Bonnes pratiques au quotidien
Module 4 / 5
4.1 Messagerie professionnelle : phishing et transferts
La messagerie est à la fois le premier outil de communication et le premier vecteur de violation de données. Mauvais destinataire, pièce jointe sensible, lien piégé : un clic suffit pour compromettre des centaines de comptes.
Les quatre risques majeurs liés à la messagerie
Phishing / Hameçonnage
E-mail imitant un correspondant légitime (banque, DGFiP, dirigeant) pour soutirer un mot de passe ou faire cliquer sur un lien malveillant. Première cause d'incident de sécurité en entreprise (rapport ANSSI 2023).
Erreur de destinataire
Auto-complétion qui propose le mauvais nom, « Reply to all » involontaire, fichier RH envoyé en CC d'une mailing externe. C'est la première cause de violation déclarée à la CNIL (env. 30 % des notifications).
Pièce jointe non chiffrée
Liste de salariés, fichier paie ou candidatures envoyé en clair, parfois à un fournisseur peu sûr. Toute interception (réseau Wi-Fi public, boîte compromise) expose les données.
Transfert vers messagerie personnelle
« Je me l'envoie pour bosser ce soir » : pratique courante, mais qui fait sortir des données du SI maîtrisé par l'employeur. Souvent interdite par la charte informatique, et facteur aggravant en cas d'incident.
Comment reconnaître une tentative de phishing
Les attaques modernes sont sophistiquées (IA générative, deepfake vocal, fraude au président). Mais elles laissent presque toujours des indices.
| Signal | Exemple concret |
|---|---|
| Adresse expéditeur étrange | [email protected] au lieu de microsoft.com |
| Urgence ou pression | « Vous avez 24h pour valider, sinon votre compte sera bloqué » |
| Lien suspect (vérifier au survol) | URL longue avec sous-domaines (banque-sg.com.security-update.io) |
| Demande inhabituelle | Le « PDG » qui demande un virement urgent — fraude au président |
| Fautes ou ton inhabituel | Tournures bizarres, fautes grammaticales (de moins en moins fréquentes avec l'IA) |
| Pièce jointe inattendue | Facture .zip ou .docm d'un fournisseur inconnu |
Le bon réflexe : vérifier par un canal différent
Doute sur un mail du « directeur » qui demande un virement ? Décrocher le téléphone et appeler la personne sur son numéro habituel. Doute sur une « alerte de sécurité » Microsoft ? Aller manuellement sur le portail, ne jamais cliquer sur le lien du mail.
Envoyer un mail contenant des données personnelles : la check-list
Avant d'appuyer sur « Envoyer »
- Vérifier le destinataire complet (l'auto-complétion est traître)
- Préférer le Cci pour les mailings groupés (sinon vous divulguez tous les e-mails)
- Limiter la pièce jointe au strict nécessaire (minimisation)
- Chiffrer si données sensibles (PDF mot de passe, plateforme sécurisée)
- Transmettre le mot de passe par un autre canal (SMS, téléphone)
À éviter
- Diffuser un fichier RH complet quand seuls quelques noms sont nécessaires
- Mettre l'ensemble du service en CC d'un mail nominatif
- Stocker des fichiers sensibles « pour archive » dans la boîte mail
- Utiliser sa messagerie personnelle (Gmail, Yahoo) pour transférer du pro
- Cliquer sur « Tout l'historique » dans une réponse — vérifier le contexte
Cas d'école — la liste de licenciement en CC
En 2022, une grande entreprise britannique a été sanctionnée pour avoir envoyé un mail contenant la liste nominative des salariés à licencier… en copie de tous les salariés concernés. Une simple confusion entre Cc et Cci, lourde de conséquences disciplinaires, RGPD et humaines.
Vie privée et messagerie : ce qu'il faut savoir
La jurisprudence française est constante (Cass. soc. arrêt « Nikon » du 2 octobre 2001) : le salarié a droit, même au temps et au lieu de travail, au respect de sa vie privée.
Ce que l'employeur peut faire
- Considérer comme professionnels les e-mails sans mention contraire
- Y accéder pour les besoins du service (en cas d'absence prolongée)
- Conserver des sauvegardes dans le cadre de la sécurité
- Filtrer le spam et bloquer les pièces jointes dangereuses
Ce qu'il ne peut pas faire
- Lire un e-mail clairement identifié « personnel » (sauf circonstances exceptionnelles, en présence du salarié)
- Surveiller en continu le contenu sans information préalable du CSE
- Utiliser un mail à caractère personnel pour fonder une sanction
- Conserver les logs au-delà de la durée nécessaire
Bonne pratique côté salarié : séparer strictement vie pro et vie privée. Identifier explicitement (via un dossier « PERSONNEL » ou la mention dans l'objet) les rares e-mails non professionnels — la jurisprudence protège alors leur confidentialité.
Synthèse du chapitre
- →L'erreur de destinataire est la 1re cause de violation déclarée à la CNIL
- →Le phishing reste la principale porte d'entrée des cyberattaques
- →Toujours vérifier destinataire, pertinence de la PJ et chiffrement avant envoi
- →L'employeur ne peut lire les e-mails identifiés « personnels » sauf cas exceptionnels