Si vous travaillez dans ce secteur depuis un certain temps, vous avez probablement entendu parler d'au moins quelques importantes violations de données concernant des PME, des TPE et de grandes entreprises. Récemment, des services comme Mailchimp, Klaviyo et Signal ont également été compromis.

Compte tenu de la quantité de données personnelles nécessaires pour garantir des taux de clics de 10 % ou plus, il n'est pas surprenant que ces violations de données entraînent la panique chez les clients et limitent considérablement la visibilité et la délivrabilité des e-mails marketing ultérieurs.

Compte tenu des multiples façons dont une sécurité laxiste peut affecter la confiance envers la marque et votre stratégie marketing, il est essentiel de veiller à ce que chaque étape de votre processus marketing, de votre côté à celui de vos clients, reste sécurisée.

Selon la nature de l'exploit utilisé par les pirates informatiques, de telles failles de sécurité pourraient également vous exposer à des poursuites judiciaires pour non-respect de la loi CAN-SPAM (Controlling the Assault of Non-Solicited Pornography and Marketing Act). Règlement général sur la protection des données (GDPR), la loi canadienne anti-pourriel (LCAP), etc. Par conséquent, vous devez respecter les meilleures pratiques pour protéger votre stratégie marketing, les données de vos clients et la confiance envers votre organisation.

Objectifs de sécurité concrets : par où commencer ?

Bien que l'on sache que les destinataires d'emails sont vulnérables aux cyberattaques, on oublie souvent que ces mêmes méthodes peuvent être utilisées contre les spécialistes du marketing par email.

Lorsque cela se produit, les conséquences sont bien plus graves compte tenu de la quantité considérable de données personnelles sensibles détenues par les spécialistes du marketing par courriel. Par conséquent, ces derniers doivent mettre en place des mesures de protection contre les menaces de cybersécurité les plus courantes, telles que les logiciels malveillants, l'hameçonnage et les pièces jointes compromises.

Par conséquent, vos efforts doivent viser en priorité à endiguer la perte de données par ces moyens ; vous ne souhaitez certainement pas que vos textes et vos appels à l’action soient utilisés à des fins malveillantes. De plus, votre infrastructure de sécurité doit remédier aux failles systémiques, telles que l’insuffisance de protocoles de sécurité pour les courriels, de mesures de chiffrement et de discernement humain (au sein de votre équipe marketing et auprès de vos clients).

Enfin, il est essentiel d'intégrer des mesures qui corrigent les défauts propres à votre infrastructure de messagerie actuelle, notamment votre client de messagerie, votre fournisseur de services de messagerie, votre fournisseur d'accès Internet, etc.

Protocoles de sécurité du courrier électronique

Sans mesures de sécurité robustes, les protocoles de sécurité de messagerie électronique tels que le protocole SMTP (Simple Mail Transfer Protocol), le format IMF (Internet Message Format), le protocole IMAP4 (Internet Message Access Protocol 4) et le protocole POP3 (Post Office Protocol 3) ne suffisent pas à garantir la protection des données.

La meilleure pratique en matière de sécurité du courrier électronique consiste à intégrer et à combiner plusieurs protocoles et outils de sécurité. Voici quelques solutions que vous pouvez ajouter à votre environnement.

Cadre de politique de l'expéditeur (SPF)

SPF SPF vous permet de créer un enregistrement qui restreint les adresses IP autorisées à utiliser votre domaine pour envoyer des e-mails à des prospects. Il empêche l'usurpation d'adresse e-mail, une technique où des acteurs malveillants utilisent votre domaine pour envoyer des e-mails malveillants. Grâce à SPF, vous pouvez spécifier les services, serveurs ou fournisseurs de services de messagerie (ESP) autorisés à envoyer des e-mails.

L'un des principaux avantages est le renforcement de la confiance des clients grâce à la vérification de l'autorisation de l'expéditeur. Par conséquent, cela peut indirectement améliorer l'engagement, les taux de clics et le retour sur investissement.

Malheureusement, tous les fournisseurs de messagerie/domaines ne prennent pas en charge ce protocole, car ils ne fournissent pas tous les données DNS nécessaires à sa configuration. Il est donc essentiel de vérifier quels fournisseurs prennent en charge la fonctionnalité SPF.

