leurs tactiques et créent des messages qui échappent aux radars en imitant des interactions légitimes. Ils utilisent souvent des adresses email ressemblant à celles de contacts connus du destinataire. Ils manipulent également les noms d’expéditeur et intègrent des liens frauduleux qui semblent légitimes au premier abord.
Comment les entreprises doivent gérer les emails suspects
Les emails suspects n’entrent ni dans la catégorie des messages inoffensifs, ni dans la catégorie des messages malveillants. C’est la raison pour laquelle les entreprises doivent adopter une approche nuancée de leur gestion.
Email avec une fenêtre contextuelle indiquant qu’il est suspect
1. Ajoutez une catégorie dédiée aux emails suspects aux règles de sécurité
Plutôt que d’avoir à faire un choix binaire entre remise dans la boîte de réception et mise en quarantaine, les équipes de sécurité doivent établir un protocole clair de gestion des emails suspects. Cela peut inclure :
- Leur routage vers un dossier de quarantaine distinct dédié aux messages suspects afin qu’ils soient examinés par les utilisateurs
- L’envoi d’alertes aux utilisateurs avec des instructions pour inspecter l’email en toute sécurité
- La mise en place d’un moyen simple de signaler les emails ressemblant à des menaces pour les utilisateurs
2. Tirez parti de l’IA et de l’analyse comportementale
Les outils avancés de protection de la messagerie ont désormais recours à l’analyse comportementale basée sur l’IA pour identifier les différences par rapport aux schémas de communication habituels. En étudiant le comportement de l’expéditeur, le contexte de l’email et les schémas antérieurs, l’IA peut contribuer à affiner la classification des emails suspects.
3. Mettez en place une fonction de signalement par les utilisateurs et améliorez leur formation
Les formations de sensibilisation à la cybersécurité apprennent aux collaborateurs à reconnaître et à signaler les emails suspects. Voici quelques conseils :
- Encouragez les utilisateurs à signaler les emails qui leur semblent suspects.
- Proposez des simulations d’attaques de phishing pour former les utilisateurs grâce à des scénarios d’attaque réels.
- Apprenez aux collaborateurs à reconnaître les signes révélateurs de menaces de phishing et d’ingénierie sociale.
Conclusion
La protection de la messagerie ne peut pas se limiter à une classification en deux catégories : les messages inoffensifs et les messages malveillants. Les emails suspects représentent une troisième catégorie essentielle, qui doit être gérée avec précaution.
Pour trouver le juste équilibre entre sécurité et efficacité métier, vous devez adopter une approche multicouche de la sécurité. Recherchez une solution alliant détection basée sur l’IA, formations de sensibilisation des utilisateurs et règles adaptatives de mise en quarantaine.
Si vous souhaitez tester une approche équilibrée de la sécurité, demandez sans plus tarder une démonstration de Proofpoint Core Email Protection.
