Dans la lutte contre le hameçonnage, les organisations avant-gardistes sont en train de gagner. Mais il y a un hic. La vigilance accrue qui a permis aux employés de détecter les courriels suspects crée maintenant un nouveau dilemme : des messages légitimes et essentiels à l’entreprise sont signalés, ignorés ou enfouis dans les dossiers de courrier indésirable. Et dans le cyber-paysage actuel alimenté par l’IA, cette réaction peut être aussi justifiée que dommageable.
Le hameçonnage fonctionne et remodèle la confiance
La publication d’outils d’IA générative a suralimenté les tentatives de hameçonnage. Le rapport 2025 sur les tendances des menaces de hameçonnage de KnowBe4 (https://apo-opa.co/40wIkB9) montre que plus de 80 % (https://apo-opa.co/3Timygv) des courriels de hameçonnage analysés ont été augmentés par l’IA, et qu’ils sont bien plus convaincants qu’auparavant.
« Le réflexe que nous utilisions a été piraté – et même les grands modèles linguistiques actuellement explorés pour aider à détecter les courriels suspects ont également du mal », déclare Anna Collard, SVP de la stratégie de contenu et évangéliste chez KnowBe4 Africa. « Ils sont obligés de creuser plus profondément, d’évaluer le ton, le contexte et les signaux d’alerte plus subtils. »
Le résultat ? La suspicion est désormais la norme
Et ce n’est pas injustifié. Des programmes de sensibilisation à la cybersécurité et de simulation de hameçonnage plus matures ont contribué à aiguiser le scepticisme des employés (https://apo-opa.co/44rmwbc). Mais ce succès a révélé un nouveau problème : la surcorrection.
Les courriels réels – du service des ressources humaines, de l’informatique, du service juridique ou des ventes – sont désormais de plus en plus mal jugés. Dans certains cas, ils sont à tort signalés comme hameçonnage par des personnes ou des systèmes.
Dans d’autres cas, ils sont simplement ignorés. L’ironie est que certaines des caractéristiques les plus courantes et les plus légitimes de la communication d’entreprise sont désormais celles qui soulèvent des signaux d’alerte :
- Urgence : « Signez ceci avant la fin de la journée » ; ou lorsque chaque courriel d’un collègue est marqué « urgent ».
- Expéditeurs inattendus : par exemple, outils de ressources humaines ou plateformes SaaS.
- Appels à l’action : « Cliquez ici pour confirmer ».
- Curiosités stylistiques : texte trop soigné, trop de liens ou de phrases en gras.
- Désalignements techniques : courriels d’expéditeurs légitimes échouant aux vérifications DMARC ou DKIM.
« Même le simple fait d’utiliser un domaine d’expéditeur tiers peut prêter à confusion », explique Collard. « Si le personnel ne s’y attend pas – ou ne reconnaît pas la plateforme – le message peut être signalé. »
Et pour de bonnes raisons, car selon le rapport sur les tendances des menaces de hameçonnage de KnowBe4 (https://apo-opa.co/40wIkB9), les 5 principales plateformes légitimes utilisées pour envoyer des courriels de hameçonnage comprennent des outils commerciaux populaires tels que DocuSign, PayPal, Microsoft, Google Drive et Salesforce.
Le coût des faux positifs
Lorsque des courriels réels sont mis de côté, l’impact est plus qu’un message manqué. Des mises à jour informatiques retardées, des délais RH ignorés et des opportunités de vente perdues peuvent créer de graves répercussions sur les opérations. Les problèmes de délivrabilité érodent également la confiance. Et dans des environnements à enjeux élevés comme les soins de santé, les services juridiques ou la finance, les faux positifs peuvent rapidement devenir très coûteux.
Alors, comment rédiger des courriels qui sont lus – et non signalés ?
Pour lutter contre ce défi croissant, les organisations doivent cesser de considérer le risque de hameçonnage comme un problème purement lié au destinataire. Les courriels internes légitimes doivent aussi paraître légitimes.
Voici comment chaque équipe – des RH à l’informatique en passant par le marketing – peut rédiger des courriels plus dignes de confiance :
Écrivez comme un humain, livrez comme un pro
|
Les objets doivent définir les attentes.
