Pourquoi une boîte mail piratée est rarement un incident isolé
Une adresse email professionnelle sert souvent de clé de secours pour le reste de l'entreprise. Elle reçoit les factures, les devis, les liens de réinitialisation, les notifications d'hébergement, les échanges clients et parfois les alertes bancaires. Quand cette boîte est compromise, le risque ne se limite donc pas à la lecture des messages. L'attaquant peut chercher à rebondir vers d'autres comptes.
Le danger le plus discret vient des règles automatiques. Une règle de transfert peut copier certains emails vers une adresse externe, supprimer des alertes ou masquer les réponses. Même après un changement de mot de passe, cette règle peut continuer à exposer l'entreprise si personne ne la vérifie.
Ce qu'il faut vérifier dans la première heure
- sessions ouvertes et appareils connectés ;
- règles de transfert, filtres, réponses automatiques et délégations ;
- méthodes de récupération : téléphone, email secondaire, questions, applications ;
- connexions inhabituelles, pays inconnus, horaires anormaux ;
- messages envoyés récemment, pièces jointes, factures ou demandes de paiement.
Ces vérifications doivent être faites avant de considérer le compte comme “récupéré”. Un simple changement de mot de passe ne suffit pas si une session reste ouverte ou si une méthode de récupération a été modifiée.
Les comptes liés à traiter comme critiques
Après la reprise de la boîte mail, il faut regarder ce qu'elle permet de contrôler. Une adresse dirigeant ou admin peut servir à reprendre un hébergement, un nom de domaine, un outil de paiement, un stockage cloud, un CRM, un outil de signature ou un compte publicitaire. Chaque compte lié doit être revu avec la même logique : mot de passe unique, MFA, sessions révoquées, accès inutiles retirés.
Si l'entreprise utilise une adresse générique comme contact@, admin@ ou facturation@ pour des accès critiques, le risque est plus élevé. Ces adresses circulent beaucoup, sont parfois partagées, et restent rarement surveillées avec le même niveau d'attention qu'un compte individuel.
Prévenir les fraudes après compromission
Une boîte mail piratée peut être utilisée pour préparer une fraude : faux RIB, changement de coordonnées bancaires, demande urgente de paiement, interception de devis ou modification d'une facture. Les clients et fournisseurs sensibles doivent parfois être alertés avec un message factuel, surtout si des emails suspects ont été envoyés depuis le compte.
Le bon réflexe est de vérifier les échanges récents contenant des montants, des coordonnées bancaires, des factures ou des liens. Si une fraude est possible, il faut prévenir les personnes concernées par un canal indépendant, par exemple téléphone ou email depuis un compte sécurisé.
Renforcer le domaine email
Une compromission est aussi l'occasion de vérifier le domaine. SPF, DKIM et DMARC ne protègent pas directement une boîte déjà piratée, mais ils limitent l'usurpation du domaine et améliorent la confiance des emails envoyés. Pour une PME, ces réglages sont souvent oubliés ou incomplets.
Il faut aussi vérifier qui administre le domaine, qui peut modifier le DNS, et si le compte registrar est protégé par MFA. Une messagerie sécurisée avec un domaine mal protégé reste fragile.
FAQ
Faut-il prévenir tous les clients ?
Pas automatiquement. Il faut d'abord vérifier si des messages suspects ont été envoyés, si des données sensibles ont été exposées, ou si une fraude est possible. La communication doit être factuelle.
La MFA suffit-elle après coup ?
Non. Elle est indispensable, mais il faut aussi révoquer les sessions, vérifier les règles, les méthodes de récupération et les comptes liés.
Quand demander un audit ?
Quand la boîte est liée à des accès critiques, quand des factures ou données clients sont concernées, ou quand l'origine de la compromission n'est pas claire.