On ne présente plus Microsoft 365, qui est aujourd’hui la suite de productivité la plus prisée au monde, avec pas moins de 345 millions d’utilisateurs. Malheureusement, cette popularité fait saliver les cybercriminels, et Microsoft est ainsi la marque la plus usurpée lors des attaques de phishing. Microsoft s’est également attiré les foudres du gouvernement américain pour sa cybersécurité insuffisante et son incapacité à se conformer à des normes de sécurité pourtant basiques. La valeur que cette suite apporte à ses utilisateurs, via sa simplicité, son ergonomie et son efficacité, a donc un revers : la naissance de nouvelles vulnérabilités au sein de la surface d’attaque des organisations. Par conséquent, Microsoft et cybersécurité deviennent des sujets sensibles, en particulier au niveau de l’email.
Dans cet article, nous allons analyser deux grands axes d’attaque des cybercriminels contre Microsoft 365, ainsi que les quatre solutions de sécurité de l’email dont vous avez besoin pour protéger votre entreprise et vos clients.
En 2022, Vade a détecté plus de 22 500 pages uniques de phishing détournant l’image de Microsoft. Ce total impressionnant propulse la firme de Redmond à la 1re place des marques B2B les plus usurpées et en 2e place du classement global des attaques de phishing en 2022. En effet, les cybercriminels envoient bien souvent des dizaines, voire des centaines ou des milliers d’emails de phishing contenant le même lien, et un même domaine peut héberger des milliers d’URL de phishing.
Derrière ces chiffres, deux grandes tendances se dégagent parmi les méthodes utilisées pour exploiter Microsoft 365 et tromper plus d’utilisateurs.
L’avènement des suites de productivité comme Microsoft 365 a changé l’utilisation de l’email. En effet, il est désormais possible de modifier un document, de rejoindre un fil de messages instantanés ou encore de consulter des pièces jointes volumineuses directement depuis un email. L’email devient ainsi souvent une passerelle vers une multitude d’autres tâches.
Cette évolution n’est pas passée inaperçue. Vade ne cesse de découvrir de nouvelles campagnes de phishing tentant d’exploiter les intégrations entre les différentes applications de Microsoft 365. Ces campagnes cherchent généralement à faire cliquer les utilisateurs sur des liens malveillants se présentant sous la forme d’un contenu digital intégré à la suite, par exemple des fichiers partagés ou des fils de messages instantanés.
Page de phishing One Drive
L’intégration est un point fort de Microsoft 365. Mais c’est aussi un moyen pour les hackers de se donner une légitimité apparente tout en évitant la détection par les outils de sécurité de l’email classiques.
Email de phishing exploitant les intégrations de Microsoft 365
Au 4e trimestre 2022, Vade a ainsi détecté une campagne de phishing qui tire parti des outils de Microsoft pour camoufler ses pages malveillantes. Le hacker envoie un email de phishing contenant un lien vers une application de productivité.
Intermediary page used in phishing attack
Une fois qu’un utilisateur a cliqué sur ce lien, il est redirigé vers une page intermédiaire qui ne contient qu’un lien de phishing pointant vers une autre page. Cette dernière page, la page de phishing à proprement parler, inclut divers champs permettant de récupérer les identifiants des utilisateurs et d’accéder à Microsoft 365.
Page de phishing de destination
Cette attaque est pensée pour tromper les filtres de messagerie en leur faisant analyser la page intermédiaire. Ne remarquant pas la page malveillante finale, ils marquent l’email comme sûr. Sans outil sophistiqué de sécurité de l’email, cette campagne peut passer inaperçue.
Une fois qu’il a compromis un compte Microsoft 365, le hacker dispose d’un accès à votre réseau qui lui permet ensuite de lancer des campagnes de phishing et des attaques de spear phishing plus ciblées.
Par conséquent, il est plus nécessaire que jamais de déployer une solution sécurisant les emails (votre principale vulnérabilité), mais vous protégeant aussi des menaces internes susceptibles d’utiliser vos réseaux.
