Le constat est simple : la situation actuelle de la cybersécurité a atteint un point où toutes les organisations doivent mettre en place des solutions de sécurité de l’email avancées. Pourtant bien au courant de l’existence des menaces par email, de nombreux MSP sous-estiment toujours l’étendue et la complexité de ces attaques nouvelle génération. Cette négligence s’accompagne souvent d’idées reçues et d’une complaisance qui résultent dans des failles de sécurité laissées béantes.
Et s’il y a bien une chose que les MSP ne doivent pas faire, c’est plus que jamais de donner à leurs clients, un faux sentiment de sécurité. L’apparition d’un incident de sécurité majeur apporte immanquablement son lot de questions épineuses et de problèmes à régler. Vous en doutez ? Alors imaginez un instant le scénario très répandu d’une attaque de ransomware menée à bien.
Dans un premier temps, l’organisation ciblée ne repère pas immédiatement l’origine de l’attaque. De plus, elle est sûrement protégée par des pare-feu de nouvelle génération, des passerelles de messagerie sécurisée (SEG), des antivirus et des gestions des correctifs, autant de dispositifs mis en place par le MSP ou le département informatique. Reste à savoir ce qu’il s’est passé exactement. Hélas, l’identification de la source de la cyberattaque coûte autant d’efforts que de temps, notamment pour les équipes en charge de la sécurité, qui devront passer au peigne fin les journaux et données afin d’y déceler des failles.
Au terme de cette investigation contraignante, la cause de l’attaque de ransomware est finalement attribuée à un email de spear phishing. Surprise, car Microsoft 365 dispose de fonctions de sécurité intégrées. Alors qu’est-ce qui a bien pu clocher ?
La sécurité de l’email intégrée, même combinée à une armada d’outils de sécurité basiques, ne suffit tout simplement pas à détecter et à prévenir les attaques sophistiquées de spear phishing et d’ingénierie sociale. Voilà ce dont les organisations ont désormais besoin : des solutions avancées de détection des menaces par email, pensées et développées pour contrer des attaques qui redoublent d’ingéniosité et de virulence.
Vous le savez, les emails de phishing représentent pour le cybercriminel un des moyens les plus simples et les moins onéreux d’accéder à l’environnement pris pour cible. D’après l’édition 2022 du rapport de Verizon sur le vol de données, un élément humain était impliqué dans 82 % des vols, y compris le phishing.
Les attaques de phishing sont de plus en plus difficiles à détecter. Désormais, les cybercriminels multiplient le recours à des domaines, adresses IP et URL pour orchestrer leurs campagnes de phishing. L’infrastructure gagne en complexité, avec pour conséquence de compliquer l’anticipation et la préparation face aux attaques. En cause, les logiciels de détection classiques, capables uniquement d’identifier les menaces connues.
Pour ne rien arranger, les hackers se sont eux aussi tournés vers les avantages de l’IA et du machine learning, qu’ils utilisent pour perfectionner leurs techniques de phishing. Un logiciel a même été créé dans le but de générer à partir de l’IA du contenu capable de contourner rapidement et en masse les filtres de cybersécurité. Les usages frauduleux de l’IA ne s’arrêtent pas là, puisqu’elle est également employée pour rassembler des données comportementales qui serviront à créer des algorithmes à même d’identifier les meilleures cibles.
Dans toute la communauté de cybersécurité, c’est un fait établi : les menaces ont évolué d’une telle manière que les antivirus et les pare-feu peinent à ralentir un « agresseur » identifié. Dans ce contexte, quelles sont les solutions de protection qui s’offrent aux experts ?
Cette pratique consiste à sécuriser les données et les workflows associés aux appareils individuels connectés à un réseau, d’où le nom très littéral de sécurité des « terminaux ».
De fait, elle s’est imposée comme une composante essentielle de la planification en cybersécurité, pour différentes raisons. Premièrement, les données constituent la ressource la plus précieuse d’une entreprise, comme en témoigne l’effet dévastateur des innombrables attaques de ransomware ayant occasionné des vols ou pertes de données.
Deuxièmement, les entreprises font face à la double contrainte du nombre croissant de terminaux et de types de terminaux, puisqu’aussi bien l’essor du télétravail et la tendance des pratiques BYOD (qui consistent à laisser les employés apporter leur équipement personnel) contribuent grandement à fragiliser le périmètre de sécurité.
L’un des principaux arguments en faveur de la sécurité des terminaux est l’évolution des menaces en elles-mêmes. Du fait de l’ingéniosité des hackers, qui trouvent toujours de nouveaux moyens de se frayer un chemin, de voler des données ou de manipuler des employés pour leur soutirer des informations sensibles, le bon sens s’impose. Ainsi, vaut-il mieux sécuriser les appareils des clients plutôt que de continuer à investir des ressources dans la consolidation d’un périmètre par définition indéfendable ?
Enfin, si la catégorie de la sécurité des terminaux ne manque pas d’outils et de solutions, c’est surtout la fonctionnalité de détection avancée des menaces véhiculées par email qui sort du lot.
La détection des menaces repose avant tout sur la prévention. Plutôt que de rechercher les signes d’une attaque en cours, cette fonctionnalité traque des signes d’intrusion ou bien des comportements associés à un acteur malveillant ou à une tentative d’effraction. Habituellement, la détection des menaces s’appuie sur des signatures déjà identifiées, aussi appelées « empreintes », et des comportements anormaux sur le trafic du réseau afin d’identifier des menaces. C’est ce que nous appelons l’identification des « menaces connues ». Toutefois, en raison de la nature avancée des attaques modernes, les meilleurs outils de détection des menaces orchestrées par email ne peuvent se contenter d’une approche aussi simple.
Comme indiqué plus haut, la plupart des systèmes traditionnels de détection des menaces protègent les emails grâce aux signatures et à l’analyse comparative. Ces outils récoltent des signatures ou des identifiants afin de déterminer le potentiel de nuisance d’une activité ou d’un trafic.
Les systèmes avancés de sécurité de l’email intègrent également le machine learning afin de renforcer l’efficacité de la détection et de la prévention, même lorsqu’il s’agit de menaces inconnues. Au fil du temps, ces systèmes apprennent à repérer les activités potentiellement malveillantes sans avoir à les comparer directement aux menaces connues.
Au sein d’un environnement, les capacités d’apprentissage et d’acquisition rapides du machine learning avancé lui permettent de reconnaître et d’isoler facilement un schéma inhabituel.
En tant que MSP, si vous recherchez un moyen de mettre en œuvre la détection des menaces, plusieurs fonctions importantes devraient retenir votre attention :
Parce que la détection des menaces véhiculées par email apporte une réponse dynamique et réactive face aux menaces, aucune infrastructure de sécurité ne peut s’en passer, et donc aucun MSP.
Les cybercriminels redoublent d’agressivité dans le perfectionnement de leurs outils et techniques. Ils ne ménagent pas non plus leurs efforts pour protéger leurs malwares et renforcer par des améliorations l’efficacité de leurs attaques. Même le code de ransomware évolue, et de nouvelles souches emploient des algorithmes de chiffrement complexes, extrêmement difficiles à hacker.
Un combat de chaque instant oppose ainsi les professionnels de la cybersécurité et les acteurs malveillants. Dans cette course à l’armement, il est toutefois important de ne pas laisser nos solutions se faire dépasser par les innovations incessantes des acteurs malveillants. Les MSP et leurs fournisseurs doivent répondre avec la même efficacité et la même vélocité, tout en gardant une longueur d’avance.