Une fois le SPF configuré, il est essentiel de prévoir 2 à 3 jours ouvrables pour qu'il soit pris en compte dans vos newsletters, e-mails de bienvenue, e-mails de reciblage, etc. Vous pouvez ensuite utiliser un logiciel de diagnostic SPF pour analyser l'enregistrement et vérifier son bon fonctionnement. Cependant, il est recommandé de combiner le SPF avec d'autres protocoles de sécurité de messagerie en raison d'une faille majeure : son incapacité à limiter l'autorisation aux seuls acteurs légitimes.

De ce fait, des acteurs malveillants possédant les compétences techniques nécessaires peuvent identifier un domaine et y ajouter un enregistrement SPF autorisant son utilisation depuis leur adresse IP. Par conséquent, le SPF ne constitue que la base de votre stratégie de protocole, et le DKIM doit être utilisé en complément.

Courrier identifié par les clés de domaine (DKIM)

DKIM SPF ajoute deux nouvelles fonctionnalités à son système de base : une infrastructure de chiffrement et son intégration à vos copies ou contenus. La première garantit que chaque courriel est identifié de manière unique par deux clés de chiffrement : une clé privée et une clé publique.

Le premier est lié à votre agent de transfert de messages (MTA) et ne doit pas être divulgué, tandis que le second est inclus dans l'enregistrement TXT DNS utilisé pour configurer le protocole. Il est également important de noter que la configuration de DKIM est plus complexe que celle de SPF, car un enregistrement distinct est nécessaire pour chaque domaine de messagerie.

De plus, en étant associé à la copie ou au contenu lui-même, le DKIM contribue à renforcer la validation de l'identité de l'auteur original. Ainsi, alors que dans l'exemple précédent, des personnes malveillantes pouvaient trouver un domaine et y télécharger un enregistrement DNS SPF falsifié, cela serait beaucoup plus difficile avec le DKIM.

De plus, toute personne recevant un courriel prétendument envoyé par vous peut utiliser la clé publique disponible gratuitement pour vérifier que la signature du courriel correspond à votre jeton. Cependant, tout comme pour SPF, il est essentiel de vérifier quels fournisseurs prennent en charge DKIM. Une fois cette prise en charge effectuée, le délai d'attente et la procédure nécessaires pour exécuter les diagnostics DKIM sont similaires à ceux de SPF. Bien que DKIM ne présente pas les mêmes défauts que SPF, la mise en œuvre du protocole reste à la discrétion du fournisseur de votre équipe marketing. Bien que la plupart des fournisseurs mettent en œuvre le protocole tel que décrit, ils n'y sont pas tenus, d'où la nécessité de DMARC.

Authentification, rapport et conformité des messages basés sur le domaine (DMARC)

DMARC DMARC est un protocole de sécurité de messagerie qui vérifie la présence des enregistrements SPF et DKIM. Concrètement, DMARC analyse un courriel pour détecter la présence de ces enregistrements, applique les instructions que vous avez définies en leur absence et vous en informe (ou votre serveur de messagerie).

Bien qu'il soit possible d'ajouter un enregistrement DMARC TXT sans avoir configuré simultanément SPF et DKIM, il est préférable de configurer ces deux derniers au préalable pour les raisons déjà évoquées. À l'instar des protocoles de sécurité mentionnés précédemment, vous devrez lister individuellement tous les domaines utilisant déjà un enregistrement SPF ou DKIM et les inclure dans votre enregistrement DMARC.

Il est particulièrement important d'effectuer la transition vers DMARC sur plusieurs semaines plutôt que sur plusieurs mois. Cela vous permettra de vérifier si vos règles de mise en œuvre sont trop strictes (vous pourriez par inadvertance classer comme spam des e-mails légitimes envoyés par votre équipe marketing).

Au cours des prochaines semaines, vous devrez analyser les rapports DMARC renvoyés par les serveurs de messagerie des destinataires afin de vérifier le bon fonctionnement du protocole et d'éviter toute erreur. Il est également important de surveiller toute baisse soudaine et inexpliquée de la délivrabilité et du nombre d'impressions.

Vous pouvez progressivement renforcer votre protocole tout en veillant à ce que chaque instruction fonctionne comme prévu. Une fois ce protocole mis en place, vos courriels seront protégés contre la plupart des attaques par compromission de messagerie professionnelle (BEC).

Indicateurs de marque pour l'identification des messages (BIMI)

BIMI est similaire à DMARC, la différence cruciale étant qu'il vous permet d'afficher votre logo d'entreprise sur les serveurs de messagerie des destinataires (une fois ces adresses électroniques validées par SPF, DKIM et DMARC). Cela contribue à renforcer la confiance, la notoriété de la marque et la visibilité à long terme.

