Sécuriser la messagerie des collectivités

Protégez les agents, les élus et les usagers contre l’hameçonnage, l’usurpation d’adresse et les rançongiciels. Cette page propose un socle de mesures opérationnelles, des modèles prêts à l’emploi et des ressources de référence.

1) Bloquez les attaques courantes

Activez l’authentification multifacteur (MFA) et le filtrage anti‑phishing sur vos boîtes de service et comptes à privilèges.

2) Authentifiez votre domaine

Déployez SPF, DKIM et DMARC en politique quarantine puis reject pour empêcher l’usurpations.

3) Préparez l’incident

Documentez une procédure simple : qui alerter, comment isoler, comment informer les usagers et journaliser les éléments.

Principaux risques

Hameçonnage (phishing)

Messages imitant des organismes publics (impôts, CAF, préfecture) ; pièces jointes piégées.
Compromission de la chaîne de confiance (faux fournisseurs, faux présidents).

Usurpation de domaine

Envoi depuis collectivite.fr sans autorisation en l’absence de DMARC.
Perte de confiance des usagers et relais de spam.

Rançongiciel via e‑mail

Macro malveillante, lien vers site piégé, vol de mots de passe ➜ chiffrement SI.
Interruption des services aux usagers et coûts de remédiation.

Politiques recommandées

Entrant

  • SPF/DKIM obligatoires pour marquer « de confiance ».
  • Blocage liens vers domaines récemment créés.
  • Isolation des pièces jointes par bac à sable.

Sortant

  • DKIM activé pour tous les domaines envoyeurs.
  • DMARC en reject sur le domaine principal.
  • Quota & DLP sur boîtes de service (fuites données)

Fonctionnalités clés

Authentification forte

MFA / 2FA (application d’authentification, clé physique FIDO2, SMS en dernier recours).
Authentification basée sur les risques (détection de connexions suspectes, géolocalisation inhabituelle).

Chiffrement

Chiffrement TLS pour protéger les emails en transit
Chiffrement de bout en bout (E2EE) via S/MIME ou PGP
Chiffrement des pièces jointes sensibles

Protection anti-phishing et anti-malware

Filtrage avancé des spams
Détection d’attaques phishing / spear-phishing
Analyse des liens et pièces jointes en sandbox
Avertissements sur les expéditeurs inconnus ou suspects

Authentification des domaines

SPF (Sender Policy Framework)
DKIM (DomainKeys Identified Mail)
DMARC (Domain-based Message Authentication, Reporting & Conformance)
BIMI (Brand Indicators for Message Identification)

Gestion des accès et des permissions

Politiques de mot de passe renforcées
Contrôle des sessions et déconnexions automatiques
Accès restreint par rôle (Role-Based Access Control)

Journalisation et détection d’anomalies

Logs d’accès et d’activité
Détection des comportements inhabituels
Alertes en temps réel en cas de compromission potentielle

Protection contre la perte de données (DLP)

Blocage ou chiffrement automatique des données sensibles
Règles pour empêcher l’envoi externe non autorisé

Sauvegarde et continuité

Sauvegardes régulières des emails
Protection contre la suppression accidentelle ou malveillante
Restauration rapide en cas d’incident

Formation et sensibilisation des utilisateurs

Simulations d’attaques phishing
Bonnes pratiques : mots de passe, liens suspects, pièces joint

Bonnes pratiques pour les agents

Activer l’authentification multifacteur sur les comptes de messagerie.
Vérifier l’expéditeur réel, le domaine et l’URL avant de cliquer.
Ne jamais transmettre de mots de passe / codes par e‑mail.
Utiliser un gestionnaire de mots de passe et des mots de passe uniques.
Signaler un message suspect avec le bouton “Signaler” ou à l’équipe SI.