Exchange Online Protection (EOP) : quelles alternatives pour les MSP ?

La quasi-totalité des entreprises ayant choisi Microsoft 365 finit par se poser la question suivante : les outils de Microsoft sont-ils suffisants pour éviter au spam, aux emails de phishing et aux autres emails indésirables d’atterrir dans les boîtes des utilisateurs ?

Bien qu’il existe plusieurs outils intégrés à Microsoft 365 que les entreprises et MSP peuvent utiliser, le plus connu reste Exchange Online Protection (EOP). Autrefois disponible sous forme de module complémentaire payant proposé avec la plupart des forfaits de Microsoft, cette solution est désormais comprise dans l’abonnement, qu’il soit mensuel ou annuel.

EOP a beaucoup progressé depuis sa création. Initialement conçue pour bloquer le spam et les emails envoyés en masse, elle est maintenant capable d’exploiter diverses techniques de détection pour repérer les emails de phishing et de spear phishing, ainsi que les emails contenant des fichiers malveillants permettant d’installer des malwares. Cette capacité repose majoritairement sur la multiplication des moteurs d’analyse et l’exécution d’une analyse antivirus : Microsoft tire certainement parti des grandes quantités de données à sa disposition et des signalements de faux positifs et faux négatifs effectués par les utilisateurs.

Si les entreprises commencent à se demander ou à demander à leur MSP si EOP va suffisamment loin, c’est sans doute, parce qu’un trop grand nombre de ces menaces et spams parviennent malgré tout à se glisser dans les boîtes de réception.

Ne soyons pas mal malhonnêtes : le taux de détection de Microsoft a progressé. Pour autant, sa solution reste impuissante face aux attaques personnalisées et ciblées (prenant bien souvent la forme d’usurpations de l’identité de collègues) et aux campagnes de phishing d’envergure réduite. En effet, soit la base de données d’EOP ne permet pas de repérer ces menaces, soit les signalements ne sont pas en nombre suffisant pour faire basculer la classification de ces emails. Cette lacune pose un risque. De plus, les fonctions intégrées de Microsoft demandent à l’entreprise ou à son MSP de réaliser de nombreuses interventions manuelles.

Si la protection EOP est jugée insuffisante, quelles autres options peuvent choisir les entreprises et MSP, et quelles caractéristiques doivent-elles présenter ?

Avant d’entrer dans le détail, rappelons qu’il est préférable qu’une solution de sécurité de l'email soit simple à mettre en œuvre, ne demande qu’une administration limitée et soit plus efficace dans la détection des menaces que les autres technologies. Pour les entreprises et MSP, ces solutions doivent être déployées rapidement, générer de la valeur sans délai, ne pas demander une gestion trop chronophage et ne pas limiter l’efficacité de leur sécurité en place.

Les passerelles de messagerie sécurisées font partie des technologies bien connues en matière de sécurité de l'email. Utilisées depuis environ 20 ans, elles reposent sur une architecture qui accuse son âge. Elles redirigent en effet le flux des emails vers leur service, qui est mis en œuvre par le biais d’une appliance hébergée ou dans le cloud. Cette architecture limite souvent leur efficacité, mais nous y reviendrons.

Pour identifier et bloquer ou mettre en quarantaine les emails malveillants, les passerelles se basent sur des flux d’informations, des règles heuristiques et parfois le sandboxing. Si cette approche vous semble familière, c’est tout simplement parce qu’elle est très semblable à celle employée par EOP. Par ailleurs, les utilisateurs peuvent souvent débloquer certains éléments en quarantaine par le biais d’un portail Web.

Les passerelles de messagerie sécurisées ne génèrent pas de valeur immédiatement, car leur déploiement, leur configuration initiale et la gestion continue des emails en quarantaine peuvent prendre beaucoup de temps aux MSP et aux entreprises. Il convient également de prendre en compte les tâches imposées par la modification du flux d’emails lors de l’ajout de nouveaux services ou domaines.

Au cours des dernières années, plusieurs nouveaux acteurs ont proposé des solutions de sécurité de l'email exploitant les différentes API de Microsoft 365. L’approche de chaque fournisseur est bien entendu différente, mais certaines de ces technologies sont conçues pour extraire les données des emails, réaliser des analyses et exécuter automatiquement des actions via les API, sans altérer le flux des emails. De manière générale, le délai de déploiement de ces solutions est relativement court, ce qui permet aux MSP de les mettre en place sur l’intégralité de leur base client.

La maintenance à effectuer au quotidien est également moins lourde. Un grand nombre de ces technologies sont capables d’exploiter des méthodes de détection similaires, présentes depuis longtemps dans les passerelles : flux d’informations sur les menaces, règles heuristiques, sandboxing et analyse des URL/pièces jointes. Toutefois, l’avantage d’une architecture basée sur des API en matière de détection réside dans la possibilité de réaliser des analyses en temps réel, selon des méthodes inaccessibles aux passerelles de messagerie. Cela signifie que la détection devrait être plus précise, car moins dépendante d’informations statiques. L’analyse de chaque email de manière dynamique facilite en effet l’identification des menaces d’envergure plus limitée.

Au-delà de méthodes et taux de détection optimisés, les administrateurs et utilisateurs finaux bénéficient également d’expériences plus fluides et nécessitant moins d’applications ou de portails tiers, ainsi que d’outils plus simples et efficaces.

Vade for Microsoft 365 est une solution basée sur des API qui vient compléter EOP. Conçue pour les MSP débordés, elle peut être déployée en quelques minutes, sans modifier les enregistrements MX. À la différence des passerelles de messagerie sécurisées, Vade for Microsoft 365 effectue une analyse en temps réel des emails, sans quarantaine ou sandboxing. Associée à une maintenance minimale, elle s’adresse aux MSP à la recherche d’une alternative à EOP capable d’intercepter les menaces manquées par Microsoft 365 tout en leur permettant de doper les marges liées.