Noox > Blog > Comment bloquer les pièces jointes dangereuses dans Gmail (Google Workspace) et limiter le phishing

Comment bloquer les pièces jointes dangereuses dans Gmail (Google Workspace) et limiter le phishing

par

Mathieu B.
dans

En France, le phishing reste le principal point d’entrée des cyberattaques significatives, cité dans environ 55 % des incidents recensés auprès des entreprises françaises en 2024.1 Les études montrent qu’environ 60 % des cyberattaques démarrent par un courriel piégé, souvent via un lien ou une pièce jointe malveillante.2 À l’échelle nationale, on parle de plusieurs centaines de milliers d’incidents numériques par an, avec une part croissante liée à des campagnes d’hameçonnage ciblant les TPE et PME.3 Dans ce contexte, bloquer pièces jointes dangereuses Gmail et durcir la configuration de Google Workspace est devenu un enjeu de sécurité prioritaire.

Ce guide explique, étape par étape, comment renforcer la sécurité de votre messagerie Google Workspace pour bloquer les pièces jointes à risque et limiter les e-mails de phishing. Les réglages décrits ci‑dessous sont disponibles dans la console d’administration Google Workspace (offres payantes) et ne s’appliquent pas aux comptes Gmail gratuits.4

1. Comprendre les risques : ZIP, ISO, scripts…

Les fichiers les plus dangereux en contexte e‑mail sont ceux qui peuvent transporter du code exécutable ou masquer d’autres fichiers. Les attaquants s’appuient notamment sur :

  • Les archives : .zip, .rar, .7z, .tar, .gz, etc.
  • Les images disque et disques virtuels : .iso, .img, .dmg, .vhd, .vhdx, .vmdk.
  • Les scripts et exécutables : .ps1, .vbs, .bat, .cmd, .js, .jar.

Ces formats sont utilisés pour contourner les protections classiques : un exécutable peut être caché dans une archive, un ransomware peut être compressé dans un ZIP chiffré pour échapper à certains scanners, et des « ZIP bombs » peuvent saturer les moteurs d’analyse antivirale.5 Résultat : un simple clic sur une pièce jointe d’apparence anodine peut suffire à compromettre un poste et, par effet domino, tout le système d’information. Il est donc nécessaire de bloquer pièces jointes dangereuses gmail.

2. Activer la protection avancée anti‑phishing et anti‑malware dans Google Workspace

Google Workspace intègre nativement des mécanismes qui bloquent déjà la majorité du spam, du phishing et des logiciels malveillants. Il est toutefois possible – et recommandé – de renforcer ces protections via la console d’administration pour mieux sécuriser Gmail en entreprise et bloquer pièces jointes dangereuses Gmail de façon centralisée.46

Étapes :

  • Connectez‑vous à admin.google.com avec un compte administrateur Google Workspace.
  • Accédez à Applications > Google Workspace > Gmail > Sécurité.
  • Dans la section Protection avancée contre l’hameçonnage et les logiciels malveillants, activez en particulier :
    • La protection contre les pièces jointes suspectes.
    • L’analyse renforcée des liens (Safe Browsing).
    • La détection de l’usurpation de domaine (spoofing) et d’identité.
  • Choisissez une action restrictive : mise en quarantaine ou classification en spam plutôt que simple livraison directe.

Cette première couche réduit drastiquement le volume de messages dangereux qui atteignent les boîtes de réception utilisateurs.4
Elle constitue la base avant de mettre en place des règles spécifiques sur les formats de fichiers.

3. Créer une règle pour bloquer les pièces jointes à risque dans Gmail

Les règles de conformité des pièces jointes de Google Workspace permettent de définir, au niveau du domaine, quels types de fichiers sont autorisés ou bloqués. C’est ici que l’on peut cibler précisément les formats les plus risqués, comme les archives et scripts, pour réellement bloquer pièces jointes dangereuses Gmail sur tous les comptes de l’entreprise.

3.1. Accéder aux réglages de conformité

  • Dans la console d’administration, ouvrez Applications > Google Workspace > Gmail > Conformité.
  • Sur la ligne Conformité des pièces jointes, cliquez sur Configurer (ou « Ajouter une autre » si une règle existe déjà).
  • Donnez un nom explicite à la règle, par exemple : Blocage pièces jointes à risque (ZIP, ISO, scripts).
  • Dans « Types de messages à affecter », cochez :
    • Entrants et Sortants pour cibler uniquement les échanges avec l’extérieur.
    • Laissez « Interne – Envoi » et « Interne – Réception » décochés si vous souhaitez autoriser ces fichiers entre comptes internes.

