Comment sécuriser vos campagnes emails en période de crise ?

28 avril

 

Personne n’ignore la crise que nous traversons aujourd’hui, et celle-ci nous oblige tous à adapter nos modes de vie, de travail, de sociabilisation et de communication.  Les établissements scolaires ont par exemple très vite demandé aux enseignants et parents qui n’avaient pas d’adresse email d’en créer une chez Laposte.net, ce webmail étant le seul français, gratuit et public. En quelques jours, de nombreux emails ont donc été échangés sur cette plateforme, souvent avec de lourdes pièces jointes (documents à imprimer, fichiers audios pour les dictées, ou vidéos). 

 

Recrudescence du phishing et des arnaques par email.

Les acteurs malveillants sévissant sur Internet profitent évidemment d’une utilisation accrue des outils informatiquesdans un environnement généralement moins sécurisé que celui du bureau. Orange estime que le phishing et les arnaques par email ont augmenté de 600 % par rapport au niveau d’avant crise envers leurs utilisateurs. Pour Gmail, qui bloque habituellement 100 millions de phishings par jour, ce sont 18 millions de phishings liés au contexte supplémentaires, et 240 millions de spams de plus, par jour*. Ces emails prennent des formes variées, bien que reprenant généralement des mécanismes déjà éprouvés (“Vous avez manqué un appel important concernant la crise”, ou encore les arnaques au CEO “Bonjour c’est le patron, merci de faire un virement immédiatement pour l’achat de matériel d’hygiène et de protection”) ; la nouveauté contextuelle étant les spams offrant la possibilité d’acheter ce matériel, qui au mieux sera de piètre qualité, mais la plupart du temps ne sera jamais expédié. 

L’email de masse n’est pas recommandé par les temps de crise.

En parallèle, beaucoup de marques ont jugé important d’envoyer des emails à tous leurs contacts, même ceux inactifs depuis plusieurs années, pour annoncer qu’un magasin fermait ou que tout était normal. Des restaurants ont ainsi voulu rassurer leur clientèle en indiquant qu’ils faisaient leur possible pour fournir un environnement sûr et propre. On peut espérer que c’était déjà le cas avant ! 

Tout cela a participé à provoquer des pannes chez les opérateurs, alors que ce sont ces mêmes opérateurs sur lesquels se reposent les enseignants et les parents, mais également des membres du corps médical ou du gouvernement, pour communiquer et travailler ensemble à la sortie de crise. 

Certains mots sont à proscrire.

FR_securisation_emails_pendant_crise  

Dans l’augmentation des arnaques et autres attaques, la plupart contenait les mots clés du moment, notamment “masque” et “covid”, si bien que pour faire face à cet afflux d’emails en quasi-totalité malicieux, les opérateurs ont décidé de bannir ces mots, temporairement ou non, en rejetant les emails ou les faisant passer en spamCela n’est pas sans conséquence, puisque les professionnels de santé ont pu rater des emails à cause de cela, mais c’est le seul moyen de maintenir disponibles les infrastructures des opérateurs. 

Parler d’un sujet sans le nommer est un exercice compliqué mais pas impossiblevous noterez qu’aucun de ces mots n’a été mentionné dans la première partie de cet article ! 

 

Les horaires d’envois à éviter.

Les pics de volumes ont généralement lieu dans la matinée et en début d’après-midi, mettant à mal les infrastructures des opérateurs, et noyant les boîtes aux lettres. Carmen Piciorus, responsable anti-abus de la messagerie laposte.net, demande d’éviter les envois à 10h et 14h, à la fois pour ne pas ajouter au trafic existant ou anticipé (notamment lors des annonces de sortie de confinement), et pour éviter que les emails soient rejetés à cause du manque de disponibilité de la plateforme.

 

Voici 6 exemples pour envoyer moins, et envoyer mieux.

Assurez-vous d’avoir toutes les informations pertinentes disponibles et facilement accessibles sur votre site, car c’est là que vos clients iront chercher les informations les plus à jour (pas dans leurs emails). 

Ensuite, définissez la principale raison de l’envoi du message, et ajustez le ciblage en conséquence 

EU_security_emails

 

  

Par ailleurs, si le site web est mis à jour, alors un email n’est peut-être pas nécessaire pour intervenir sur les cas suivants : 

  • Alerter que le site ecommerce est fermé : les utilisateurs le verront en allant sur le site. 
  • Annoncer les mesures prises pour maintenir l’activité : seuls les clients les plus actifs sont concernés et ils devraient par ailleurs retrouver cette information sur le site web. 
  • Réactiver des inactifs : le moment est certainement mal choisi.

    Il n’est pas pour autant impossible de réaliser ses campagnes, à condition d’en estimer la pertinence des motivations de l’envoi autant que du ciblage à réaliser.
  • Alerter que le site ecommerce rouvre : les clients les plus actifs (clic ou ouverture de moins de 3 mois, visite récente sur le site …) sont les premiers concernés, puis ceux un peu moins actifs (3 à 6 mois).
  • Maintenir la réputation des IPs et domaines d’envoi : un volume limité est suffisant, tant que les envois sont réguliers (un par semaine).
  • Newsletter habituelle : cible habituelle, voire restreinte aux plus actifs si possible.

S’il est déjà inutile et dangereux de cibler toute la base, cela devient de surcroît malvenu dans le contexte actuel. Par le passé, les envois liés à l‘entrée en application du RGPD ont pu générer d’une part de la lassitude et de la moquerie de la part des destinataires, et d’autre part des problèmes de délivrabilité suite aux nombreux hard bounces et plaintes. Une expérience à ne pas reproduire, d’autant plus que d’après nos données, les inactifs de 6 mois ou plus sur le canal email n’achètent plusuite à l’envoi d’un email, tandis que les risques de hard bounces, de plaintes et de  spamtraps augmentent nettement. 

 

*Source : Google Cloud

Sommaire