Lutte contre le phishing : 8 conseils pour les MSP
Adrien Gendre
—21 avril 2022
—5 min de lecture

Fournisseurs de services managés (MSP) et clients ont du mal à faire de la cybersécurité une priorité. En effet, les investissements dans ce domaine sont souvent perçus comme des coûts irrécupérables ou des primes d’une assurance qui ne sera jamais activée. Pourtant, une cybersécurité bien pensée peut se transformer en source de revenus pour les MSP. En effet, année après année, le phishing continue de faire plus de victimes que tout autre type d’attaque. En proposant des services anti-phishing efficaces pour les entreprises, vous pouvez donc renforcer utilement votre offre de sécurité.
Pour vous aider à mettre en place de tels services tout en donnant un coup de fouet aux résultats de votre entreprise, suivez les 8 conseils ci-dessous.
-
1. Assurez-vous que vos outils anti-phishing sont faciles à configurer
Bien souvent, les outils de cybersécurité doivent être configurés avec minutie pour fonctionner correctement dans l’environnement du client. Pire encore, une fois cette configuration effectuée, vous devez vous assurer que le reste de l’environnement fonctionne encore, puis procéder à des ajustements réguliers toutes les semaines ou tous les 15 jours.
Les erreurs de configuration sont souvent la source des violations de sécurité, raison pour laquelle des vérifications régulières sont cruciales. Et c’est bien pour cela que les outils très complexes et proposant une multitude d’options de configuration peuvent poser problème aux MSP. Si vous avez suffisamment de temps pour consacrer du temps à cette tâche, n’hésitez pas à leur confier la cybersécurité de vos clients. Mais autant vous le dire : vous finirez inévitablement par avoir besoin de l’heure que vous y consacrez tous les 15 jours pour faire autre chose.
À long terme, plus une solution est simple à déployer et à configurer, moins sa configuration se dégradera avec le temps. Vos clients resteront donc protégés plus longtemps.
-
2. N’optez pour une passerelle de messagerie sécurisée que dans des situations bien précises
Pendant des années, les SEG, ou passerelles de messagerie sécurisées, ont dominé le marché des outils anti-phishing. D’ailleurs, elles restent très utiles dans certains cas, notamment pour les environnements de messagerie sur site.
Toutefois, les organisations mettent de plus en plus souvent ces environnements de côté au profit de l’évolutivité, de l’agilité et de la disponibilité du cloud. Or, dans ce type de configuration, les passerelles sont obsolètes. Les MSP devant assurer la protection d’environnements Microsoft 365 doivent donc éviter les solutions basées sur des passerelles, et ce pour plusieurs raisons :
- Les passerelles s’appuient sur la signature des malwares et des listes noires d’adresses IP et de domaines pour identifier les menaces. Elles sont ainsi capables de repérer les menaces connues, mais s’avèrent peu ou pas efficaces contre les menaces inconnues.
- Elles imposent de modifier les enregistrements MX et sont donc parfaitement visibles par les hackers, qui peuvent alors déterminer comment les contourner.
- Elles demandent une maintenance importante : mises à jour des enregistrements MX, gestion de la quarantaine et surveillance continue des menaces.
-
3. Justifiez le coût de votre prestation en communiquant de manière proactive
Une fois que vous aurez trouvé la solution qui vous convient, la tentation sera grande de vous contenter de survoler les rapports et de confirmer que l’outil intercepte bien les emails de phishing et de spam pour consacrer plus de temps aux autres facettes de votre service.
Mais en procédant ainsi, vous invisibilisez votre travail pour le client. Veillez à programmer des bilans trimestriels au cours desquels vous dévoilerez le nombre de menaces interceptées, les mesures préventives que vous avez prises et les projets que vous envisagez.
Par ailleurs, si vous constatez que votre client ou l’un de ses employés fait face à un nombre inhabituel de tentatives de phishing, alertez-le. En effet, si un email de phishing parvient à atteindre sa boîte de réception, la réputation de votre service en sera entachée. En étant le premier à évoquer l’afflux de tentatives de phishing, vous le préviendrez des menaces qui pèsent sur lui, mais pourrez aussi lui proposer des formations et informations sur la gestion du phishing. De plus, vous prouvez au passage que vous protégez votre client contre une menace active.
