En 2025, la messagerie professionnelle est la principale porte d’entrée de la cybercriminalité. En effet, 91 % des cyberattaques commencent par des emails piégés. De plus, 60 % des attaques contre les PME françaises proviennent du phishing.
Ce canal exploite la confiance, la routine, et parfois la fatigue des employés, pour dérober des identifiants, paralysant ainsi l’activité pendant des jours, voire des semaines. Plus les usages numériques se diversifient (cloud, data, télétravail…), plus le risque d’interception, d’usurpation et de divulgation s’intensifie.
Sécuriser n’est plus une option
Oui, la sécurité des e-mails professionnels n’est plus une option. Elle est devenue un enjeu central pour la pérennité, la réputation et la conformité des entreprises, des startups jusqu’aux grandes organisations.
Hausse des cyberattaques
Face à la hausse des cyberattaques par e-mail (phishing, compromissions, ransomwares), il est important d’agir. Mettre en place des solutions de chiffrement de bout en bout est essentiel. S’aligner sur les standards internationaux est aussi nécessaire. Enfin, une stratégie proactive aide à garder le contrôle de ses données et à protéger ses collaborateurs.
Voici quelques chiffres clefs en France sur les tendances observées :
| Indicateurs | Tendances |
|---|---|
| Attaques email/phishing | 91 % des cyberattaques |
| PME touchées | 65 % touchées en 2024 |
| Coût global | +129 Mds € en France, |
| Entreprises forcées de fermer | 60 % des victimes |
| Progression | +58 % d’attaques entre 2023 et 2024 |
| Usurpation d’identité | 47 % sans protection DMARC |
| Erreur humaine | 46 % des incidents |
Les conséquences directes
-
- pertes financières,
-
- arrêt d’activité,
-
- sanctions juridiques (RGPD, DORA),
-
- atteinte durable à la réputation et à la confiance du marché
Sources :
- https://www.its-school.com/cas-detude-phiching-mail-2025-en-france/
- https://www.01net.com/actualites/cyberattaques-france-dernieres-fuites-donnees-entreprises-touchees.html
Depuis mai 2025 sont apparue des règles protocolaires et l’application stricte de nouvelles exigences d’authentification imposées par les principaux fournisseurs de messagerie électronique. Ainsi, Microsoft, Google et Yahoo ont rendu obligatoires les protocoles SPF, DKIM et DMARC pour tous les expéditeurs envoyant plus de 5 000 e-mails par jour.
De nouvelles exigences en 2025
Les standards et certifications internationaux
-
- ISO/IEC 27001 (version 2025) : La référence internationale sur la sécurité de l’information, intégrant depuis cette année des contrôles renforcés pour le cloud.
-
- DORA (Digital Operational Resilience Act, EU) : Les entreprises de services financiers et leurs sous-traitants sont désormais tenus d’appliquer le chiffrement et la sécurisation des communications électroniques, sous peine de lourdes sanctions.
-
- RGPD, HIPAA, PCI DSS : exigences fortes en Europe et dans le monde, pour protéger les données à caractère personnel et sensibles.
Les 3 protocoles SPF, DKIM et DMARC
| Protocole | Objectif | Rôle |
|---|---|---|
| SPF | Valider les serveurs autorisés | Vérifie que le serveur expéditeur est légitime |
| DKIM | Signature cryptographique | Garantit l’intégrité du contenu et authentifie l’expéditeur |
| DMARC | Politique d’authentification | Détermine la gestion des emails douteux, empêche usurpation |
Sans ces dispositifs de signature numérique, 47 % des entreprises françaises s’exposent à des risques d’usurpation d’identité, de phishing, de dévoiement de leurs marques et de pertes d’opportunités commerciales
Sources :
Conséquence de non-confirmité
La non-conformité entraîne désormais le rejet immédiat des messages ou leur placement automatique dans les dossiers spam, impactant directement la dérivabilité.
