Fraude par e-mail dans le secteur public : 88% vulnérables avant les municipales Vulnérabilité du secteur public face au phishing par e-mail à l'approche des municipales, selon une étude Proofpoint.
À l'approche des élections municipales, une inquiétude se profile pour les administrations et les services publics: la fraude par e-mail ciblant le secteur public peut saper la confiance des citoyens et perturber des communications officielles. Selon Proofpoint, 88% des organisations publiques françaises ne bloquent pas de manière proactive les e-mails frauduleux susceptibles d'atteindre le grand public. Cette réalité, loin d'être théorique, souligne le risque que des messages falsifiés ou trompeurs circulent avant les scrutins et pendant les périodes de campagne.
88% vulnérable : ce que révèle l'étude Proofpoint
Pour Proofpoint, l'enjeu réside moins dans le seul volume de tentatives que dans la capacité des systèmes à les bloquer avant qu'ils n'atteignent les destinataires publics. L'étude indique une déconnexion entre les mesures de filtrage mises en place et la réalité des tentatives de fraude: des e-mails qui imitent des communications officielles ou qui incitent à cliquer sur des liens malveillants passent les défenses et parviennent en boîte de réception. Le risque n'est pas uniquement technique: il s'agit aussi de la perception du public et de la crédibilité des canaux institutionnels, d'autant plus sensibles en période électorale.
Comment les attaques par e-mail ciblent le secteur public
Les attaques s'appuient sur des vecteurs variés, autour des campagnes publiques et des communications opérationnelles. Elles reposent souvent sur l'usurpation d'identité (spoofing), la diffusion de messages qui semblent provenir d'agences ou de responsables, et des liens ou pièces jointes conçus pour dérober des identifiants ou installer des logiciels malveillants. Voici les mécanismes typiques :
- Impersonation et phishing ciblé : des expéditeurs qui imitent des services municipaux ou des figures publiques pour gagner la confiance des destinataires.
- Liens et pièces jointes malveillants : des URLs raccourcies ou des pièces jointes susceptibles d’injecter des malwares ou de collecter des informations sensibles.
- Usurpation de communications internes : messages qui semblent provenir de boîtes mail officielles et qui redirigent vers des pages frauduleuses.
Mesures et bonnes pratiques pour durcir la posture
Pour réduire les risques, les organisations publiques peuvent combiner technologies, procédures et formation. Voici des axes concrets à adopter dès maintenant :
- Filtrage proactif et authentification : déployer une stratégie DMARC avec DKIM et SPF correctement configurés, et appliquer des listes blanches et noires robustes.
- Protection des voies de réception : passer en revue les passerelles mail, mettre en quarantaine les messages suspects et durcir les règles de passage entre les domaines publics et privés.
- Formation et sensibilisation : former les agents et les responsables à repérer les signes de phishing, à vérifier les demandes sensibles et à signaler les tentatives.
- Simulations et audits réguliers : mener des exercices d’authentification et des tests d’usurpation afin d’évaluer la réactivité des équipes et des systèmes.
- Procédures claires pour les communications officielles : standardiser le format des messages publics et les canaux d’information afin de réduire les ambiguïtés et les leurres.
Contexte, limites et ce qu’il faut surveiller
Le chiffre de 88% reflète une analyse de posture de sécurité des e-mails dans le secteur public en France, et non une mesure directe d’incidents attribuables à la fraude par e-mail. Comme toute étude centrée sur la cybersécurité, elle dépend des méthodologies et des périmètres considérés. Les résultats invitent à nuancer les conclusions et à tester les capacités de détection sur l’ensemble des organismes, des collectivités territoriales aux opérateurs d’infrastructures critiques. Les évolutions technologiques et les campagnes électorales à venir imposent une vigilance continue et une adaptation des protections.
Pour terminer
La vulnérabilité n’est pas une fatalité: elle peut être réduite par une combinaison de protections, de formation et de pratiques de gouvernance de l’information adaptées au secteur public. À mesure que les commandes publiques et les communications citoyennes évoluent, les échelons locaux et nationaux devront maintenir une posture des e-mails robuste et transparente pour préserver la confiance des électeurs et la sécurité des services publics.