Afin d’assurer que Microsoft et cybersécurité, vous devez déployer une suite complète de solutions de sécurité de l’email conçue pour vous protéger contre les menaces zero-day les plus dynamiques. Voici les quatre solutions dont vous aurez besoin pour une protection efficace.
L’IA est de tous les gros titres : points forts, points faibles et potentiel, les médias s’en donnent à cœur joie. Pour autant, elle est bien souvent mal comprise. Il s’agit d’une science complexe, bien loin de la panacée que l’on peut nous présenter. Pour le dire autrement, les solutions basées sur l’IA n’ont pas toutes les mêmes capacités et n’offrent pas toute la même valeur. Leur efficacité dépend en réalité de plusieurs facteurs, notamment :
Par exemple, la Computer Vision offre une protection contre les menaces basées sur les images, comme les QR codes qui camouflent des liens malveillants ou les logos altérés pour éviter la détection. Les modèles de natural language processing détectent quant à eux des tournures grammaticales, mots et expressions subtils typiques des attaques de spear phishing. Ensemble, ces algorithmes protègent contre tous les types de menaces véhiculés par les emails.
Dans le monde de la cybersécurité, les incidents sont inévitables. Aucune solution n’est capable de bloquer 100 % des menaces. Par conséquent, celle que vous choisirez devra être en mesure de répondre aux événements de sécurité qui surviendront. Les solutions de réponse aux incidents efficaces combinent trois fonctions essentielles.
Cette remédiation repose sur le moteur du filtre d’IA, qui doit offrir une protection native et être placé au sein de votre environnement interne et non pas à l’extérieur de votre périmètre.
La réponse aux incidents dépend en grande partie des informations sur les menaces dont vous disposez et de vos activités d’analyse. C’est pour cette raison qu’il vous faut une solution qui vous aide à collecter de nouvelles informations, à examiner les menaces signalées et à coordonner vos flux d’informations.
Les informations et analyses dépendent quant à elles de trois éléments :
Déconstruction des fichiers. La possibilité de télécharger et d’examiner en toute sécurité des emails potentiellement malveillants est particulièrement importante. Vous pouvez ainsi étudier des données techniques et les utiliser pour déterminer dans quelle mesure la menace a pu se propager dans votre réseau. Mettez-vous en quête de solutions qui vous permettent d’inspecter des emails et pièces jointes malveillants sans risque.
L’email constitue le principal vecteur d’attaque et la principale source d’informations sur les menaces. Par conséquent, votre solution doit permettre l’importation des journaux d’emails dans les systèmes SIEM (Security Information and Event Management), SOAR (Security Orchestration and Automated Response) et XDR (Extended Detection and Response). Vous pourrez ainsi améliorer votre collecte d’informations et la réponse.
Les violations de données sont principalement d’origine humaine. Dans le cadre de cyberattaques, les interactions humaines concernent la plupart du temps des emails, et il n’est donc pas surprenant que l’une des meilleures protections soit une solution de formation de sensibilisation au phishing.
Mais comme les solutions d’IA, tous les programmes de formation de sensibilisation à la sécurité ne se valent pas. Leur efficacité dépend de trois facteurs.
Microsoft 365 offre à vos équipes de nouvelles possibilités de communication et de collaboration. Revers de la médaille, elle vous expose aussi à des risques qui pourraient avoir des conséquences durables sur votre entreprise.
Avec cette application pour professionnels la plus ciblée par les hackers du monde entier, la question n’est pas tant de savoir si vous allez faire face à une cybermenace, mais quand. Par conséquent, vous devrez allier Microsoft et cybersécuritéadopter des solutions de cybersécurité pour Microsoft offrant une protection de haut niveau et continue.
Vade for M365 est une solution de sécurité de l’email collaborative pour Microsoft 365. Combinant IA et expertise humaine, elle est capable d’intercepter les menaces dynamiques qui échappent à Microsoft.