Cybersécurité des MSP

La neutralisation des menaces post-réception redonne le contrôle aux MSP

Adrien Gendre

25 juillet 2019

4 min

MSP

L’une des principales critiques formulées au sujet des passerelles de messagerie sécurisées réside dans le nombre excessif de faux positifs et faux négatifs qu’elles génèrent. En effet, les faux positifs sont inutiles et entraînent une perte de temps. Les faux positifs sont quant à eux dangereux. 

D’après un rapport publié il y a peu par Cofense, 90 % des 31 000 emails malveillants s’étant glissés dans les boîtes de réception étudiées ont été détectés dans des environnements protégés par une ou plusieurs passerelles. Cette statistique illustre bien les difficultés rencontrées par les utilisateurs, mais surtout par les MSP, à qui il revient de résoudre ces situations.

Ces derniers sont bien souvent dans l’ignorance du problème jusqu’à ce que les utilisateurs finaux de leur client leur expliquent ne pas recevoir certains emails importants, ou pire encore, avoir été victimes d’une fraude par email du type phishing ou spear phishing. 74 % des PME affirmant qu’elles tiendraient leur MSP responsable d’une cyberattaque, le risque est aujourd’hui bien trop important.

Les MSP ont besoin d’une méthode pour éliminer les menaces déjà arrivées dans les boîtes aux lettres des utilisateurs. Malheureusement, une passerelle de messagerie sécurisée ne permet pas d’y parvenir dans les environnements Office 365. En effet, ces passerelles se trouvent en dehors de l’environnement Office 365, et il s’agit d’ailleurs de leur principale limite : les emails déjà remis ne peuvent pas être supprimés. Pour pouvoir supprimer les menaces déjà arrivées à destination, une solution doit être intégrée nativement à Office 365.

La neutralisation des menaces a toujours constitué le point faible des solutions de sécurité de l'email, mais la situation a changé.

Comment en sommes-nous arrivés là ?

Les solutions de sécurité de l'email classiques s’appuient sur des méthodes d’analyse de la réputation et de la signature pour identifier les menaces. Le blocage des menaces connues par le biais de listes d’adresses IP et d’URL en liste noire était, et est encore, la stratégie centrale de ces solutions, Exchange Online Protection (EOP) y compris. Cette technique est efficace contre le spam, les emails de phishing envoyés en masse et les malwares dont la signature est connue, mais elle n’assure pas une protection suffisante contre les attaques de phishing et spear phishing de faible volume et hautement ciblées que nous observons désormais. Les hackers sont tout simplement trop rusés.

Ils ont en effet compris que de nombreuses entreprises étaient protégées par ces solutions classiques et ont fait évoluer leurs techniques. Pour éviter la mise en liste noire basée sur la réputation, ils ont créé des campagnes de phishing plus ciblées et ont mis de côté les envois massifs d’emails qui déclenchent des alertes. Certains hackers ont même recours à une adresse IP, une URL et un message uniques pour chaque email de phishing. Une autre technique utilisée est la redirection à l’aide d’URL éphémères, qui consiste pour un hacker à insérer une URL légitime dans l’email de phishing, puis à créer une redirection une fois l’email remis. En effet, un filtre de messagerie classique vérifie l’URL à la réception de l’email, mais pas au moment du clic et passera ainsi à côté de la fraude. Inversement, ces mêmes filtres marquent à tort certains emails légitimes comme étant du spam, retardent leur remise en les plaçant en quarantaine et créent un catalogue de faux positifs.

Les technologies réactives ne sont tout simplement pas à la hauteur de la sophistication des menaces actuelles. Les MSP ont besoin d’une meilleure solution pour protéger leurs entreprises et leurs clients sous Office 365.