3.2. Définir les types de fichiers à bloquer

Étapes :

  • Dans la section « Ajouter les expressions », cliquez sur Ajouter > Type de fichier.
  • Dans Fichiers compressés et archives (.zip, .tar, .gz, etc.) :
    • Cochez Fichiers compressés et archives chiffrées.
    • Cochez Fichiers compressés et archives non chiffrées.
  • Dans « Types personnalisés de fichiers », ajoutez les extensions suivantes séparées par des virgules :
    iso, img, dmg, vhd, vhdx, vmdk, ps1, vbs, bat, cmd, js, jar
  • Cochez la case Faire également correspondre les fichiers en fonction de leur format afin de détecter les fichiers dont l’extension a été modifiée.
  • Enregistrez le paramètre pour revenir à l’écran de la règle.

Cette configuration cible les formats les plus fréquemment exploités pour transporter du code malveillant, sans affecter les usages courants (PDF, documents Office, images, etc.).57

3.3. Choisir l’action : rejet avec message explicite

  • Dans « Si les expressions ci‑dessus correspondent, procéder comme suit », remplacez Modifier le message par Rejeter le message.
  • Rédigez un message de rejet clair, par exemple :

« Votre message n’a pas été remis.
La pièce jointe a été bloquée par la politique de sécurité de notre organisation (types de fichiers potentiellement dangereux : archives, images disque, scripts, etc.).
Merci de renvoyer vos documents dans un format autorisé (par exemple PDF) ou via un lien de téléchargement sécurisé. »

  • Dans « Types de comptes concernés », cochez Utilisateurs (et éventuellement Groupes si vous souhaitez inclure les adresses de type contact@, info@…).
  • Enregistrez la règle.

Dès lors, tout e‑mail entrant ou sortant contenant l’un des formats ciblés est automatiquement refusé, et l’expéditeur reçoit ce message explicatif. Cela évite que ces fichiers atteignent les utilisateurs tout en leur indiquant une alternative (PDF ou partage via un lien sécurisé).

4. Protéger aussi les clients IMAP (Outlook, Apple Mail…)

De nombreux collaborateurs lisent leurs mails via Outlook, Apple Mail ou des applications mobiles connectées en IMAP. Pour qu’ils bénéficient du même niveau de sécurité que l’interface Gmail web, il est essentiel d’activer la protection sur les liens cliqués depuis ces clients.8

  • Dans la console d’administration, retournez dans Gmail > Sécurité.
  • Recherchez la section Protections pour la consultation IMAP.
  • Activez l’option protection contre les liens malveillants dans IMAP (IMAP link protection).

Quand un utilisateur clique sur un lien dans un message lu depuis Outlook ou une autre application IMAP, le lien est vérifié et une page d’avertissement s’affiche si la destination est considérée comme dangereuse.

5. Authentifier vos e‑mails : SPF, DKIM, DMARC

Enfin, pour limiter les tentatives d’usurpation de votre domaine (phishing envoyant de « faux » e‑mails de votre organisation), il est indispensable de configurer les protocoles d’authentification suivants :34

  • SPF : enregistrement DNS listant les serveurs autorisés à envoyer des e‑mails pour votre domaine.
  • DKIM : signature cryptographique des messages sortants dans la console d’administration Gmail.
  • DMARC : politique qui indique à la réception quoi faire des messages qui échouent SPF/DKIM (surveiller, mettre en quarantaine, rejeter).

En combinant ces mécanismes avec les règles de blocage des pièces jointes et la protection avancée de Gmail, vous réduisez fortement la surface d’attaque de votre organisation. L’e‑mail reste un outil critique pour l’entreprise, mais il n’a pas vocation à être la principale porte d’entrée des attaquants.

6. Références

  1. Baromètre CESIN / état des lieux de la cybersécurité des entreprises françaises 2024‑2025 : le phishing est cité comme vecteur initial dans environ 55 % des incidents significatifs. Source
  2. Analyses de la cybermenace en France 2024‑2025 : le phishing initie environ 60 % des cyberattaques, devant l’exploitation de failles et les attaques via des tiers. Source
  3. Cybermalveillance.gouv.fr et ANSSI – panoramas de la cybermenace et rapports d’activité 2024, confirmant la prééminence de l’hameçonnage comme menace pour les entreprises françaises. Source
  4. Documentation officielle Google Workspace – protection avancée contre l’hameçonnage et les logiciels malveillants, règles de conformité et prévention des menaces. SourceSourceSource
  5. Analyses spécialisées sur les risques des fichiers ZIP et des pièces jointes e‑mail (archives, scripts, images disque). Source
  6. Google Workspace – protection contre les liens malveillants dans les clients IMAP. Source

Articles qui pourraient vous plaire