La messagerie académique de Bordeaux constitue un point d’entrée vers l’ensemble des services numériques de l’académie : portail Arena, iProf, gestion de carrière, dossier de mutation. Compromettre ces identifiants, c’est exposer des données personnelles et professionnelles sensibles. Cet article mesure les écarts entre les pratiques courantes et les protections réellement efficaces pour sécuriser son webmail Académie Bordeaux.
Vecteurs d’attaque sur un webmail académique : panorama comparé
Les personnels de l’éducation reçoivent des courriels de sources variées (rectorat, établissements, plateformes de formation). Cette diversité complique le tri entre message légitime et tentative de phishing. La DGSI rappelle qu’il faut être vigilant avant de cliquer sur un lien ou d’ouvrir une pièce jointe, même lorsque l’expéditeur semble connu.
Lire également : Tracer une moto : comment réussir à le faire soi-même ?
| Vecteur d’attaque | Mode opératoire | Cible principale | Protection adaptée |
|---|---|---|---|
| Phishing ciblé (spear phishing) | Courriel imitant une communication du rectorat ou d’Arena | Identifiants de connexion académiques | Vérification de l’adresse d’expédition, signalement via Amerana |
| Attaque par dictionnaire | Essai automatisé de mots de passe courants sur le portail webmail | Comptes avec mot de passe faible | Mot de passe long et unique, changement régulier |
| Interception sur réseau Wi-Fi public | Capture du trafic non chiffré lors d’une connexion hors établissement | Session de messagerie ouverte | Connexion via HTTPS uniquement, déconnexion systématique |
| Pièce jointe malveillante | Fichier infecté joint à un courriel d’apparence professionnelle | Poste de travail, puis rebond vers le compte | Antispam académique, vigilance sur les formats inhabituels |
L’académie de Bordeaux a mis en place un dispositif antispam avec quarantaine. Les messages suspects sont isolés avant d’atteindre la boîte de réception. Cette couche filtre une partie des menaces, mais le filtrage automatique ne bloque pas le phishing ciblé, qui reproduit fidèlement la charte graphique institutionnelle.

A lire aussi : Webmail SOGo Lille : sécuriser vos mails et votre compte en quelques minutes
Authentification multifacteur et webmail Académie Bordeaux
La tendance nationale va vers la généralisation de l’authentification multifacteur (MFA) pour les accès aux messageries de l’éducation nationale. Éduscol a renforcé la sensibilisation aux risques d’usurpation de comptes et de fuite de données, ce qui pousse les académies à recommander, voire imposer, cette couche de protection supplémentaire.
Le MFA ajoute une vérification au-delà du simple mot de passe : code temporaire envoyé par SMS, application d’authentification ou clé physique. Même si un attaquant récupère vos identifiants de messagerie académique, il ne peut pas se connecter sans ce second facteur.
Activer le MFA sur son compte académique
L’activation dépend du déploiement propre à chaque académie. Pour Bordeaux, la plateforme Amerana (accessible par téléphone au 05 16 526 686 ou en ligne avec vos identifiants de messagerie) peut renseigner sur la disponibilité du MFA et accompagner sa mise en place. En attendant un déploiement généralisé, utiliser une application de gestion de mots de passe qui génère des codes temporaires reste une mesure de protection individuelle pertinente.
Mot de passe du portail académique : les erreurs mesurables
L’académie de Bordeaux mentionne explicitement la prévention des attaques par dictionnaire dans ses recommandations. Ce type d’attaque repose sur l’essai massif de mots de passe communs. Un mot de passe court ou basé sur un prénom, une date de naissance ou le nom de l’établissement sera testé en priorité.
- Un mot de passe robuste pour la connexion au webmail académique combine au minimum une douzaine de caractères, mêlant majuscules, minuscules, chiffres et caractères spéciaux
- Le même mot de passe ne doit pas servir pour la messagerie ac-bordeaux.fr et pour un service personnel (réseau social, site marchand)
- Changer son mot de passe académique après toute suspicion de compromission, même vague, limite la fenêtre d’exploitation d’identifiants volés
- La procédure de réinitialisation passe par le portail AIDA, accessible depuis la page de connexion du webmail Convergence
En revanche, multiplier les changements de mot de passe à un rythme trop soutenu (tous les mois, par exemple) pousse souvent à choisir des variantes prévisibles. Un mot de passe solide renouvelé deux à trois fois par an offre un meilleur compromis.
Sécuriser la session de navigation sur le webmail Bordeaux
Se connecter à sa messagerie académique depuis un navigateur mal configuré ou un poste partagé expose à des risques que le mot de passe le plus robuste ne couvre pas. Le guide de découverte de la messagerie académique de Bordeaux insiste sur les conditions de connexion au webmail Convergence.
Navigateur et extensions
Un navigateur à jour corrige les failles de sécurité connues. Les mises à jour automatiques du navigateur doivent rester activées. Les extensions non vérifiées peuvent intercepter les données saisies dans les formulaires de connexion, y compris sur le portail Arena ou iProf.
Déconnexion et postes partagés
Sur un ordinateur utilisé par plusieurs personnes (salle des professeurs, CDI), fermer l’onglet ne suffit pas à clore la session. Il faut utiliser le bouton de déconnexion du webmail, puis fermer le navigateur. La charte d’usage du système d’information de l’académie de Bordeaux rappelle cette obligation pour les personnels.

Signaler un incident de sécurité sur sa messagerie académique
Recevoir un courriel suspect ou constater une activité inhabituelle sur son compte (messages envoyés sans votre intervention, connexion depuis un lieu inconnu) nécessite une réaction rapide. La plateforme Amerana, commune aux académies de Bordeaux, Limoges et Poitiers depuis janvier 2018, centralise les signalements.
- Par téléphone au 05 16 526 686, du lundi au vendredi aux horaires ouvrables
- En ligne via le portail académique, avec authentification par identifiant de messagerie
- Transférer le courriel suspect sans cliquer sur aucun lien qu’il contient, pour permettre l’analyse par les équipes techniques
Un signalement précoce permet d’isoler un compte compromis avant que l’attaquant n’accède aux services liés (Arena, gestion de carrière, dossier de mobilité). La DGSI recommande également de signaler les tentatives de phishing sur la plateforme Cybermalveillance.gouv.fr pour alimenter les bases de détection nationales.
La protection d’un webmail académique repose moins sur un outil unique que sur l’articulation entre mot de passe solide, vigilance face aux courriels et hygiène de session. L’arrivée progressive du MFA dans les académies renforcera cette chaîne, à condition que chaque maillon – technique et humain – reste fiable.

