Boîte mail professionnelle piratée : que faire tout de suite ?

Quand une boîte mail professionnelle est piratée, le plus mauvais réflexe consiste à attendre ou à se contenter de changer le mot de passe en espérant que le problème soit réglé. Dans la pratique, une messagerie compromise peut continuer à poser problème même après un changement de mot de passe si l’attaquant a laissé derrière lui une redirection, une règle cachée, un appareil encore connecté ou un accès secondaire toujours actif.

Le vrai sujet n’est donc pas seulement de “récupérer l’adresse mail”. Il faut surtout reprendre la main proprement, vérifier ce qui a été modifié et éviter que l’incident continue en arrière-plan. Sur ce type de situation, la messagerie ne doit jamais être traitée isolément. Elle fait partie d’un ensemble plus large qui touche aussi la sécurisation de la messagerie professionnelle, l’environnement Microsoft 365, Outlook et Exchange et plus largement la sécurité informatique de l’entreprise.

Le premier réflexe : considérer l’incident comme réel

Beaucoup de petites structures hésitent trop longtemps. Un mail bizarre envoyé sans raison, une connexion inhabituelle, des messages supprimés, une redirection inconnue ou un client qui répond à un message que personne n’a envoyé doivent être pris au sérieux immédiatement. Une compromission de boîte mail n’est pas toujours spectaculaire. Elle commence souvent par quelque chose qui paraît flou, discret ou “pas sûr à cent pour cent”.

Dans le doute, il vaut mieux agir vite que perdre plusieurs heures à espérer que le problème se tasse tout seul.

Changer le mot de passe, oui, mais pas seulement

Le changement de mot de passe reste évidemment une première étape logique. Il faut le faire rapidement, avec un mot de passe vraiment différent de l’ancien, et éviter toute variante trop proche. Mais il faut être clair : cela ne suffit pas toujours.

Si l’attaquant a déjà mis en place des règles de transfert, ajouté un moyen de récupération, gardé une session ouverte sur un appareil ou exploité une délégation existante, la boîte peut rester exposée même après ce changement. C’est pour cela qu’une boîte mail professionnelle piratée doit être traitée comme un incident plus large qu’un simple problème d’identifiant.

Déconnecter les sessions et reprendre la main sur l’accès

Une fois le mot de passe changé, il faut vérifier si la plateforme permet de déconnecter les sessions déjà ouvertes. C’est un point important, surtout sur Microsoft 365, car un accès déjà établi peut parfois survivre quelque temps si on ne coupe pas proprement les connexions en cours.

Il faut aussi contrôler les méthodes d’authentification, les appareils associés, les téléphones de validation, les applications connectées et les éventuels accès secondaires. Quand un compte reste lié à un vieux téléphone, à une application oubliée ou à une méthode de récupération qui n’est plus maîtrisée, le nettoyage est incomplet.

Vérifier les règles de boîte mail et les redirections cachées

C’est l’un des points les plus importants, et c’est aussi celui que beaucoup de personnes oublient. Une boîte compromise peut continuer à “fuir” même quand le mot de passe a été changé si une règle de transfert, de redirection ou de suppression automatique a été créée dans la boîte.

Il faut donc contrôler les règles Outlook ou Webmail, les redirections externes, les transferts vers une autre adresse, les réponses automatiques anormales, ainsi que les dossiers dans lesquels certains messages pourraient être déplacés discrètement. Une règle qui supprime ou déplace certains messages peut suffire à rendre le problème moins visible tout en laissant l’attaquant continuer à suivre les échanges.

Regarder ce qui a été envoyé, supprimé ou consulté

Quand une boîte mail professionnelle est piratée, il faut regarder les éléments envoyés, les brouillons, les messages supprimés et les conversations récentes. Le but n’est pas seulement de comprendre “si quelqu’un est passé”, mais aussi de voir si des messages ont été envoyés à des clients, fournisseurs, confrères ou partenaires.

