Outils

Lutter contre le spam en PME

Si vous faites un peu de veille technique, vous êtes peut-être abonné à la newsletter du SANS Institute qui envoie toutes les semaines un bulletin d’information des dernières attaques. Ainsi peut-on très régulièrement découvrir que telle ou telle infrastructure a été infectée par le dernier malware à la mode.  

Nous sommes de plus en plus consommateurs de technologies en tout genre et nos technologies sont de plus en plus évoluées mais le nœud du problème reste toujours l’interface chaise-clavier ou plus basiquement l’utilisateur final. Ainsi, les emails frauduleux promettant des remboursements d’impôts – les impôts ne remboursent pas : le Trésor Public procède à des exonérations, des abattements ou des rescrits, mais très rarement à des remboursements et vous n’en êtes jamais informé par email – des chaînes vous disant que si vous cliquez sur tel lien, vous sauverez un enfant à l’autre bout sans oublier la fameuse fraude au président.

Dans les entreprises et surtout dans les petites entreprises, la sécurité informatique est le parent pauvre, je l’avais déjà évoqué dans cet article. Il est particulièrement rageant de voir que des PME utilisent les services mail de Google pour leurs courriels. Ce qui peut apparaître comme une solution de facilité et d’économie ne l’est pas et en voici un exemple. Hier, j’ai totalement ouvert le Projet Arcadie à tous et j’ai donc supprimé les comptes utilisateurs puisqu’il n’y a plus de valeur ajoutée à avoir un compte sur la plateforme. Bien évidemment, j’en ai préalablement informé mes abonnés, afin qu’ils ne soient pas surpris. Quelques minutes après la suppression des comptes, j’ai reçu des messages ex-utilisateurs surpris, me disant qu’ils n’en avaient pas été informés. Point commun : tous ont utilisé Gmail pour s’inscrire et Gmail avait classé le message, ne comportant aucune image et un seul lien – celui de désabonnement – dans les spams.

On le voit : le message était légitime et pourtant a été classé comme malveillant. A l’inverse, certains messages malveillants, arrivent sans difficulté dans la boîte mail principale, la preuve en est certains messages partagés sur les réseaux sociaux, mettant en évidence des tentatives de fraudes, heureusement déjouées par des utilisateurs bien informés.

La question est la suivante : que peut faire concrètement une PME pour éviter des infections de son système informatique ? On ne le dira jamais assez : formation des utilisateurs. On devrait rendre obligatoire pour tous les salariés une initiation à la sécurité informatique basique.

Mais ce qui est valable pour les salariés l’est aussi pour les employeurs. Trop nombreux sont ceux qui pèchent par avarice et ont recours à Gmail au motif que c’est simple et pas cher. Mais de la même manière qu’on ne vient pas sur son lieu de travail en caleçon, on n’utilise pas dans la sphère professionnelle les mêmes outils que dans la sphère privée, sauf si cela est réellement pertinent et sans danger. Alors que faire ? En un mot : externalisation.

Parmi les services qui proposent une solution de sécurisation de messagerie électronique, on compte AltoSpam, service de sécurisation des emails avec anti-spam et anti-virus intégrés, solution française, hébergeant son service en France et certifiée conforme PCI-DSS. Niveau tarifs, le service paraît assez abordable car il propose une facturation à partir de 0.50€/utilisateur/mois.

Concrètement, comment cela fonctionne ? Une fois installé après une modification de l’entrée du DNS, le service procède à une analyse des messages avant leur délivrance, notamment par système de liste noire/blanche/grise, vérification des liens éventuels dans le message ou encore analyse heuristique.  Notons également qu’AltoSpam propose un outil simplifié d’analyse des noms de domaine.

Notons également que le service propose un glossaire bien pratique pour vous aider dans la compréhension de certains termes, spams figurant évidemment en bonne place.

En résumé, à vouloir économiser trois sous, on risque de mettre en danger son entreprise et quitte à externaliser certaines prestations informatiques, autant faire travailler une PME française, qui répond aux normes de la sécurité informatique.