De plus en plus d’entreprises migrent vers Office 365, et les hackers l’ont bien compris. Ils les submergent ainsi d’attaques ciblées par email qui ne sont pas bloquées par les solutions de sécurité en place.
Tous les systèmes de messagerie sont visés par les hackers, mais ceux dans le Cloud utilisé par les entreprises, comme Office 365, constituent leur cible préférée. Bien qu’Office 365 intègre des solutions de sécurité, de nouvelles attaques très sophistiquées envoyées par email, notamment de phishing et de spear phishing, parviennent à les contourner et à atteindre la boîte de réception des utilisateurs. Voici six raisons pour lesquelles il est temps d’envisager l’ajout d’un niveau de protection supplémentaire à Office 365.
1. La majorité des cyberattaques commencent par un email
D’après IDC, 80 % des cyberattaques commencent par un email. Le phishing constitue toujours l’attaque par email la plus courante, mais ce n’est pourtant pas la plus connue des employés. En effet, alors que les utilisateurs connaissent bien les spams (tout le monde en reçoit) et les malwares (tout le monde en a entendu parler), le phishing reste bien plus mystérieux. Cette méconnaissance s’explique par le fait qu’un « bon » email de phishing est difficile à repérer et que ses dégâts ne sont visibles que plus tard.
2. Chaque employé est une cible potentielle
Chaque utilisateur d’Office 365 représente un point d’accès aux ressources les plus précieuses d’une entreprise, telles que les comptes bancaires, les secrets industriels et d’autres informations sensibles. Pour une grande entreprise, cela représente des milliers de cibles potentielles. Pour les PME, le nombre de boîtes de réception est inférieur, mais le risque n’est pas moindre pour autant. Dans un rapport de Ponemon publié en 2017, 61 % des PME ont signalé avoir été visées par une cyberattaque au cours des 12 derniers mois et 48 % par une attaque de phishing. Les PME touchées par ces failles de sécurité ont consacré plus d’un million de dollars à la reprise de leurs activités, tandis que la perturbation des opérations leur a coûté plus d’un million deux cent mille dollars.
3. Les attaques gagnent en sophistication
Le phishing, une attaque impersonnelle qui pousse les utilisateurs à cliquer sur un lien et divulguer leurs identifiants et informations personnelles, est plus difficile à détecter. Les sites Web de phishing sont en effet conçus pour imiter à la perfection des sites légitimes, notamment les pages de connexion d’Office 365. Un utilisateur lambda a ainsi peu de chance de les repérer. Pour ne pas être détectés par les filtres des messageries, les hackers incluent dans leurs emails un lien vers la véritable page de connexion d’Office 365, puis le redirigent ensuite vers un site de phishing.
Dans une attaque de spear phishing, l’email n’inclut pas de lien, ce qui rend la détection d’autant plus difficile. Ce type d’attaque joue également la carte de la personnalisation. De nombreux malandrins analysent les profils des employés visés sur les réseaux sociaux pour découvrir leurs centres d’intérêt et leurs habitudes, ce qui leur permet de créer un email susceptible d’attirer leur attention.
Ces attaques sont progressives et se déroulent en séquence. Le premier email ne demande généralement pas d’informations à sa victime et se contente de poser une question d’ordre général, pour la mettre en confiance. Aussi connues sous le nom de « fraude au PDG », les attaques de spear phishing sont conçues pour que les employés donnent accès aux hackers à des ressources très sensibles, par exemple des comptes bancaires. Dans certaines attaques de spear phishing, les cybercriminels trompent les employés pour qu’ils programment des virements bancaires et même modifient les coordonnées bancaires utilisées pour le versement des paies. À la différence du phishing, qui ratisse large, le spear phishing est une attaque très ciblée qui a donc de plus grandes chances de réussir.
