La messagerie reste la première porte d’entrée des fraudeurs

enseignes sécurité des e-mails @clesdudigitalLes enseignes du retail et du e-commerce français progressent sur le front de la sécurité des e-mails, mais des failles importantes subsistent à l’heure où les cyberattaques gagnent en sophistication. Quelles sont les vulnérabilités persistantes et les nouvelles formes de menaces qui redessinent le paysage des risques ?

Le mail reste le terrain de jeu privilégié des attaquants.  Le constat est d’une netteté déconcertante : 40 % des responsables sécurité du secteur retail dans le monde considèrent aujourd’hui la fraude par e-mail comme la menace principale pour leur organisation, selon Xavier Daspre, directeur technique France chez Proofpoint qui dresse un état des lieux précis, chiffres à l’appui des menaces cyber courantes pour les professionnels avec un focus sur le retail. Ce constat, issu du baromètre annuel Voice of the CISO de l’entreprise cyber américaine, n’est pas le fruit du hasard. Il traduit une réalité opérationnelle que rencontrent quotidiennement les équipes de sécurité des grandes enseignes : la messagerie électronique demeure, de loin, le premier vecteur d’attaque utilisé par les cybercriminels. Non pas parce que les entreprises n’ont pas investi dans des solutions techniques, mais précisément parce que les attaquants ont compris que la faille la plus exploitable reste humaine avant d’être technologique.

La même étude révèle que 64 % des directions informatiques du commerce de détail anticipent une attaque significative dans les douze prochains mois. Plus préoccupant encore, 53 % des entreprises du secteur ont déjà subi une perte importante de données au cours de l’exercice écoulé, souvent sans que l’incident soit rendu public. Parmi les causes identifiées, la négligence d’un collaborateur arrive en tête avec 38 % des cas recensés : un clic malheureux sur un lien malveillant, un partage de fichier non sécurisé, une confusion entre messagerie personnelle et professionnelle. Autant de gestes anodins dont les conséquences peuvent se chiffrer en millions d’euros. À titre de repère, Les Clés du digital peuvent indiquer qu’une fuite de données peut entraîner des pertes de chiffre d’affaires supérieures à 5 % pour les enseignes concernées, un niveau d’impact particulièrement lourd dans un secteur où les marges restent structurellement contraintes.

Conformité des marques : des progrès réels, des lacunes persistantes

L’une des avancées les plus concrètes observées en 2025 concerne l’adoption massive du protocole DMARC, standard technique permettant aux enseignes de garantir l’authenticité des e-mails qu’elles émettent. Selon une analyse conduite en novembre 2025 sur les cinquante premiers sites et applications de e-commerce français (un panel deux fois plus large que celui de l’année précédente), la totalité des enseignes étudiées ont désormais déployé un enregistrement DMARC, contre 95 % en 2024 et 90 % en 2023. Cette progression témoigne d’une prise de conscience réelle du secteur.

Dans la pratique, elle masque cependant une disparité importante. Le protocole DMARC se décline en trois niveaux de protection croissants : la surveillance, la mise en quarantaine, et le rejet ; ce dernier étant le seul à bloquer activement les messages frauduleux avant qu’ils n’atteignent la boîte de réception du consommateur. Or seuls 58 % des cinquante sites analysés ont atteint ce niveau maximal, contre 60 % l’année précédente. Cette légère régression, alors même que la couverture DMARC est désormais universelle, traduit une stagnation dans la mise en œuvre des politiques les plus robustes. Concrètement, 42 % des grands sites marchands français ne sont toujours pas en mesure d’empêcher proactivement la diffusion de courriers frauduleux usurpant leur identité.

Sur le segment des domaines en « .fr » spécifiquement (qui représentent vingt-huit des domaines étudiés) la tendance est plus encourageante : environ 61 % d’entre eux ont atteint le niveau «rejet», contre 55 % l’an dernier. Cette progression ne suffit toutefois pas à compenser le retard de l’ensemble du panel. En période de forte activité commerciale, cette lacune prend une dimension critique : des consommateurs reçoivent des sollicitations apparemment légitimes les invitant à cliquer sur des liens ou à mettre à jour leurs coordonnées. Lorsque la fraude est découverte, c’est vers l’enseigne que se retourne l’insatisfaction. L’impact sur la réputation précède souvent l’impact commercial et il est parfois plus difficile à réparer.