Microsoft a durci ses exigences depuis mai 2025, rejetant directement les emails non conformes avec le code d’erreur « 550 5.7.15 Access denied ». Cette approche est plus stricte que celle de Google et Yahoo qui initialement dirigeaient les messages vers les dossiers spam.
La Poste, principal fournisseur français de services email, applique depuis septembre 2025 des exigences similaires, rendant obligatoires SPF, DKIM et DMARC pour tous les expéditeurs, sans exception de volume.
Un alignement stratégique
La directive NIS2 est une mise à jour des règles de cybersécurité de l’Union européenne. Elle vise à renforcer les lois sur la cybersécurité dans l’UE. En se basant sur la directive NIS de 2016, la directive NIS2 élargit son champ d’application. Elle impose des exigences plus strictes et améliore les mécanismes de mise en œuvre.
Bien que principalement axée sur l’UE, cette directive s’applique également aux entreprises hors de l’UE qui offrent des services essentiels à l’économie européenne.
Harmoniser les standards de sécurité
Cette directive NIS2 de l’Union européenne présente une opportunité pivot pour harmoniser les standards de sécurité email à travers tous les États membres.
Plusieurs pays européens ont déjà mis en place des règles nationales. La République tchèque, le Danemark, l’Estonie, l’Irlande, les Pays-Bas et la Pologne demandent l’utilisation de DMARC et DKIM pour les organismes publics.
L’authentification des e-mails, ou la signature numérique, doit faire partie d’une stratégie de cybersécurité. Cette stratégie doit inclure la formation des utilisateurs, la détection des comportements suspects et une protection multicouche.
Éviter les problèmes de délivrabilité
L’implémentation des protocoles SPF, DKIM et DMARC est obligatoire en 2025. Cela est nécessaire pour la sécurité et le bon fonctionnement de la messagerie dans le monde.
Les cyber-menaces évoluent et deviennent plus sophistiquées. Les organisations qui ne se conforment pas risquent des problèmes de délivrabilité. Elles s’exposent aussi à des risques financiers et à des atteintes à leur réputation.
Conséquences des problèmes de délivrabilité
-
- 1 e-mail sur 4 est un spam ou une attaque (phishing, malwares).
-
- Chaque mois, 1 entreprise sur 5 subit une tentative de compromis de compte via e-mail.
-
- Manque de protections comme DMARC dans 47% des domaines facilite l’usurpation d’identité.
-
- Utilisation de pièces jointes malveillantes et QR codes dans les campagnes cybercriminelles.
-
- Nécessité de stratégies de sécurité multicouches intégrant de l’IA pour contrer ces menaces.
Standard & pratiques clefs en 2025
Objectifs et avantages
Voici les normes et pratiques pour 2025. Elles visent à garantir la sécurité des mails. Cela inclut la conformité et la délivrabilité, en passant par la formation et la surveillance des actions en place
| Dimension | Technologie/Norme | Objectif / Avantage | Enjeux |
|---|---|---|---|
| Chiffrement | E2EE, S/MIME | confidentialité, intégrité, authentification | RGPD, DORA, ISO |
| Authentification | SPF, DKIM, DMARC | anti-usurpation, anti-phishing | Réputation, pertes |
| Certification | ISO 27001 (2025) | robustesse, conformité mondiale | Audits, sanctions |
| Monitoring & IA | Smart filtering, SIEM | anticipation des menaces, réaction rapide | Sophistication |
| Formation | Politique email interne | réduction des erreurs humaines | Sensibilisation |
| Management et process | Plan-Do-Check-Act | adaptation, amélioration continue | Proactivité |
| Durabilité | Envoi ciblé, sobriété | réduction empreinte carbone | Image verte |
Pratiques concrètes
Voici les pratiques concrètes à mettre en place pour assurer la securité de la messagerie sont de
-
- Mettre en place une stratégie globale et intégrée,
-
- Chiffrement systématique des échanges internes et externes (E2EE/S/MIME),
-
- déployer des protocoles SPF, DKIM, DMARC sur tous les domaines,
-
- disposer d’un monitoring avancé, de détections proactives des comportements suspects,
-
- segmenter des droits selon le rôle, limitation des accès
-
- sauvegarder régulièrement, effectuer des audits de sécurité annuels et une gestion rigoureuse des incidents,
-
- réfléchir à la mise en plaec de plans de reprise / continuité d’activités ( PRA / PCA ),
-
- former et sensibiliser tous les collaborateurs
-
- d’élaborer une politique écrite, signée et comprise par tous (ISO 27001 : A.5.1, A.5.14, A.6.3, A.7)
-
- simuler chaque trimestre les effets du phishing et l’analyse de chaque incident,
-
- mettre à jour continue des compétences et des connaissances individuelles et collectives,
-
- contrôler et surveiller en continu,
-
- de mettre en place des audits ISO, conformité multi-normes (ISO/DORA/RGPD…),
-
- de mettre en place des dispositifs de remontée et d’alerte instantanés,
-
- d’élaborer des tableaux de bord dynamiques, adaptatés aux nouvelles menaces.