Utilisez un langage clair et prévisible. Au lieu de « IMPORTANT : À lire maintenant ! », essayez « Rappel : Les inscriptions aux avantages sociaux se terminent vendredi ».
|
Commencez par le contexte avant de demander une action.
Commencez par un point de référence : « Vous avez récemment soumis une demande de remboursement de frais de déplacement… » ou « Dans le cadre de votre intégration… »”.
|
|
Limitez l’urgence à ce qui est vraiment urgent.
Trop de « au plus vite » engendre l’indifférence. Utilisez l’urgence avec parcimonie et expliquez pourquoi elle est importante. N’oubliez pas :
Si tout est urgent, rien ne l’est.
|
Réduisez au minimum les liens et évitez les CTA vagues.
Évitez les expressions comme « cliquez ici » ou les hyperliens en phrases entières. Proposez une solution de secours :
« Ou connectez-vous directement à votre tableau de bord (https://Training.KnowBe4.com) ».
|
|
Soyez prudent avec le ton et la mise en forme
Évitez les lignes d’objet criardes, le langage artificiel ou la mise en forme incohérente qui peuvent déclencher des filtres.
|
Testez avant d’envoyer
Analysez votre e-mail avec des outils de détection de spam pour identifier les éléments susceptibles de le signaler (Mail-Tester.com ou GlockApps.com).
|
Mettez de l’ordre dans vos documents numériques
Même le courriel le mieux rédigé peut ne jamais atteindre son destinataire si vos protocoles d’authentification ne sont pas correctement configurés. SPF, DKIM et DMARC sont trois paramètres techniques essentiels qui aident à prouver que votre courriel provient réellement de votre domaine.
- SPF indique aux fournisseurs de messagerie quels serveurs sont autorisés à envoyer des courriels en utilisant votre nom de domaine — aidant ainsi à empêcher les spammeurs de se faire passer pour vous.
- DKIM ajoute une signature numérique à vos courriels pour prouver qu’ils proviennent réellement de vous et n’ont pas été modifiés en cours de route.
- DMARC regroupe SPF et DKIM en définissant des règles sur ce qu’il faut faire avec les courriels suspects (comme les envoyer dans le spam ou les bloquer) et envoie des rapports à votre équipe informatique afin qu’elle puisse détecter les abus.
« Ces protocoles sont un peu comme un passeport numérique », explique Collard. « Sans eux, même un courriel authentique pourrait ne pas passer. »
Mais même des courriels techniquement sains peuvent échouer s’ils ne semblent pas légitimes pour le lecteur. C’est pourquoi il est tout aussi important de considérer comment vos équipes internes rédigent et envoient des messages.
Sécurité de la marque interne : ne formez pas seulement les destinataires – formez aussi les expéditeurs
La sensibilisation à la cybersécurité est souvent axée sur la détection. Mais pour maintenir la délivrabilité et la confiance, le comportement de l’expéditeur compte aussi. Apprenez aux équipes à éviter les signaux d’alerte accidentels. Partagez des modèles et des guides de ligne d’objet. Et assurez-vous que les employés – en particulier ceux qui envoient à de grands groupes – comprennent les bases de la communication digne de confiance.
La cohérence est essentielle. Assurez-vous que les communications proviennent des mêmes adresses officielles, suivent des formats familiers et maintiennent un ton reconnaissable. Cela apprend aux destinataires à quoi s’attendre – et de quoi se méfier – établissant une ligne plus claire entre les messages légitimes et les éventuels faux.
« Cela fait partie de l’hygiène de la marque interne », déclare Collard. « Lorsque votre équipe communique de manière claire et prévisible, vous bâtissez la confiance au fil du temps – avec les employés et les clients. Cette confiance rend vos courriels plus faciles à reconnaître, plus sûrs à livrer et plus susceptibles d’être ouverts. »
Dans un monde où l’IA peut imiter votre ton et votre modèle avec facilité (https://apo-opa.co/4kkhHXc), votre meilleure défense est de ressembler à vous-même – et d’aider les autres à savoir à quoi s’attendre lorsque vous parlez.
Distribué par APO Group pour KnowBe4.
Détails du contact:
Anne Dolinschek
KnowBe4
E-mail: anned@knowbe4.com
TJ Coenraad
Red Ribbon
E-mail: tayla@redribboncommunications.co.za