4. Le coût des attaques est sous-estimé
Combien coûtent les attaques de spear phishing aux entreprises ? Selon la nature de l’email envoyé, une attaque peut coûter plusieurs milliers, voire plusieurs millions de dollars. Une enquête menée en 2018 par la Securities and Exchange Commission (SEC) a révélé que sur neuf entreprises touchées par une série d’attaques de spear phishing ciblées cette même année, deux ont perdu plus de 30 millions de dollars chacune, pour une perte totale combinée de plus de 100 millions de dollars. Depuis peu, des attaques de phishing de grande ampleur, mais moins ambitieuses, privilégient des gains rapides. Ainsi, le détournement des paies et les fausses factures montent en puissance. Ces deux scams ne sont pas aussi rémunérateurs que l’exemple analysé par la SEC, mais les coûts liés à la récupération de l’argent et des systèmes compromis finissent par s’accumuler.
Les cyberattaques font couler beaucoup d’encre : nombre d’entreprises se retrouvent dans une position embarrassante lorsque leurs employés cliquent sur des emails de phishing et de spear phishing et font ainsi le jeu des hackers. Il est vrai que le coût réputationnel de telles attaques pour une entreprise est difficile à évaluer. Pour autant, elles génèrent d’autres coûts, qui sont eux bien plus concrets :
- Coûts informatiques : la restauration des systèmes compromis demande et consomme des ressources informatiques à forte valeur ajoutée.
- Coûts légaux : les actions en justice contre les hackers et la défense de l’entreprise contre les dommages posés par une faille de sécurité peuvent coûter beaucoup d’argent.
- Coûts d’assistance : répondre aux inquiétudes des clients après une faille de sécurité est essentiel pour ne pas les perdre. Toutefois, la hausse de l’activité du centre d’appel/d’assistance risque de générer des centaines d’heures de travail supplémentaires.
- Coûts de la perturbation de l’activité : la suspension des services informatiques et autres services stratégiques constitue une réaction courante en cas de faille. La perte de productivité est le principal impact des failles pour les entreprises touchées.
5. Les solutions classiques de sécurité de l'email sont obsolètes
Les solutions de sécurité classiques, comme les passerelles de messagerie sécurisées, reposent sur l’identification des menaces connues. Elles s’appuient sur l’analyse des signatures (pour bloquer les malwares) et des listes noires d’adresses IP et de domaines pour évaluer la fiabilité d’un expéditeur (pour bloquer le phishing).
Exchange Online Protection (EOP), le filtre natif de la messagerie[ de Microsoft, bloque efficacement les menaces connues dans Office 365. Toutefois, les attaques plus ciblées et plus sophistiquées, notamment de spear phishing, constituent des menaces inconnues qui passent au travers des mailles de ces filtres classiques.
6. Microsoft est une cible de choix
D’après IDC, la solution Office 365 de Microsoft est la plus populaire sur le marché professionnel, avec 54 % de parts de marché et pas moins de 155 millions d’utilisateurs actifs. Microsoft constitue ainsi une cible de choix pour les hackers. Dans le dernier rapport Phishers’ Favorites de Vade, Microsoft a décroché la palme de la marque la plus ciblée par les attaques de phishing pour le troisième trimestre consécutif. Les plateformes riches en données comme SharePoint et OneDrive hébergent les informations sensibles de millions d’entreprises et d’utilisateurs, ce qui fait d’Office 365 une cible toute choisie pour les attaques en plusieurs phases qui combinent phishing et spear phishing.
Protéger Office 365 avec des solutions complémentaires et l’IA
IDC recommande d’ajouter un niveau de protection à Office 365 de sorte à compléter les solutions natives de Microsoft. Pour renforcer la protection d’Office 365, les entreprises doivent ainsi aller au-delà des solutions classiques qui reposent sur des méthodes de détection réactives et obsolètes. L’approche proactive de la sécurité de l'email adoptée par Vade s’appuie sur l’utilisation de l’apprentissage automatique, notamment du traitement du langage naturel et de la détection autonome des anomalies, pour identifier les menaces en temps réel.