L’avenir de la sécurité des mails
L’automatisation & l’IA
L’avenir et la sécurité des mails s’inscrivent dans une dynamique marquée par l’automatisation, l’intelligence artificielle (IA), des réglementations strictes, la durabilité et la collaboration éthique. En 2025, l’IA révolutionne la détection des menaces par des filtres intelligents, la détection prédictive et l’adaptation dynamique aux nouvelles cyber-menaces. Les machines apprennent continuellement pour mieux contrer les spams, malwares et attaques sophistiquées comme les phishing hyper-personnalisés, rendant ainsi la défense des mails plus rapide et efficace face aux cybercriminels de plus en plus ingénieux.
Cybersécurité & réglementation
Sur le plan réglementaire, des cadres comme DORA, RGPD et ISO 27001 demandent des mesures solides pour la cybersécurité des mails. DORA exige que les institutions financières contrôlent bien les risques des fournisseurs TIC. Elle demande aussi une surveillance active des infrastructures. Le RGPD protège les données personnelles grâce au chiffrement et à un hébergement sécurisé en Europe.
Ces normes rendent la cybersécurité obligatoire. Elles imposent des audits, des simulations de phishing et des mesures de résilience pour réduire les risques.
Durabilité & empreinte carbone
La durabilité devient aussi un enjeu clé : la gestion de l’empreinte carbone des mails prend de l’ampleur avec des pratiques green IT comme la limitation des pièces jointes volumineuses, l’hébergement sur des serveurs verts et des politiques de sobriété numérique au sein des entreprises.
La pollution numérique liée aux e-mails est importante, et réduire leur impact environnemental s’intègre désormais aux stratégies RSE des organisations.
Messageries confidentielles
Enfin, la tendance vers des messageries confidentielles par défaut se développe. Cela se voit surtout dans des secteurs sensibles comme la santé, la finance et le juridique. Ces solutions sont souvent open source, collectent peu de données et font l’objet d’audits indépendants.
La cybersécurité collaborative et éthique aide à l’échange entre métiers, IT et partenaires. Cela permet d’anticiper et de partager les bonnes pratiques. Ainsi, la sécurité des communications électroniques est renforcée.
Conclusion
La sécurité des e-mails est aujourd’hui un enjeu majeur, car la grande majorité des cyberattaques naissent de ce vecteur. En 2025, protéger les messages électroniques n’est plus optionnel mais obligatoire, avec des normes strictes comme SPF, DKIM, DMARC, et des réglementations telles que DORA, RGPD et ISO 27001. Les entreprises doivent mettre en place une stratégie globale incluant chiffrement, formation des collaborateurs, surveillance constante et technologies avancées comme l’intelligence artificielle.
La durabilité et la confidentialité prennent également une place croissante dans ces démarches, afin d’assurer une communication sécurisée, conforme, responsable et résiliente face aux menaces actuelles. Ne pas s’adapter expose à des risques financiers, juridiques et réputationnels importants. La sécurité des emails est donc un pilier indispensable à la continuité et à la confiance dans le monde numérique contemporain.
Solutions engagées