Lorsqu’il s’agit de protection des données, nous pensons normalement à la politique de confidentialité, aux consentements ou aux exigences légales. Sans embargo, de nombreuses violations de sécurité s’exercent d’une manière beaucoup plus importante : avec un courrier électronique qui semble légitime et qui ne provoque pas de violations de supplantation d’identité.
Coïncidant avec l’anniversaire de l’entrée en vigueur du Règlement Général de Protection des Données (RGPD), applicable depuis le 25 mai 2018, il convient d’enregistrer que protéger les informations personnelles implique également de renforcer un des canaux les plus utilisés dans toute organisation: le courrier électronique.
Les entreprises reçoivent des e-mails chaque jour – ou même les clients –. Et les ciberdelincuentes le savent. Deuxièmement, la supplantation de l’identité par courrier électronique est l’une des techniques les plus utilisées pour engager les employés, les clients et les fournisseurs.
El email, une des principales portes d’entrée
L’attaquant envoie un message apparemment légitime, supplantant l’identité d’une marque, un directeur, une entité bancaire ou un organisme officiel, avec l’objet de la fraude financière, distribuer des ransomwares ou voler des informations d’identification et d’identité, entre d’autres délits.
Cela a un impact sur les dommages à la réputation, car cela détériore l’image de la marque et met la confiance dans l’écosystème des clients, des fournisseurs et des sociétés de l’entreprise supplantée.
Il n’y a pas d’action réservée aux grandes entreprises. Chaque entreprise peut se convertir en objectif.
Un exemple récent, en mai 2026, lorsque l’Agence Tributaire a alerté sur une campagne de phishing qui supplantait l’AEAT comme le Ministère de l’Habitation. Les courriers réclament un paiement supposé par une « régularisation tributaire internationale » au moyen de crypto-monnaies, en utilisant une langue technique, une compétence institutionnelle et des messages urgents pour presionar a les victimes. La propia AEAT tuvo qui enregistrera publiquement qu’aucune demande de paiement de portefeuilles ou de crypto-monnaies n’est demandée.
Ce type de campagne semble avoir fait évoluer le phishing au cours des dernières années. Il ne s’agit pas seulement de voler à l’encontre d’un faux Web, mais de provoquer des actions immédiates : réaliser des transferts, télécharger des archives malveillantes ou confier des identités apparemment légitimes.
Protéger le domaine corporatif pour freiner la supplantation
Une partie fondamentale de la protection du courrier électronique de l’entreprise consiste à renforcer la sécurité du domaine à partir de ce qui est envoyé aux messages. Pour cela, vous utilisez des mécanismes d’authentification comme SPF, DKIM et DMARC, qui permettent de vérifier si un courrier a été réellement envoyé par des serveurs autorisés et s’il a été manipulé ou intercepté pendant votre transit.
DMARC, en particulier, permet de définir des politiques de validation plus strictes concernant l’utilisation du domaine, en appliquant SPF et DKIM pour vérifier la légitimité des messages envoyés. De cette façon, il est assuré que les courriers précédents de sources autorisées peuvent être correctement échangés, réduisant ainsi le risque de supplantation d’identité et d’abus de pouvoir.
De forme séncilla, SPF définit quels serveurs peuvent envoyer des e-mails au nombre d’un domaine ; DKIM vérifie l’intégrité du message sur la base d’une cryptographie ; et DMARC a établi que vous devez faire en sorte que le courrier envoyé ne dépasse pas la validation de SPF et DKIM.
Fran Mollá, Channel Account Manager de Sendmarc sur Ontinet.com, a expliqué que « protéger le domaine de l’entreprise est une pièce clé à l’intérieur de toute stratégie de cybersécurité et de position de la marque d’entreprise. N’évitant pas seuls les attaques de supplantation d’identité, nous protégeons également la confiance des clients, des employés et Les fournisseurs ont accès à Internet un endroit plus sûr pour tous.
L’application des politiques strictes de DMARC dans les domaines est comparable à la protection d’une marque corporative au milieu d’une sécurité. De la même manière que les personnes contractent la sécurité de la maison ou de la voiture comme moyen de prévention, les entreprises doivent mettre en œuvre une politique DMARC robuste dans leurs domaines pour prévenir les supplantations d’identité et d’éventuelles atteintes à la réputation.
Protéger le domaine de l’entreprise est une pièce clé dans toute stratégie de cybersécurité
Nous avons ajouté que « la recommandation de ne pas réviser la configuration correcte des protocoles SPF et DKIM sur toutes les sources que nous envoyons par courrier depuis notre domaine, et d’appliquer DMARC de forme progressive, est décidé, en augmentant les politiques les plus strictes en ce qui concerne la garantie que tout le courrier est effectué. légitime et autorisé est correctement validé. De cette manière, vous assurerez une haute adhésion au courrier légitime, au même moment que celui qui ne dépasse pas les validations d’authentification.
