Depuis cinq ans que je dépanne les TPE et PME en Drôme et Ardèche, j'ai vu des centaines de petits entrepreneurs subir des préjudices énormes à cause d'une seule négligence : une adresse email non sécurisée. Un artisan de Valence a perdu 8 000 € parce que son email professionnel a été piraté, et les arnaqueurs ont envoyé de faux devis à ses clients. Une agence de Montélimar s'est fait usurper son identité auprès de ses fournisseurs. Ces histoires auraient pu être évitées en suivant cinq conseils simples et gratuits pour la plupart.
Ce guide est le fruit de mes interventions sur le terrain. Ce ne sont pas des théories académiques, mais des solutions qui fonctionnent vraiment pour les petites structures, celles qui n'ont pas un département IT et qui doivent fonctionner avec des budgets serrés. Je vous explique ici ce que je recommande systématiquement à chacun de mes clients.
Un email professionnel, c'est bien plus qu'une simple adresse. C'est une clé d'accès à votre réputation, vos données clients, vos finances et votre crédibilité auprès de vos partenaires. Selon l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), 62 % des cyberattaques contre les petites entreprises passent par l'email.
Voici pourquoi les emails pro sont si attrayants pour les cybercriminels :
La bonne nouvelle ? Ces risques se neutralisent avec des actions simples et peu coûteuses. Vous n'avez pas besoin d'un budget IT considérable pour protéger votre boîte email.
C'est la fondation de la sécurité email, et c'est gratuit. Ces trois protocoles prouvent que vos emails viennent vraiment de votre domaine et pas d'un imposteur.
SPF autorise les serveurs qui ont le droit d'envoyer des emails au nom de votre domaine. Sans SPF, n'importe qui peut prétendre envoyer un email depuis "contact@votreentreprise.fr". C'est comme un tampon postal officiel : les serveurs récepteurs savent que le message vient vraiment de vous.
Concrètement : Vous allez dans les paramètres DNS de votre domaine (chez votre hébergeur ou votre registrar) et vous ajoutez un enregistrement SPF. Exemple simple pour un petit serveur :
v=spf1 mx ~all
Si vous utilisez un service comme Google Workspace ou Microsoft 365, ils vous donneront une valeur SPF prête à copier. C'est une opération d'une minute.
DKIM ajoute une signature numérique à chaque email envoyé. Cette signature prouve que le message n'a pas été modifié en chemin et qu'il vient bien de vous. C'est plus robuste que SPF et presque aussi facile à configurer.
Concrètement : Votre serveur email (ou service cloud) génère une paire de clés cryptographiques. Vous mettez la clé publique dans les DNS, et chaque email est signé avec la clé privée. Les serveurs récepteurs vérifient la signature. Là aussi, c'est une configuration unique qui prend quelques minutes.
DMARC dit aux serveurs récepteurs ce qu'il faut faire si un email échoue les vérifications SPF et DKIM. Vous pouvez décider : accepter le message quand même, le mettre en quarantaine, ou le rejeter. DMARC génère aussi des rapports pour que vous voyiez qui essaie de se faire passer pour vous.
Concrètement : C'est un autre enregistrement DNS. Exemple basique :
v=DMARC1; p=quarantine; rua=mailto:admin@votreentreprise.fr
Cela demande au serveur récepteur de mettre en quarantaine les emails qui échouent SPF/DKIM et vous envoie un rapport à votre adresse admin.
C'est le deuxième rempart. Même si un pirate réussit à deviner ou à voler votre mot de passe, il ne pourra pas accéder à votre compte sans le deuxième facteur d'authentification.
Comment ça marche : Après avoir entré votre mot de passe, le système vous demande une deuxième preuve : un code généré par une application, un SMS, ou une notification sur votre téléphone.
Activez-la partout :
J'ai vu des entreprises en Drôme se faire pirater malgré un bon mot de passe, simplement parce qu'ils n'avaient pas activé la 2FA. Avec la 2FA, les attaques par force brute (tenter des milliers de combinaisons) deviennent impraticables.
Un bon mot de passe, c'est comme une clé robuste : il faut qu'elle soit compliquée et qu'on la change de temps en temps.
Les règles d'or pour un bon mot de passe :
Vous ne pouvez pas retenir 10, 20 ou 50 mots de passe uniques et complexes. C'est humainement impossible. La solution : un gestionnaire de mots de passe sécurisé.
Options recommandées :
J'utilise Bitwarden pour mes clients à Valence et en Ardèche. C'est abordable, fiable et simple à expliquer.
Pour votre email professionnel, je recommande de changer le mot de passe tous les trois mois minimum. Pour les collaborateurs qui ont accès à l'email collectif, c'est deux fois par an. Si vous suspectez un accès non autorisé, changez-le immédiatement.
Vous pouvez avoir la meilleure sécurité technique du monde : si un de vos collaborateurs clique sur un lien de phishing ou ouvre une pièce jointe malveillante, le pirate rentre quand même.
