Les messages d’absence du bureau en révèlent-ils trop ?

Par Loïc Guézo, Directeur Stratégie Cybersécurité SEMEA, Proofpoint

Que vous voyagiez pour le travail ou le plaisir, votre premier réflexe est sans doute de créer un message d’absence automatique dans votre boîte mail pour informer vos contacts de votre absence et les rediriger vers votre mobile ou un collaborateur. Bien que la continuité de l’activité soit effectivement importante, il est essentiel de garder à l’esprit que certains emails qui arrivent dans les boîtes de réception viennent de personnes inconnues et, dans certains cas, d’expéditeurs mal intentionnés. Les informations que vous fournissez dans ce message d’absence peuvent donc être utilisées à des fins malveillantes et exposer votre société à des attaques.

Afin de trouver un meilleur équilibre entre productivité et sécurité, voici quelques reflexes à adopter :

Conseil n°1 : Ne partagez que l’essentiel

Lors de la rédaction de votre message d’absence, il est important de réfléchir à ce que les utilisateurs ont réellement besoin de savoir. Un cybercriminel peut se servir d’une simple adresse email pour récupérer des informations et données sensibles.

Dans la mesure du possible, il est primordial d’éviter de partager des numéros de téléphone professionnel ou personnels, ainsi que les noms, fonctions et adresses emails d’autres personnes de la société. Les dates précises de l’absence et le lieu du déplacement sont également des informations précieuses qui ne devraient pas arriver jusqu’aux cybercriminels.

Par exemple, au lieu de cette réponse :

Je serai absent du bureau pour assister à la conférence XYZ jusqu’à la fin du mois. En cas d’urgence, vous pouvez me joindre sur mon numéro de téléphone portable au 06 07 08 09 XX, ou contacter notre contrôleur, Jean Valgean, à jvalgean@myorg.com ou au 02 34 56 78 XX, poste 11.

… cette réponse est préférable :

Je suis actuellement absent du bureau. En cas d’urgence, vous pouvez me contacter sur mon numéro de téléphone portable ou contacter une autre personne de mon service en appelant notre numéro de contact général. Sinon, je répondrai à votre message dès que possible.

Les deux réponses fournissent suffisamment d’informations pour que les expéditeurs avertis puissent agir si nécessaire. Les expéditeurs non informés – y compris ceux qui envoient des requêtes non sollicitées ou malveillantes par emails – ne recevront que peu d’informations pour agir.

Conseil n°2 : Distinguez les réponses internes des réponses externes

Certains outils de messagerie permettent de personnaliser les messages d’absence en fonction de la source du message entrant. Cette option est particulièrement utile car elle permet de communiquer le nom d’un autre contact ou un numéro de mobile, uniquement à des personnes internes à la société. Cependant, il reste d’une manière générale déconseillé de fournir des informations personnelles.

Pour les réponses vers l’extérieur, la meilleure précaution est de ne révéler que très peu de détails. Et si les interactions avec des contacts extérieurs sont rares, alors un message d’absence n’est pas nécessaire, en particulier s’il s’agit d’une absence brève.

Conseil n°3 : Gérez les demandes d’information avant votre départ

Les messages d’absence n’ont pas pour vocation de fournir des informations à vos collaborateurs. Notamment pour les personnes faisant partie d’une chaîne d’approbation pour gérer des activités sensibles ou critiques, telles que des demandes et autorisations de virement ou de paiement de facture. La transmission d’informations réglementaires, légales, fiscales ou des informations de santé personnelles ne doivent en aucun cas être communiquées par ce biais.

Avant de quitter le bureau, il est utile d’identifier les personnes les plus susceptibles de demander des informations urgentes pendant cette période d’absence, et de les anticiper. En informant les équipes en amont de la destination du voyage, le numéro à appeler en cas d’urgence et la chaîne hiérarchique qui sera mise en place, cela permet d’éviter de devoir communiquer par email de précieux détails qui pourraient servir aux cybercriminels. Le niveau d’activité lors du voyage est aussi un bon indice à donner au reste de l’équipe afin d’éviter les relances : l’intention ou non de consulter la boîte de réception régulièrement/occasionnellement, ou s’il s’agit d’une déconnection complète des activités professionnelles.

En outre, les personnes compétentes doivent avertir la personne responsable ou l’équipe IT, de toute demande liée à des transactions financières ou à des transferts de données sensibles en votre absence. Et surtout, en voyage comme au bureau, les communications et les actions liées à ces activités doivent toujours être contrôlées comme il se doit, par voie orale, et pas uniquement par email.