Sécurité des opérations commerciales : 5 conseils pour éviter que votre équipe commerciale ne passe pour des hameçonneurs

Je vais être honnête : la première fois qu’un prospect a répondu à l’un de nos e-mails de prospection en demandant « Est-ce une tentative d’hameçonnage ? », je ne savais pas si je devais rire ou paniquer. Nous n’avions rien fait de mal. L’e-mail était légitime, l’offre était réelle, et le commercial avait pris le temps de le personnaliser. Mais pour ce prospect ? Il correspondait en tous points à tous les critères d’un e-mail d’hameçonnage.

Ce moment m'a marqué. Car le problème ne venait pas de l'e-mail en lui-même, mais de tout ce qui se cachait derrière. Pas de signature DKIM. Un SPF mal configuré. Un paramètre DMARC réglé sur « p=none » qui prenait la poussière. Du point de vue du serveur de messagerie, nous étions pratiquement anonymes.

Et il ne s'agit pas seulement d'un problème de délivrabilité. Le rapport du FBI sur la cybercriminalité sur Internet signale, année après année, que le piratage des messageries professionnelles figure parmi les cybermenaces les plus coûteuses. Les prospects le savent. Ils ont appris à se méfier, et vos e-mails de prospection, que cela vous plaise ou non, présentent souvent les mêmes caractéristiques qu'un e-mail de hameçonnage.

Assurer la sécurité des e-mails de prospection commerciale n'est pas seulement un problème technique, c'est aussi un enjeu de chiffre d'affaires. Si vos e-mails de prospection ressemblent à une tentative d'hameçonnage, la qualité de votre contenu n'aura aucune importance. Voici donc ce qui fonctionne réellement. Cinq mesures que votre équipe peut mettre en œuvre, certaines d'ordre technique, d'autres comportementales, pour garantir que vos e-mails de prospection soient considérés comme les communications légitimes qu'ils sont.

1. Assurez-vous que SPF, DKIM et DMARC fonctionnent réellement – et ne se contentent pas d'être simplement mis en place

La plupart des équipes avec lesquelles je discute ont « mis en place » l'authentification. En général, cela signifie qu'il y a un SPF quelque part, que DKIM est activé sur le principal fournisseur de services de messagerie (ESP) et que DMARC est configuré avec p=none. Ce n'est pas de l'authentification, c'est seulement l'apparence de l'authentification.

Voici ce que ces trois éléments font réellement lorsqu'ils fonctionnent correctement :

• SPF indique aux serveurs de messagerie destinataires quelles adresses IP sont autorisées à envoyer des e-mails au nom de votre domaine. Si votre outil de vente ne figure pas dans cette liste, ses e-mails vous sont envoyés sans autorisation, même si vous l'avez configuré vous-même.
• Le protocole DKIM appose une signature cryptographique à vos e-mails. Cela permet de prouver que le message n'a pas été altéré pendant son acheminement et qu'il provient bien de votre infrastructure.
• DMARC constitue la couche d'application. Il définit la marche à suivre en cas d'échec de SPF de DKIM: surveiller, quarantine ou rejeter. Il vous envoie également des rapports indiquant précisément ce qui passe et ce qui ne passe pas.

Ce que beaucoup négligent, c’est d’aller au-delà du paramètre p=none dans DMARC. Certes, c’est par là qu’il faut commencer : il faut d’abord avoir une bonne visibilité avant de passer à l’application des règles. Mais si vous restez indéfiniment sur p=none, cela revient à dire : « Je sais que des tentatives d’usurpation ont lieu, et cela ne me dérange pas. » Efforcez-vous d’atteindre le paramètre p=reject. Votre taux de délivrabilité vous en sera reconnaissant.

2. Utilisez un sous-domaine pour vos campagnes d'e-mails à froid

Certaines équipes ont du mal à se laisser convaincre, mais quand on a vu une campagne de prospection à froid ruiner la réputation d'expéditeur d'un domaine, on ne revient plus jamais aux anciennes méthodes.