Dans certains cas, l’attaquant cherche surtout à observer. Dans d’autres, il tente une fraude simple : demander un RIB, faire suivre une facture, relancer un paiement ou profiter d’un échange déjà en cours pour paraître crédible. Plus on regarde tôt, plus on limite les dégâts.

Prévenir les bonnes personnes si nécessaire

Ce point dépend de la situation, mais il ne faut pas l’écarter par gêne ou par peur de “faire mauvaise impression”. Si des messages suspects sont partis depuis la boîte, si une usurpation est possible ou si un échange sensible a pu être consulté, il vaut mieux prévenir rapidement les personnes concernées avec un message simple et propre.

Le but n’est pas d’alarmer tout le monde inutilement. Le but est d’éviter qu’un interlocuteur fasse confiance à un faux message envoyé depuis une adresse légitime. Dans certains cas, une alerte rapide évite précisément une fraude ou une mauvaise manipulation côté client.

Ne pas oublier le poste de travail

Une boîte mail compromise ne vient pas toujours uniquement de la messagerie. Le point d’entrée peut aussi être le poste lui-même : mot de passe enregistré, navigateur compromis, extension douteuse, poste déjà infecté, session laissée ouverte, ou ordinateur utilisé dans de mauvaises conditions de sécurité.

C’est pour cela qu’il faut aussi regarder le poste qui a servi à ouvrir la boîte mail. Si besoin, il faut prévoir un vrai dépannage informatique en entreprise pour repartir sur une base propre, plutôt que de sécuriser la boîte sur un environnement qui reste douteux.

Mettre en place une authentification plus solide

Si l’authentification multifacteur n’est pas encore activée, il faut profiter de l’incident pour corriger ça sérieusement. Une compromission de messagerie est souvent le moment où l’on se rend compte qu’un mot de passe seul ne suffit plus. Encore faut-il que l’authentification soit bien configurée, avec les bons appareils, les bonnes méthodes et une logique de secours claire.

L’idée n’est pas d’ajouter une couche technique “pour faire bien”, mais d’éviter qu’une adresse déjà compromise puisse redevenir accessible trop facilement quelques jours plus tard.

Ce qu’il ne faut pas faire

Il vaut mieux éviter de minimiser le problème, de se contenter d’un changement de mot de passe rapide ou de repartir comme si tout était rentré dans l’ordre sans contrôle complémentaire. Une autre erreur fréquente consiste à recréer un profil Outlook, reconfigurer l’adresse et considérer que le sujet est clos alors que la compromission venait d’un accès encore valide côté compte.

Le bon ordre reste toujours le même : reprendre la main sur le compte, vérifier ce qui a été modifié, nettoyer les accès, puis seulement remettre l’environnement de messagerie dans un état propre.

Quand il faut agir tout de suite sans bricoler

Si la boîte concernée sert tous les jours, si elle reçoit des pièces sensibles, si elle est utilisée pour des échanges financiers, si plusieurs personnes gravitent autour du compte ou si des messages suspects sont déjà partis, il vaut mieux traiter le sujet tout de suite et proprement. Plus on attend, plus l’incident peut s’étendre ou devenir confus.

Dans ce type de contexte, une boîte mail professionnelle piratée n’est pas un simple inconfort. C’est un vrai incident de sécurité, avec des conséquences possibles sur l’activité, les échanges et la confiance.

Conclusion

Quand une boîte mail professionnelle est compromise, le plus important est d’agir dans le bon ordre. Changer le mot de passe est un début, mais ce n’est jamais la seule réponse. Il faut aussi couper les accès encore actifs, vérifier les règles et redirections, contrôler ce qui a été envoyé et s’assurer que le poste comme la messagerie repartent sur une base saine.

Une fois l’urgence passée, ce type d’incident doit aussi servir de point de départ pour corriger le fond : méthodes d’accès, authentification, habitudes de connexion, organisation de la messagerie et niveau général de protection. C’est souvent ce qui évite d’avoir à revivre la même situation quelques semaines plus tard.

Liens externes :

Cybermalveillance.gouv.fr
ANSSI
Support Microsoft