La détection des menaces basée sur l’IA ouvre la voie à la neutralisation automatique

L’intelligence artificielle (IA) marque l’avènement d’une nouvelle ère de la cybersécurité, qui va plus loin que la détection basée sur la réputation ou la signature. Une solution basée sur l’IA adopte une approche proactive de la détection des menaces et s’entraîne à anticiper et bloquer les menaces inconnues véhiculées par les emails. Pour entraîner l’IA à détecter le spear phishing, des modèles d’apprentissage automatique non supervisé analysent des milliers de ces emails afin d’apprendre à identifier les schémas et anomalies observés dans la plupart de ces attaques. Pour repérer le phishing, ils sont entraînés avec des pages légitimes et de phishing sélectionnées avec soin par un data scientist. Ils analysent des caractéristiques précises des URL et des pages, elles aussi sélectionnées avec soin, pour détecter des redirections ou autres techniques d’obfuscation qui permettent de contourner les solutions basées sur la réputation ou la signature.

Malheureusement, aucun système n’est parfait et l’être humain se montre parfois plus rusé que la machine. Lorsqu’un email de phishing passe entre les mailles du filet et atterrit dans une boîte de réception, un MSP ne dispose que de 82 secondes avant que l’utilisateur ne clique dessus. Si l’utilisateur signale l’email, le MSP peut l’analyser et le supprimer manuellement, mais cette stratégie n’a rien d’efficace à long terme. Tout d’abord, la neutralisation directe dans les environnements Office 365 peut impliquer un processus très manuel et complexe nécessitant des connaissances spécifiques et la maîtrise des lignes des commandes. Plus important encore, le filtre qui n’a pas repéré l’email malveillant n’apprend pas de son erreur. C’est au MSP d’agir chaque fois que le filtre se trompe.

A contrario, le moteur d’IA entraîné à identifier les emails de phishing et spear phishing peut apprendre du comportement des utilisateurs et de ses propres erreurs pour faciliter la neutralisation. Voici comment fonctionne cette technique :

Neutralisation par les MSP : un email de phishing suspect contourne le filtre de messagerie et est signalé par un utilisateur final. Le MSP étudie la situation, et après avoir confirmé la menace, agit pour limiter l’impact de cet email sur l’entreprise. Grâce à Remediate pour Vade Secure pour Office 365, les MSP peuvent instantanément éliminer une menace des boîtes de plusieurs utilisateurs en quelques clics, que ce soit en supprimant le message ou en le déplaçant dans le dossier des spams d’Outlook. Les données sont transmises au produit, qui les utilise pour améliorer le moteur d’IA.

Neutralisation par les utilisateurs : un utilisateur reçoit un email indésirable et le signale à l’aide du bouton d’Outlook prévu à cet effet. Microsoft reçoit bien entendu cette information, mais Vade Secure également grâce à son intégration via les API natives d’Office 365. Les données issues des signalements des utilisateurs permettent d’améliorer le moteur d’IA et son processus de catégorisation des emails.

Neutralisation automatique : un moteur d’IA s’appuie sur les commentaires d’utilisateurs ou une visibilité en temps réel sur les menaces émergentes pour déterminer qu’un email de phishing ou de spear phishing a été remis dans une boîte aux lettres Outlook. Il recatégorise l’email et signale son action dans les journaux sans que le MSP n’ait à faire quoi que ce soit.

Mise en œuvre

La neutralisation automatique est une fonctionnalité de sécurité de l'email relativement nouvelle qui résout plusieurs problèmes rencontrés par les MSP. Auto-Remediate exploite les informations sur les menaces issues de 600 millions de boîtes aux lettres partout dans le monde et est proposée sans frais supplémentaires aux utilisateurs de Vade Secure pour Office 365. Cette fonctionnalité s’exécute en arrière-plan pour proposer une protection continue et automatique contre les menaces véhiculées par les emails tout en allégeant le fardeau des MSP, à qui elle est destinée.

Regardez cette vidéo de 2 minutes pour en savoir plus sur Auto-Remediate.

https://youtu.be/JI3O6cuIk9I