Il élimine également le besoin de requêtes DNS, comme décrit précédemment, avec des clés publiques et privées. Cependant, pour utiliser BIMI, vous devez mettre en œuvre une politique DMARC qui, soit marque les courriels suspects comme spam potentiel et les renvoie à votre domaine, soit bloque purement et simplement leur distribution.

De plus, vous devez avoir une bonne réputation IP en tant qu'opérateur de courriel en masse reconnu, les données préalables nécessaires à la création de l'enregistrement d'assertion BIMI (BAR) et un logo au format SVG.

Malheureusement, en octobre 2022, seuls Apple Mail, Fastmail, Pobox, Gmail, Google Workspace, La Poste, Yahoo, AOL, Netscape et Zone prennent en charge BIMI. De plus, Gmail exige un certificat Verified Mark pour afficher votre logo sur ses serveurs.

Une fois BIMI configuré, vous pouvez utiliser une procédure similaire à celle de votre enregistrement SPF pour l'analyser et confirmer qu'il fonctionne comme prévu.

Réputation des adresses IP et des domaines

Comme mentionné précédemment, Réputation IP La sécurité des adresses IP est essentielle pour les campagnes d'emailing, et ce à juste titre. Les adresses IP ayant une mauvaise réputation sont connues pour envoyer davantage d'emails suspects, facilitant ainsi les attaques de phishing. Le vol d'identité tentatives et usurpations d'identité par courriel.

Outre l'impact que cela a sur la confiance envers la marque et la délivrabilité, l'utilisation de telles adresses IP peut également exposer votre PME, votre TPE ou votre entreprise à des risques de fraude au président en permettant aux personnes mal intentionnées d'accéder facilement aux données hébergées sur vos serveurs.

Par conséquent, opter pour une adresse IP jouissant d'une bonne réputation est bénéfique à la sécurité de vos clients et à votre entreprise. Il est également important de noter que changer de fournisseur, par exemple en passant d'une plateforme comme Klaviyo à une autre comme ConvertKit, peut améliorer les taux de délivrabilité.

Un autre indicateur important à prendre en compte est la réputation du domaine. Il est à noter que les protocoles de sécurité, tels que ceux déjà mentionnés, peuvent indirectement améliorer ce score. Par conséquent, un changement de domaine n'est pas toujours nécessaire pour améliorer la réputation de votre domaine.

Idéalement, vous devriez viser un score de réputation IP et de domaine de 70 ou plus afin de garantir la sécurité et la fiabilité de vos copies. Divers outils de diagnostic de réputation IP réputés permettent d'identifier les adresses IP douteuses et de recommander des fournisseurs reconnus dans le secteur.

Authentification multifacteur (MFA)

Bien que le choix d'un mot de passe de messagerie sécurisé soit une priorité, les pirates informatiques peuvent toujours déchiffrer ces mots de passe en utilisant des informations recueillies lors de fuites de données et d'attaques de phishing sophistiquées. L'authentification multifacteur (MFA) ajoute des couches de sécurité supplémentaires Ce système renforce la sécurité de votre compte en empêchant les pirates d'accéder à vos identifiants de connexion, même s'ils s'en emparent. Concrètement, il exige des méthodes de vérification supplémentaires, comme l'utilisation d'un code alphanumérique aléatoire et unique, l'authentification à deux facteurs universelle (U2F) et des données biométriques.

Les systèmes U2F utilisent des dispositifs physiques indépendants de toute connexion Internet, qui doivent être connectés physiquement à un ordinateur. Parallèlement, les données biométriques sont plus adaptées aux appareils mobiles et tirent parti de la large disponibilité des lecteurs d'empreintes digitales.

Rendre l'authentification multifacteur obligatoire pour votre équipe marketing est une bonne idée, car elle est supérieure à l'authentification à deux facteurs, qui se limite à une seule méthode supplémentaire.

Passerelles de messagerie sécurisées (SEG)

Les SEG surveillent le trafic entrant et sortant de vos serveurs de messagerie. Ce logiciel permet de prévenir efficacement les attaques BEC et les logiciels malveillants, les empêchant ainsi d'accéder à vos serveurs. Les SEG peuvent être déployés sur site pour les grandes entreprises ou dans le cloud pour les organisations comptant un grand nombre de télétravailleurs ou d'employés travaillant en mode hybride.