Votre domaine principal, celui à partir duquel sont envoyés vos e-mails transactionnels, vos communications clients et vos newsletters, est trop précieux pour être mis en péril par de la prospection à froid. Une seule séquence mal ciblée, une seule liste achetée, une seule campagne ratée, et vous vous retrouvez face à une vague de plaintes pour spam qui ne se limite pas à vos actions de prospection. Cela a des répercussions sur tout.

Créez plutôt un sous-domaine dédié. Par exemple : mail.votresociété.com ou outreach.votresociété.com. Authentifiez-le séparément à l'aide de ses propres enregistrements SPF, DKIM et DMARC. Ainsi, vos campagnes de prospection à froid fonctionnent de manière autonome : si un problème survient, les dégâts sont limités.

La plupart des outils d'engagement commercial vous permettent de configurer cela sans trop de difficultés. Le plus difficile est généralement de convaincre l'équipe que cela vaut la peine d'y consacrer du temps. Et c'est le cas.

3. Vérifiez tous les outils qui envoient des e-mails depuis votre domaine

Voici une question : pouvez-vous citer tous les outils de votre plateforme qui envoient des e-mails via votre domaine ? Pas seulement votre principal fournisseur de services de messagerie (ESP), mais tous les outils. Vos séquences de relance dans votre CRM. Les e-mails de confirmation de votre agenda. Votre outil de prise de contact. Et cette intégration que quelqu’un a mise en place il y a huit mois et dont plus personne ne se souvient.

La plupart des équipes ne peuvent pas répondre à cette question avec certitude. Et c'est un problème, car chacun de ces outils est soit correctement authentifié, soit il ne l'est pas. S'il ne l'est pas, ces e-mails échouent aux vérifications SPF DKIM, ce qui signifie qu'ils apparaissent comme falsifiés aux yeux du serveur destinataire, quel que soit leur contenu réel.

C'est grâce aux rapports agrégés DMARC (rapports RUA) que vous pouvez le découvrir. Ils vous indiquent toutes les sources qui envoient des e-mails au nom de votre domaine, avec une ventilation par taux de réussite et d'échec. C'est souvent surprenant : vous découvrirez des outils dont vous aviez oublié l'existence, d'anciennes intégrations qui fonctionnent toujours, ou encore des services tiers qui n'ont jamais été ajoutés à votre SPF .

• Extrayez vos rapports DMARC RUA et dressez la liste de toutes les sources d'envoi
• Pour chacun d'entre eux : figure-t-il dans votre SPF ? Est-il signé DKIM ?
• Si quelque chose ne fonctionne pas : corrigez l'enregistrement ou supprimez la source

4. Vos commerciaux envoient des e-mails de hameçonnage sans s'en rendre compte

Je ne le dis pas au sens propre, mais du point de vue d'un filtre anti-spam, certains messages de prospection sont impossibles à distinguer des vrais. Les filtres anti-spam ne détectent pas l'intention, ils identifient des schémas. Or, bon nombre de schémas courants utilisés dans les e-mails commerciaux sont les mêmes que ceux utilisés par les hameçonneurs.

Voici quelques pratiques observées chez les commerciaux qui nuisent réellement à la délivrabilité :

• L'astuce du faux fil de discussion — Utiliser des objets de type « Re : notre conversation » ou « Suite à notre appel » alors qu'il n'y a eu aucune conversation préalable. Les prospects détestent ça, les filtres anti-spam le repèrent, et cela sape rapidement la confiance.
• Appels à l'urgence — « Offre à durée limitée », « Agissez dès maintenant », « Ne manquez pas cette occasion » : autant de formules qui se retrouvent dans un e-mail non sollicité envoyé par une personne que le destinataire ne connaît pas. Un langage typique du hameçonnage.
• Surcharge de liens — Trois liens avec suivi, un calendrier intégré et une pièce jointe au format PDF dans un premier e-mail de prospection à froid. Ce n'est pas de la prospection, c'est un véritable signal d'alarme.
• Listes de contacts de mauvaise qualité — L'envoi de messages à des contacts non vérifiés ou achetés fait grimper les taux de rebond et les taux de réclamation. Ces deux facteurs nuisent gravement à votre réputation d'expéditeur.

