Webmail Unicaen : check-list de sécurité avant d’envoyer vos mails sensibles

Envoyer un courriel contenant des données personnelles d’étudiants, un relevé de notes ou un document administratif depuis le webmail Unicaen ne se résume pas à cliquer sur « Envoyer ». L’interface Zimbra utilisée par l’Université de Caen propose plusieurs mécanismes de protection, mais aucun n’est activé par défaut pour chaque message. Avant d’expédier un mail sensible, une vérification méthodique réduit le risque de fuite, de phishing ou de non-conformité RGPD.

Tableau comparatif : niveaux de protection disponibles sur Zimbra Unicaen

Tous les paramètres de sécurité du webmail Unicaen n’offrent pas le même degré de couverture. Le tableau ci-dessous oppose les protections activées par défaut à celles qui nécessitent une action manuelle avant chaque envoi sensible.

A voir aussi : Webmail ac Normandie hors établissement : accéder à sa boîte en toute sécurité

Mesure de sécurité Active par défaut Action requise avant envoi
Authentification CAS (identifiant unique) Oui Aucune
Chiffrement TLS du transport Oui (entre serveurs compatibles) Aucune, mais ne couvre pas le contenu
Vérification manuelle de l’adresse destinataire Non Contrôler chaque caractère de l’adresse
Restriction des destinataires au minimum nécessaire Non Retirer les personnes en copie non concernées
Protection des pièces jointes par mot de passe Non Chiffrer le fichier avant de l’attacher
Filtrage anti-phishing côté serveur Oui (filtrage spam) Vérifier manuellement les liens et expéditeurs suspects

Le chiffrement TLS protège le canal de transmission entre serveurs, pas le contenu du message lui-même. Un mail intercepté sur un serveur intermédiaire non compatible reste lisible. Pour un document confidentiel, le chiffrement TLS seul ne protège pas le contenu du message.

Homme en télétravail vérifiant une check-list de sécurité avant l'envoi d'un email confidentiel

A lire en complément : Problème d'authentification : comment le résoudre efficacement ?

Spear phishing sur adresses universitaires : une menace concrète après les fuites récentes

Les adresses en @unicaen.fr ou @etu.unicaen.fr sont devenues des cibles de choix. Des cyberattaques récentes contre des plateformes liées à la vie étudiante, comme JeVeuxAider.gouv.fr et des bases utilisées par le Crous, ont exposé les données de plusieurs centaines de milliers d’étudiants.

Ces fuites alimentent des campagnes de spear phishing exploitant les données universitaires volées. Un attaquant qui connaît le nom, le cursus et l’adresse mail d’un étudiant peut forger un message très crédible, imitant une convocation d’examen ou une notification de bourse.

Avant d’envoyer un mail sensible, la vérification de l’authenticité du destinataire devient une étape à part entière. Comparer l’adresse affichée avec l’annuaire interne de l’université, vérifier la cohérence du contexte (ce destinataire a-t-il une raison légitime de recevoir ce document ?), et ne jamais répondre à une demande urgente de données sans confirmation par un second canal.

Check-list RGPD appliquée au webmail Unicaen

Le RGPD impose un principe de minimisation des données. Appliqué au webmail Unicaen, cela signifie que chaque mail sensible doit passer un filtre avant expédition : le contenu inclut-il uniquement les informations dont le destinataire a besoin ?

  • Vérifier que le corps du mail ne contient pas de données personnelles superflues (numéro INE, date de naissance, adresse postale) si elles ne sont pas requises pour l’objet du message
  • Limiter la liste des destinataires aux seules personnes directement concernées, en évitant les listes de diffusion larges pour des informations individuelles
  • Utiliser le champ « Cci » (copie carbone invisible) lorsque plusieurs destinataires n’ont pas besoin de connaître l’identité des autres
  • Protéger les pièces jointes contenant des données sensibles par un mot de passe transmis via un canal séparé (SMS, appel)
  • Conserver une trace de l’envoi dans un dossier dédié pour assurer la traçabilité des transferts de données personnelles

La CNIL renforce son rôle de surveillance dans le secteur éducatif, notamment avec le cadre du règlement européen sur l’IA qui lui confie la supervision des systèmes à haut risque dans l’éducation. Les universités françaises doivent donc renforcer la traçabilité de leurs échanges numériques contenant des données personnelles.

Paramètres Zimbra à vérifier avant chaque envoi sensible

L’interface Zimbra du webmail Unicaen offre des options que la plupart des utilisateurs ignorent. Trois vérifications prennent moins d’une minute et réduisent significativement le risque d’erreur.

Contrôler l’adresse d’expéditeur affichée. Zimbra permet de configurer des alias via la page Mon Compte Numérique de l’université. Avant un envoi sensible, vérifier que l’adresse d’expédition correspond bien au rôle dans lequel le message est envoyé (adresse personnelle vs adresse de service).

Deuxième point : l’autocomplétion de Zimbra peut suggérer une adresse incorrecte si plusieurs contacts portent des noms similaires. Relire l’adresse complète du destinataire caractère par caractère avant de valider. Une erreur d’un caractère peut rediriger un document confidentiel vers un inconnu.

Troisième point : les pièces jointes. Zimbra n’intègre pas de chiffrement natif des fichiers attachés. Un PDF contenant des résultats d’examen ou des données médicales doit être protégé en amont, via un outil de chiffrement externe ou un simple mot de passe sur le document.

Deux collègues du service informatique universitaire consultant une check-list de sécurité pour les emails sensibles

Filtres serveur Zimbra et limites pour les mails sortants

Le webmail Unicaen propose deux niveaux de filtrage : côté client (sur la machine de l’utilisateur) et côté serveur. Les filtres serveur, accessibles via les paramètres de la messagerie, permettent de trier, rediriger ou supprimer automatiquement certains messages entrants.

En revanche, ces filtres ne s’appliquent pas aux mails sortants. Aucun mécanisme automatique sur Zimbra n’empêche l’envoi d’un mail contenant des données sensibles vers une adresse externe non sécurisée. La responsabilité de vérification repose entièrement sur l’expéditeur.

Pour les utilisateurs qui configurent leur messagerie via IMAP ou IMAPS sur un client tiers (Thunderbird, Outlook), les filtres côté client ajoutent une couche de contrôle. Configurer une règle qui signale les mails sortants contenant certains mots-clés (comme « confidentiel » ou « résultats ») peut servir de filet de sécurité supplémentaire.

Ce que la check-list ne remplace pas

Une check-list technique ne compense pas l’absence de réflexe. Le maillon le plus fragile reste l’habitude d’envoyer vite, sans relecture, sous la pression d’une échéance administrative. Un mail sensible mérite une pause de trente secondes avant l’envoi : relire le destinataire, le contenu, les pièces jointes et la pertinence de chaque information incluse.

Les fuites de données dans l’écosystème universitaire rendent chaque adresse @unicaen.fr plus exposée qu’auparavant. Appliquer cette check-list à chaque envoi sensible ne garantit pas le risque zéro, mais elle place la barre au niveau que le RGPD et le contexte actuel de menaces exigent.

Les plus plébiscités