Outre les menaces entrantes, les SEG sont également efficaces pour prévenir les fuites de données sortantes et pour fournir des analyses de diagnostic qui contribuent à optimiser davantage la sécurité des e-mails entrants et sortants pour chaque serveur.

De plus, les SEG permettent aux utilisateurs de stocker des courriels qui pourraient être accessibles après une perte de données à l'échelle du système due à des attaques malveillantes.

Réseaux privés virtuels (VPN)

Les VPN contribuent à garantir l'anonymat du trafic de messagerie en modifiant la localisation des données sources. Outre la possibilité offerte aux spécialistes d'analyser l'efficacité de leurs campagnes marketing depuis une région totalement différente grâce à un VPN, ce dernier assure également une protection contre les attaques par e-mail et les techniques d'ingénierie sociale malveillantes ciblant spécifiquement votre client de messagerie, en garantissant la confidentialité de vos données.

De plus, les VPN masquent les données transmises sur les réseaux Internet où ils sont utilisés. Ils protègent ainsi les paquets de données contenant des informations sensibles sur les clients et facilitent la conformité aux réglementations CAN-SPAM, RGPD et CASL.

De plus, la sécurité des VPN ne se limite pas aux seuls acteurs malveillants ; grâce à l’efficacité de leur technologie d’authentification, les VPN empêchent également les fournisseurs d’accès Internet d’accéder aux données que vous envoyez sur votre réseau.

Toutefois, l'utilisation exclusive d'un VPN n'est pas optimale, car les VPN ne sécurisent que la connexion entre deux points fixes. Par conséquent, ils ne protègent pas contre les attaques ciblant votre appareil avant la transmission des données. De plus, ces données sont souvent accessibles au service VPN, ce qui représente un risque de sécurité en cas de compromission des bases de données de ce tiers.

Formation sur la cybersécurité

La formation en cybersécurité permet de remédier au principal point faible de la protection des données : l’erreur humaine. Une formation interne adéquate en cybersécurité est la méthode la plus efficace pour prévenir les attaques d’ingénierie sociale. Il est primordial de savoir analyser les objets des e-mails, les domaines de confiance et le contenu.

Il est également essentiel de se méfier des pièces jointes et des hyperliens, car ce sont les plus fréquemment utilisés pour mener des cyberattaques.

Toutefois, la sensibilisation à la cybersécurité ne doit pas se limiter à la formation des employés. Votre stratégie marketing doit inclure des actions visant à alerter les prospects sur les risques de spam, de logiciels malveillants et d'hameçonnage. Ces informations doivent également figurer sur les pages de destination.

En résumé, avec vos certificats SPF, DKIM, DMARC et BIMI, une attention particulière portée à la cybersécurité permettra à votre entreprise de se positionner comme un établissement légitime et digne de confiance, capable de protéger les données de ses clients et soucieux de garantir que ces derniers ne soient pas victimes d'attaques malveillantes.

Cela permettra d'accroître la notoriété de la marque, la confiance des consommateurs et les taux de conversion. Toutefois, il est essentiel d'intégrer des tests par lots et des tests multivariés aux campagnes marketing afin d'optimiser les indicateurs clés de performance (KPI).

Chiffrement

Il est indispensable de prendre ces mesures pour garantir la sécurité de vos e-mails. Le chiffrement direct des données et l'utilisation d'un VPN permettent de pallier certaines limitations des solutions de sécurité reposant uniquement sur un VPN. Concrètement, cela empêche les fournisseurs de VPN tiers d'accéder aux paquets de données.

Pour les communications internes, le chiffrement asymétrique est recommandé car il exige que les destinataires possèdent une clé publique et une clé privée, toutes deux communiquées au préalable, pour accéder aux données. Pour les communications externes, le chiffrement en transit peut être utilisé.

Points clés à retenir

Chaque équipe de marketing par courriel devrait disposer d'un ensemble de bonnes pratiques et de stratégies pour prévenir les fuites de données. Cela permet de sécuriser les données de l'entreprise, d'accroître la confiance envers la marque et de garantir une délivrabilité optimale à long terme.

Ces pratiques doivent cibler les aspects techniques et humains de la sécurité des courriels, en mettant l'accent sur l'équipe marketing et le destinataire. Les protocoles de sécurité des courriels sont essentiels, notamment BIMI, DKIM et DMARC.

En plus des méthodes susmentionnées, les VPN, la formation en cybersécurité, le chiffrement des données, l'authentification multifacteur, les groupes de sécurité et le passage à une adresse IP réputée devraient être intégrés à l'infrastructure de sécurité.