Alertes de violation rejetées comme indésirables? Un nouveau guide pour l’envoi d’e-mails peut vous aider.

  • FrançaisFrançais



  • L’attaque de la chaîne d’approvisionnement de SolarWinds incitera probablement des dizaines d’entreprises compromises à envoyer des notifications de violation de données critiques à leurs clients. Mais combien de ces notifications par e-mail seront ignorées, rejetées ou mises en quarantaine?

    Les e-mails en masse envoyés en masse aux destinataires peuvent facilement sembler suspects, mais il peut en fait s’agir d’alertes légalement obligatoires informant les clients des violations de données, des changements de politique de confidentialité ou des rappels de produits. Certains peuvent demander aux destinataires de changer leur mot de passe ou de s’abonner à un service de surveillance du crédit.

    Même les clients qui n’utilisent plus les services d’une entreprise en particulier, ou qui se sont désabonnés de ses communications marketing ou qui ont défini les e-mails de cette entreprise comme spam doivent toujours recevoir ces e-mails dits «obligatoires». Il est donc impératif que les expéditeurs suivent des directives qui rendent leurs communications vitales aussi sûres et fiables que possible.

    Les entreprises violées «ont deux problèmes», a déclaré Michael Landewe, cofondateur d’Avanan et principal chasseur de menaces. «Cela commence par être touché.» Ensuite, «vous devez protéger vos clients car ils sont désormais une cible. C’est ton travail. La façon dont vous répondez est la façon dont vous fidélisez vos clients. »

    Par conséquent, le groupe de travail sur la messagerie, les logiciels malveillants et la lutte contre les abus mobiles (M3AAWG) a publié la semaine dernière des recommandations sur les meilleures pratiques à l’intention des organisations expéditrices sur la livraison sécurisée des e-mails obligatoires. En outre, l’organisation a partagé avec SC Media des recommandations supplémentaires pour les destinataires de ces e-mails.

    «Le nombre de violations de données au cours des dernières années, ainsi que les mises à jour de la législation sur la protection de la vie privée à travers le monde, ont déclenché des discussions au sein de la communauté des expéditeurs au M3AAWG sur la façon de gérer efficacement ces communications par e-mail obligatoires», a déclaré Tara Natanson, co -chaise au M3AAWG.

    «Souvent, les obligations légales imposées aux entreprises de mener des campagnes de contact de masse vont directement à l’encontre des meilleures pratiques établies», a poursuivi Natanson. «L’envoi d’un e-mail à des personnes qui ont choisi de ne pas participer peut avoir un impact négatif sur une réputation d’envoi par ailleurs bonne. L’établissement de normes et de lignes directrices sur la manière d’envoyer correctement ce type de communications permet aux expéditeurs de suivre les meilleures pratiques, en veillant à ce que les destinataires qui ont besoin de ces informations aient les meilleures chances de les recevoir. »

    «Le fait est que les personnes qui font des lois exigeant un contact par e-mail ne comprennent pas nécessairement ces meilleures pratiques. Ainsi, les associations industrielles, telles que le M3AAWG, trouvent des moyens de faire en sorte que cela fonctionne grâce au dialogue et aux partenariats écosystémiques. »

    Conseils aux expéditeurs

    Natanson a déclaré que lorsque les e-mails obligatoires doivent être envoyés, une entreprise touchée par une violation ou un rappel «a très peu de temps pour planifier une communication», mais «elle doit se conformer aux réglementations de plusieurs juridictions, qui nécessitent toutes une notification aussi rapidement que possible. possible afin que les utilisateurs, actifs ou non, puissent prendre des mesures pour se protéger. La société crée ensuite un e-mail avec la langue et les informations requises par la loi, et l’envoie à tous ceux qui ont déjà choisi de recevoir des e-mails, ainsi qu’à ceux qui se sont désistés, car la loi exige que tout le monde soit contacté. ”

    C’est pourquoi le M3AAWG propose désormais aux entreprises «un manuel et un plan de jeu sur la manière de le faire de la manière la plus efficace possible», a-t-elle expliqué. En suivant ces instructions, les expéditeurs peuvent éviter les faux pas majeurs qui pourraient sinon faire croire à tort aux destinataires qu’ils reçoivent des communications importunes.

    Selon le document sur les meilleures pratiques du M3AAWG, les entreprises doivent d’abord peser l’importance et la nécessité d’envoyer des e-mails obligatoires par rapport à «la nature potentiellement abusive des messages et à leur fréquence.» Si les expéditeurs décident de continuer, le M3AAWG suggère que les e-mails obligatoires soient protégés via Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), Domain-based Message Authentication, Reporting & Conformance (DMARC) et Transport Layer Security (TLS).

    Le document indique également que les entreprises devraient consulter les fournisseurs de services de messagerie (ESP) au sujet de «toutes les exigences et solutions techniques pour aider à maximiser l’efficacité du message et minimiser son impact sur la réputation de l’adresse IP et du domaine de l’organisation». (Les lignes directrices comprennent également des conseils distincts pour les ESP.) De plus, l’expéditeur doit également communiquer avec son équipe juridique et les régulateurs.

    Les expéditeurs devraient envisager d’utiliser un nouvel alias d’e-mail distinct de leur adresse e-mail marketing normale; de cette façon, le message important n’est pas confondu avec un e-mail de vente typique. L’e-mail doit provenir d’un domaine d’expéditeur reconnaissable à la marque de l’entreprise, mais pas d’un domaine cousin nouvellement enregistré ou d’une variante dérivée du domaine habituel. Sinon, «cela pourrait courir le risque de n’avoir aucune réputation et aucun historique d’envoi, diminuant ainsi la probabilité que les messages atteignent leurs destinataires», a déclaré Natanson.