Le phishing, c'est l'art de se faire passer pour une entité de confiance (votre banque, un fournisseur, un client) pour voler des identifiants ou installer un virus. Selon le CERT-FR (Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques), le phishing reste le vecteur d'attaque numéro 1 en France.
Apprenez à votre équipe à repérer les emails suspects :
Une fois que vous avez configuré SPF, DKIM et DMARC, vous recevez des rapports (via DMARC ou directement de votre hébergeur) sur tous les emails qui échouent les vérifications. Ces rapports sont vos yeux : ils vous montrent qui essaie de se faire passer pour vous.
Quoi faire :
J'ai eu un client en Ardèche dont l'adresse a été usurpée par des arnaqueurs pour envoyer des faux virements à des clients. Grâce aux rapports DMARC, on a vu immédiatement que c'était un serveur situé en Asie centrale, et on a pu prouver aux clients que ce n'était pas vraiment lui.
En cinq ans d'intervention en Drôme et Ardèche, j'ai observé une tendance claire : les TPE les plus touchées par les cyberattaques ne sont pas celles qui manquent de budget, mais celles qui ignorent que la sécurité email existe. Je me souviens d'une boulangerie à Valence qui a reçu une fausse facture EDF d'un montant énorme, signée avec le logo officiel et l'adresse email de son responsable. C'était un faux parfait. Avant même que je ne les aide à sécuriser leur email, leur client comptable avait presque virement l'argent.
L'autre phénomène que j'observe : beaucoup de PME pensent à tort que configurer SPF/DKIM est « trop technique ». Ce ne l'est vraiment pas. J'ai passé 15 minutes au téléphone avec un garagiste pour lui expliquer, et il l'a fait lui-même. Une agence immobilière a demandé à son assistant qui n'avait aucune formation IT de le faire, et c'était bon du premier coup.
Enfin, j'observe qu'un seul conseil manquant crée un problème. Un artisan qui a activé la 2FA mais n'a pas changé son mot de passe depuis cinq ans, c'est encore fragile. Un autre qui a un bon mot de passe mais n'a pas activé la 2FA et dont l'équipe clique sur tous les phishing : toujours vulnérable. C'est vraiment la combinaison des cinq étapes qui fait la différence.
Ce sont trois protocoles qui prouvent que votre email vient vraiment de vous et pas d'un imposteur. SPF autorise les serveurs qui peuvent envoyer depuis votre domaine, DKIM signe numériquement chaque message, et DMARC définit la politique d'authentification. Ensemble, ils éliminent 95 % des usurpations d'identité.
Plusieurs raisons possibles : (1) Votre serveur a une mauvaise réputation (il a déjà envoyé du spam), (2) Votre contenu ressemble à du spam (nombreux liens, formules agressives), (3) Vos récipients les marquent comme spam (ce qui renforce le filtre), (4) DMARC n'est pas configuré. Si vous utilisez Google Workspace ou Microsoft 365, contactez leur support. Si vous avez votre serveur, demandez un audit à un expert.
Pas obligatoire pour les cinq étapes que je décris. Mais honnêtement : si vous n'avez pas un technicien IT dédié, migrer vers Microsoft 365 ou Google Workspace (versions Business Standard minimum) vous épargne énormément de tracas. Elles gèrent la sécurité email pour vous, incluent la 2FA, les rapports, la détection de phishing. Le coût est minimal (5-12 €/mois par utilisateur) comparé aux dégâts d'un piratage. Pour les très petites structures (1-3 personnes), une bonne sécurité du serveur existant suffit.
Actions immédiates : (1) Changez le mot de passe tout de suite, (2) Activez la 2FA si vous ne l'aviez pas, (3) Consultez l'historique de connexion pour voir qui s'est connecté et quand, (4) Regardez les règles de transfert email (un pirate les configure souvent pour voir vos emails en secret), (5) Si vous avez partagé des données sensibles, contactez vos clients/fournisseurs pour les avertir. Pour les TPE, signalez-le à la CNIL (https://www.cnil.fr) et à Cybermalveillance.gouv.fr (https://www.cybermalveillance.gouv.fr).
SPF, DKIM, DMARC sont entièrement gratuits. La 2FA est gratuite si vous utilisez une app, payante si vous préférez les SMS (mais je déconseille les SMS). Un bon gestionnaire de mots de passe coûte 0-12 €/an par personne. Les tests de phishing peuvent être gratuits ou demander quelques euros. Donc oui, 95 % de ce guide est gratuit ou très bon marché. Le seul investissement un peu plus lourd serait un service comme Google Workspace (payant, mais très complet).
Je propose un audit de sécurité email gratuit de 30 minutes pour les TPE en Drôme et Ardèche. On passe en revue les cinq points ci-dessus, et je vous dis exactement où vous êtes exposé et comment le corriger.
Programmer une consultation gratuite