Autre risque connexe : les domaines cousins. Des acteurs malveillants créent régulièrement des variantes proches des noms de domaine des enseignes pour lancer des campagnes qui échappent aux filtres habituels. Cette technique se développe précisément parce qu’elle contourne les protections DMARC en jouant sur des variantes non déclarées par la marque légitime.

enseignes sécurité des e-mails @clesdudigital
Xavier Daspre

Les attaques BEC : quand le fournisseur devient l’angle d’attaque

Au-delà de la protection de la marque côté émission, Xavier Daspre souligne une deuxième tendance structurante : la recrudescence des attaques dites BEC, pour Business Email Compromise. Ces tentatives d’escroquerie ciblent les flux financiers des entreprises en se substituant à un fournisseur ou à un interlocuteur de confiance. Contrairement au phishing classique, les BEC ne s’appuient ni sur des pièces jointes infectées ni sur des URL malveillantes : ils reposent exclusivement sur la manipulation textuelle et le détournement de la relation de confiance. Le scénario le plus répandu dans la grande distribution consiste à compromettre la boîte aux lettres d’un petit fournisseur (un prestataire de services, un exploitant agricole, un artisan travaillant avec des outils personnels et un mot de passe insuffisamment robuste) puis à s’insérer dans une conversation existante pour demander la modification de coordonnées bancaires. Cette technique de détournement de fil de discussion est particulièrement redoutable parce qu’elle s’appuie sur des échanges légitimes préalables et s’inscrit dans la continuité apparente d’une relation commerciale réelle.

La recherche terrain confirme cette mécanique à grande échelle. Des investigations menées sur un acteur ciblant le secteur du transport et de la logistique ont permis d’observer, dans un environnement contrôlé, plus d’un mois d’activité post-compromission. L’attaquant avait installé jusqu’à quatre instances distinctes d’un outil d’accès distant, auxquelles s’ajoutaient deux autres plateformes de télémaintenance ; une redondance délibérée pour maintenir l’accès même en cas de détection partielle. Une fois installé, il procédait méthodiquement à une reconnaissance des actifs financiers : accès bancaires, plateformes de paiement, logiciels de comptabilité, services de transfert de fonds. Dans le secteur du transport, ce type de compromission ouvre également la voie au détournement de chargements et à la fraude sur les cartes carburant ; une menace directement transposable aux réseaux logistiques des grandes enseignes. Ce type d’attaque peut également transiter par une étape préliminaire sur le canal personnel. Des responsables de magasin joignables sur leur adresse Gmail pour leurs échanges avec les fournisseurs locaux peuvent être approchés sur ce canal avant que la fraude ne bascule vers la messagerie professionnelle au moment de valider une transaction financière. C’est précisément à ce point de bascule que les outils de détection entrent en action.

L’IA au service des deux camps

L’intelligence artificielle a profondément reconfiguré les capacités offensives et défensives dans ce domaine. Du côté des attaquants, les modèles génératifs permettent désormais de produire des e-mails frauduleux dans un français impeccable, adaptés au style de communication interne d’une enseigne ou au registre habituel d’un directeur financier. Dès lors qu’un compte a été compromis, les attaquants peuvent analyser l’historique des échanges et demander à un outil génératif de reproduire le ton et le vocabulaire de l’interlocuteur usurpé. Le résultat peut tromper, y compris des collaborateurs expérimentés. Les investigations sur le terrain montrent par ailleurs une sophistication croissante dans les méthodes d’évasion. L’utilisation d’un service tiers de re-signature de certificats numériques (permettant à un attaquant de faire passer ses outils comme dignes de confiance aux yeux des systèmes de sécurité) illustre comment les cybercriminels détournent désormais des mécanismes légitimes pour contourner les protections. Cette approche, documentée dans un contexte logistique, mais transposable à tout secteur gérant des flux financiers importants, représente un saut qualitatif dans les capacités offensives.