    «Ils devraient l’envoyer à partir de leur propre domaine de confiance, des mêmes serveurs à partir desquels ils ont toujours envoyé et qui sont déjà approuvés par la plupart des fournisseurs», a déclaré Landewe. “Immédiatement, des centaines, voire des milliers de faux domaines vont apparaître”, cherchant à hameçonner les utilisateurs en imitant l’entreprise, a-t-il ajouté. Mais dans un e-mail authentique, “Tous les détails pertinents doivent être accessibles au public sans avoir à entrer d’informations d’identification.”

    En ce qui concerne le contenu, la ligne d’objet doit indiquer qu’il s’agit d’une notification importante de votre entreprise spécifique, et l’organisme doit éviter les liens et le contenu marketing autant que possible, prévient le M3AAWG.

    «Plus le courrier électronique est simple, mieux c’est», a déclaré Landewe. «Il est préférable de dire aux utilisateurs qu’en raison des escroqueries potentielles, vous devriez vous rendre sur notre site Web de confiance, sur lequel les informations sont clairement affichées. Le message doit dire: “Veuillez vous connecter à votre compte pour plus d’informations” ou “Connectez-vous et vérifiez vos messages” ou “Connectez-vous à votre compte et recherchez le lien Breach Updates en haut de la page.” “

    Le M3AAWG recommande également aux organisations expéditrices de s’assurer que tous leurs employés veillent à ce que leurs communications soient cohérentes et que le même message soit également diffusé via des communications non électroniques, telles que des sites Web, des SMS, des téléphones ou des réseaux sociaux.

    Mais ce ne sont pas seulement les communications par courrier électronique qui peuvent semer la confusion. Landewe a rappelé comment Equifax, après sa violation de 2017, avait exécuté un «exemple classique de ce qu’il ne fallait pas faire: ils… ont créé un nouveau site Web appelé equifaxsecurity2017.com. Il était si facile d’usurper que, immédiatement après, quelqu’un a créé securityequifax2017[.]com presque instantanément. Ensuite, le fil Twitter d’entreprise d’Equifax a commencé à envoyer la fausse URL aux utilisateurs. »

    Pendant ce temps, la page Web de violation légitime a été «créée à la hâte et avait l’air fausse», a poursuivi Landewe. «Certains des faux sites Web semblaient en fait plus légitimes parce qu’ils volaient du contenu sur les vraies pages d’Equifax. “

    Conseils aux destinataires

    SC Media a demandé au M3AAWG si l’organisation pouvait également proposer des recommandations aux entreprises recevant des e-mails obligatoires, y compris aux équipes de sécurité chargées de protéger les boîtes de réception contre les menaces de spam et de logiciels malveillants.

    Les passerelles de messagerie sécurisées et les solutions de filtrage peuvent-elles être configurées en toute sécurité de manière à ce que les e-mails obligatoires importants ne soient pas filtrés et atteignent leur destinataire? Et comment les destinataires peuvent-ils déterminer en toute sécurité si un e-mail obligatoire est authentique ou constitue une menace? (Plus tôt cette année, SC Media a expliqué comment les entreprises peuvent subir une perte de productivité lorsque les employés ne répondent pas aux e-mails légitimes par crainte qu’il s’agisse d’une arnaque.)

    «Le meilleur conseil que je puisse offrir aux organisations d’accueil est de configurer vos systèmes pour vérifier l’authentification et traiter le courrier en conséquence», a déclaré Natanson. «Un utilisateur intelligent doit toujours se méfier de tout message demandant des informations personnelles. Si un message est correctement authentifié à partir d’un domaine digne de confiance, ils peuvent se sentir un peu mieux à ce sujet. Si un destinataire n’est pas sûr, il doit contacter son personnel informatique. »

    Natanson a également recommandé une formation aux employés pour les aider à reconnaître les communications légitimes des organisations partenaires. Au-delà de cela, Landewe a déclaré que lorsqu’un de vos partenaires tiers ou fournisseurs de logiciels est victime d’une violation, une étape astucieuse consiste à «contacter votre équipe informatique et à informer que certains fournisseurs sont susceptibles de dénoncer une violation potentielle.»

    «Une autre règle générale est de rappeler aux utilisateurs de ne pas cliquer sur les liens», a déclaré Landewe. Par exemple, récemment, «nous avons trouvé une annonce concernant un vaccin qui prétend provenir de BioNTech, le partenaire de Pfizer dans son vaccin. Dans l’e-mail de spam, ils pointent vers un site Web appelé biontechvaccines[.]org. Mais le vrai site Web est biontech.de. Il est beaucoup plus sûr et efficace d’alerter les utilisateurs sur ces types d’escroqueries et de les former à accéder à Google et à trouver la page d’accueil. “

    Au cours des 15 dernières années, les membres du M3AAWG ont développé un éventail de bonnes pratiques pour les destinataires d’e-mails, conçues pour garantir que les e-mails légitimes atteignent leurs boîtes de réception prévues, a noté Natanson.

    «De plus, grâce à nos réunions, les membres du M3AAWG ont créé des voies de communication entre pairs pour aider à éviter les problèmes de livraison», a-t-elle déclaré. «Aucun de ces éléments ne peut bien sûr rendre compte de chaque campagne de messagerie ou opération, et nous invitons donc les membres actuels et futurs intéressés à continuer à travailler sur des initiatives qui créent par programmation une expérience utilisateur plus sûre.»

    Source

    L'équipe de Comparaland

    Rédacteur web depuis 2009 et webmestre depuis 2011.

    Je m'intéresse à tous les sujets comme la politique, la culture, la géopolitique, l'économie ou la technologie. Toute information permettant d'éclairer mon esprit et donc, le vôtre, dans un monde obscur et à la dérive. Je suis l'auteur de plusieurs livre

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *