Soyons honnêtes deux minutes. Quand vous choisissez une solution de sécurité pour vos emails, le premier réflexe est souvent de regarder deux choses : le prix par utilisateur et le taux de détection promis sur la plaquette commerciale (“99.9% de blocage”, vous connaissez la chanson).
Sauf qu’en 2026, ces critères ne suffisent plus. Pire, ils peuvent vous induire en erreur.
Pourquoi ? Parce que les attaques ont changé. Le spammeur qui vous vendait des fausses Rolex a été remplacé par une IA qui imite le style d’écriture de votre PDG pour demander un virement urgent. Et face à ça, ce n’est pas le moteur antivirus qui fait la différence, c’est l’architecture même de votre solution.
Aujourd’hui, deux écoles s’affrontent : les Gateways (les passerelles historiques) et les solutions API (la nouvelle garde intégrée). Et le choix de l’une ou l’autre va radicalement changer votre quotidien d’admin.
On pose les gants et on regarde ce qui se passe sous le capot.
1. Le Match : Secure Email Gateway (SEG) vs API
Pour faire simple, imaginez votre entreprise comme une maison.
L’approche Gateway (La Douane)
C’est le modèle historique (Mailinblack, Cisco, Proofpoint Legacy).
Vous installez une guérite devant le portail de la maison. Tout le courrier doit s’arrêter à la guérite, être fouillé, et s’il est propre, le gardien le laisse entrer dans la boîte aux lettres.
- Le gros avantage : La menace n’entre jamais chez vous. Elle est bloquée dehors.
- Le problème caché : Une fois que le gardien a laissé passer quelqu’un, il ne voit plus ce qui se passe à l’intérieur. Si un employé envoie un mail piégé à son collègue de bureau (attaque latérale), la Gateway ne voit rien. Elle est aveugle au trafic interne.
L’approche API / ICES (L’Agent de Sécurité Intérieur)
C’est le modèle moderne (Vade, Avanan, Abnormal Security).
Il n’y a pas de guérite à l’entrée. Le courrier arrive directement dans la boîte aux lettres Microsoft 365 ou Google. Mais à l’intérieur de la maison, vous avez un agent de sécurité invisible qui surveille tout en temps réel.
- Le gros avantage : Il voit tout. Les mails qui entrent, ceux qui sortent, et surtout ceux qui circulent entre les bureaux.
- La “killer feature” : La remédiation. Si l’agent réalise qu’un courrier déposé il y a 5 minutes est en fait une bombe, il peut aller le récupérer directement dans la boîte aux lettres et le sortir. La Gateway, elle, ne peut pas revenir en arrière.
2. Pourquoi l’API gagne du terrain en 2026
Si vous êtes un DSI sous Microsoft 365 ou Google Workspace, l’architecture API est devenue quasi-incontournable pour trois raisons très pragmatiques.
La fin des attaques “Zero-Day” statiques
Avant, un virus était un fichier. La Gateway le scannait, le reconnaissait, le bloquait. Facile.
Aujourd’hui, l’attaque est un lien vers un site sain qui devient malveillant 10 minutes après la livraison du mail.
- La Gateway : Elle a laissé passer le lien (car il était sain à l’instant T). C’est trop tard.
- L’API : Elle continue de surveiller le mail dans la boîte de réception. Quand le lien s’arme, elle le neutralise. C’est ce qu’on appelle la protection post-livraison.
La visibilité sur le trafic interne (East-West Traffic)
C’est la faille béante des passerelles. Si le compte d’un de vos commerciaux est compromis, il va arroser toute la boîte avec des liens de phishing. Comme ces mails ne sortent pas sur internet pour re-rentrer, ils ne passent jamais par la Gateway (les champs MX).
Une solution API, elle, est branchée directement au cœur de votre tenant. Elle intercepte ces attaques internes instantanément.
La facilité de déploiement (Le bonheur de l’admin)
Changer ses champs MX pour mettre en place une Gateway, c’est toujours un moment de stress. Il y a un temps de propagation, un risque de perte de mails, des paramétrages SPF/DKIM à refaire…
Une solution API ? Vous cliquez sur “Autoriser l’application” dans votre panneau admin Microsoft/Google. C’est tout. En 5 minutes, le scan commence (y compris sur l’historique des mails passés, pour nettoyer les menaces dormantes !).
3. Quand faut-il quand même garder une Gateway ?
Je ne suis pas en train de dire que les Gateways sont mortes. Elles restent les meilleures dans certains cas précis :
- Vous n’êtes pas sur le Cloud : Si vous avez encore un serveur Exchange “On-Premise” dans votre salle serveur, l’API ne fonctionnera pas (ou mal). La Gateway est obligatoire.
- Vous voulez une étanchéité totale : Certaines OIV (Opérateurs d’Importance Vitale) ou industries sensibles exigent que le code malveillant n’atteigne jamais le serveur de messagerie final. La Gateway reste le bouclier périmétrique le plus robuste.
- La gestion de la bande passante : Si vous recevez des millions de spams, la Gateway filtre tout ça en amont et évite de surcharger votre infrastructure.
Le verdict pour votre budget 2026
Ne comparez pas des choux et des carottes.
- Si vous cherchez à sécuriser un environnement Cloud (M365/Google) collaboratif : Foncez sur une architecture API. Le gain de temps en gestion et la capacité de “remédiation” valent largement l’investissement.
- Si vous avez une infrastructure hybride ou complexe et besoin d’un contrôle périmétrique strict : La Gateway reste le patron.
Le critère ultime ? Demandez une démo de la fonctionnalité de “Remédiation”. Demandez au commercial : “Si un mail malveillant passe, comment je l’enlève des 500 boîtes de mes employés en un clic ?”.
La réponse à cette question vous dira tout de suite si la solution est taillée pour 2026 ou si elle est restée coincée en 2015.