Du côté de la défense, chez Proofpoint notamment, les modèles de langage sont employés depuis une dizaine d’années pour détecter les signaux d’alerte dans le contenu même des messages : tentative d’induire l’urgence, demande de confidentialité inhabituelle, sollicitation de modification de coordonnées bancaires, amorce d’un scénario progressif destiné à engager le destinataire dans un processus de validation financière. Cette analyse sémantique, croisée avec des indicateurs techniques (ancienneté du domaine émetteur, similarité avec un fournisseur connu, volume d’envoi anormal) permet de bloquer des messages qui ne présentent aucune pièce jointe suspecte et aucun lien malveillant apparent. La détection opère sur le scénario, pas seulement sur la signature technique.

La supply chain, maillon faible de l’écosystème retail

La surface d’attaque des enseignes du commerce s’est considérablement élargie sous l’effet conjugué du télétravail, de la multiplication des outils collaboratifs et de la densification des réseaux de fournisseurs. L’exemple de certaines enseignes de grande distribution ayant vu leurs e-mails transactionnels rejetés massivement par Google ou Microsoft (parce que le domaine utilisé pour un service annexe n’était pas conforme aux exigences DMARC des grands opérateurs de messagerie) illustre concrètement les conséquences opérationnelles d’une protection incomplète. Sur une période de vingt-quatre heures, un service entier pouvait tomber à zéro réservation : le manque à gagner était immédiatement mesurable. Les données issues des analyses de threat intelligence (renseignements sur les menaces) soulignent par ailleurs que les attaquants procèdent à une reconnaissance systématique avant toute action. Très récemment, treize scripts d’automatisation distincts ont ainsi été observés lors d’une compromission documentée d’une entreprise, chacun conçu pour identifier les accès financiers, les plateformes de paiement, les logiciels de gestion, autant d’informations permettant de qualifier la valeur d’une cible avant d’engager la fraude. Pour les acteurs du retail disposant d’un réseau de fournisseurs étendu, la surveillance de leur état de sécurité est donc devenue un enjeu stratégique en soi.

Des investissements de sécurité prioritaires

Face à la multiplication des vecteurs d’attaque, la tentation est grande de disperser les investissements de sécurité. Xavier Daspre recommande au contraire une approche centrée sur quelques piliers fondamentaux. En premier lieu, l’identification des données critiques (budgets marketing, prix d’achat fournisseurs, informations clients) dont la fuite représente le risque le plus immédiat pour la continuité de l’activité. En second lieu, une protection unifiée couvrant l’ensemble des outils de collaboration et des flux de données sur une seule et même plateforme, de façon à pouvoir retracer la cinématique complète d’une attaque : depuis la réception d’un e-mail suspect jusqu’au partage anormal d’un fichier sur un espace collaboratif, en passant par la compromission d’un identifiant. L’interopérabilité entre plateformes de sécurité constitue le troisième levier : un signal détecté sur la messagerie peut déclencher automatiquement une élévation du niveau de protection sur un EDR (Endpoint detection and response), transformant deux systèmes distincts en une réponse coordonnée. Dans un contexte où les budgets de sécurité restent contraints et où les ressources dédiées au cyber sont souvent mutualisées avec d’autres fonctions IT, cette logique d’intégration offre un rapport efficacité-coût nettement supérieur à l’accumulation d’outils disjoints.

Je souhaite lire les prochains articles des Clés du Digital, JE M’INSCRIS A LA NEWSLETTER

Je suis une Agence de RP  👉 Je commande le PDF de l'article

 

Je suis abonné(e) Premium à l’année, Les Clés du Digital m’offrent des PDF sans frais. Pour les commander c’est ici.

Les informations recueillies font l’objet d’un traitement informatique destiné à la gestion des abonnements. Ce fichier a été déclaré à la CNIL sous le N°2093633v0. Conformément à la loi « informatique et libertés » du 6 janvier 1978, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser à Les Clés Du Digital SAS – 38 rue des Epinettes 75017 Paris – Tél : +33 9 83 94 57 24 – E-mail : abonnements@lesclesdudigital.fr

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*