Une session de 30 minutes avec votre équipe commerciale pour passer en revue ces schémas porte immédiatement ses fruits en termes de taux d'ouverture et de délivrabilité. Présentez-le tel qu'il est : cela détermine directement si leurs e-mails atterrissent dans la boîte de réception ou finissent dans les spams.

5. Utilisez BIMI pour que vos e-mails reflètent votre identité avant même d'être ouverts

Jusqu'à présent, il s'agissait surtout de ne pas paraître suspect. Avec le BIMI, il s'agit de donner activement une image de confiance, et il y a une différence.

BIMI (Brand Indicators for Message Identification) affiche le logo vérifié de votre marque à côté de votre nom d'expéditeur dans la boîte de réception. Avant même que le prospect ne lise un seul mot, il voit votre logo. Cette reconnaissance visuelle instantanée revêt une importance capitale dans le cadre d'une prise de contact à froid, où le destinataire n'a aucune relation préalable avec vous et se fait une opinion immédiate sur la pertinence de cet e-mail.

Il convient également de noter que, pour que BIMI fonctionne, votre politique DMARC doit être définie sur « quarantine » ou « p=reject ». La mise en œuvre de BIMI vous oblige donc naturellement à aller jusqu'au bout de ce que vous avez commencé en matière d'authentification : c'est une belle incitation intégrée.

La configuration consiste à publier un enregistrement DNS BIMI pointant vers une version SVG de votre logo, et à obtenir un certificat de marque vérifiée (VMC) si vous souhaitez que votre logo s'affiche dans Gmail et d'autres clients de messagerie majeurs. Cela demande un peu plus de travail qu'un simple clic, mais le gage de confiance ainsi créé est authentique et s'amplifie au fil du temps, à mesure que votre marque gagne en notoriété dans les boîtes de réception de vos destinataires.

Conclusion : le problème ne vient pas de vos commerciaux, mais de votre infrastructure

Lorsque ce prospect a demandé si notre e-mail était une tentative d'hameçonnage, le commercial s'est senti mal à l'aise. Mais ce n'était pas de sa faute. L'e-mail en lui-même était correct. Ce qui posait problème, c'était tout ce qui était invisible : la couche d'authentification, la configuration du domaine, les pratiques d'envoi qui faisaient passer un e-mail légitime pour une menace.

Réorganisez votre infrastructure, et le problème se résoudra en grande partie de lui-même. Assurez-vous que les protocoles SPF, DKIM et DMARC soient pleinement opérationnels. Acheminez vos campagnes de prospection à froid via un sous-domaine dédié. Passez au crible tous les outils qui interagissent avec votre domaine. Formez vos commerciaux aux pratiques qui nuisent à la délivrabilité. Et, lorsque vous serez prêt, intégrez BIMI à votre infrastructure.

Ce n'est pas un travail très glamour. Mais c'est ce qui fait la différence entre une équipe commerciale dont les messages arrivent dans les boîtes de réception et une autre qui se demande pourquoi elle ne reçoit aucune réponse.

• À propos de
• Derniers messages

Milena Baghdasaryan

Spécialiste du contenu à PowerDMARC

Milena est une rédactrice et créatrice de contenu qualifiée qui possède plus de 7 ans d'expérience dans la création de contenu attrayant sur les technologies de l'information, la cybersécurité, les événements virtuels, etc. Elle est diplômée d'institutions prestigieuses telles que la New York University Abu Dhabi, l'UWC China et le Collège d'Europe.

Derniers messages de Milena Baghdasaryan (voir tous)

• Sécurité des actions commerciales : 5 conseils pour éviter que votre équipe commerciale ne passe pour des hameçonneurs - 14 avril 2026
• Gmail filtre-t-il vos e-mails ? Causes, symptômes et solutions - 7 avril 2026
• Rapport d'analyse DMARC (RUF) : qu'est-ce que c'est, comment ça marche et comment l'activer - 2 avril 2026