-
4. La formation de sensibilisation au phishing est incontournable
C’est un point qu’il peut être difficile de faire comprendre à vos clients, mais il est pourtant central dans votre stratégie globale de services de cybersécurité. L’humain est le maillon faible de tout système de défense. La formation de sensibilisation au phishing réduit le taux de clics sur les emails de phishing, renforce l’adoption de bonnes pratiques de sécurité, mais constitue aussi un aspect proactif et visible de votre offre de sécurité. Qui plus est, certains outils automatisent cet aspect, ce qui permet aux MSP de gagner du temps lorsqu’ils doivent former l’ensemble de leurs clients.
-
5. Optez pour une solution anti-phishing qui simplifie la remédiation
La cybersécurité est une discipline en constante évolution. Année après année, les hackers font preuve de plus de sophistication... tout comme les logiciels de protection. Le problème, c’est que ces progrès ne se font pas au même rythme, et qu’aucun outil n’est donc parfait. Les hackers auront toujours un moyen de passer entre les mailles du filet et faire aboutir une attaque potentiellement dévastatrice.
Dans ce type de situation, mieux vaut pouvoir analyser l’attaque et y répondre rapidement. De nombreuses solutions anti-phishing forcent les MSP à passer un temps non négligeable à rechercher les menaces par email et y remédier. Pire encore, si un email malveillant est remis à plusieurs clients, vous devrez ce répéter ce processus pour chaque tenant. Optez pour une solution anti-phishing qui remédiera automatiquement aux menaces et vous permettra de répéter cette action pour tous les tenants.
-
6. Ne vous laissez pas imposer une solution par le client
Une fois que vous avez identifié l’outil anti-phishing idéal, ne vous laissez pas convaincre par votre client d’en choisir un autre. La normalisation de votre portefeuille de cybersécurité est cruciale pour offrir une protection optimale à vos clients tout en préservant vos marges.
En effet, si vous sélectionnez une solution spécifique pour un client, vous devrez prendre le temps de vous former à cette solution, vérifier si elle peut s’intégrer au reste de vos outils et consacrer du temps à bâtir cette intégration. Enfin, vous devrez également réserver du temps au contrôle de cette solution et de ses problèmes particuliers. Toutes ces opérations représentent au final un temps conséquent, temps que vous auriez pu consacrer à la génération de revenus.
De plus, vous ne deviendrez pas expert sur cette solution du jour au lendemain. Le temps que vous la maîtrisiez, vous n’en proposerez sans doute pas une implémentation optimale à votre client, et lui ferez donc potentiellement courir un risque.
-
7. Ne refusez pas tout de go un client qui souhaite une solution différente de celle que vous avez choisie
Personne n’a envie de refuser un contrat sans y être contraint. Si un client vous présente une liste d’exigences en matière de cybersécurité et une liste de fournisseurs et d’outils qu’il préférerait voir utilisés dans son environnement, sachez que vous pouvez peut-être le convaincre d’opter pour votre portefeuille standardisé.
Expliquez-lui que la palette d’outils que vous recommandez sera plus économique. Si vous pouvez l’aider à passer d’un environnement qui n’est que partiellement compatible avec vos outils à un environnement qui l’est totalement, offrez-lui les conseils et le support dont il aura besoin pour effectuer cette transition. Expliquez-lui pourquoi vous avez choisi les outils que vous lui proposez.
La gestion d’une entreprise n’a rien d’évident, en particulier si vous vous êtes lancé en tant que MSP par amour de l’administration des systèmes plutôt que par esprit d’entrepreneuriat. Mais sachez qu’avec un peu de créativité et de communication, vous parviendrez à avancer, même avec les prospects qui préféreraient garder les outils et environnements auxquels ils sont habitués.
-
8. N’oubliez jamais qu’aucune solution n’est permanente
La cybersécurité en général et le phishing en particulier sont des domaines très dynamiques. Des bouleversements viennent régulièrement rebattre les cartes au sein des entreprises et donc les modes d’attaque de ces entreprises par les hackers. Il suffit de prendre l’exemple des passerelles de messagerie sécurisées pour s’en convaincre.
Ce dynamisme a deux conséquences : tout d’abord, vous devez évaluer en continu l’efficacité de l’outil anti-phishing que vous choisissez. Ensuite, vous devez vous assurer que l’éditeur de l’outil que vous avez choisi promet un développement continu et des mises à jour, et qu’il communique sur ces sujets.
Vous étudiez les outils anti-phishing du marché et vous demandez comment optimiser ce service pour vos clients ? N’hésitez pas à demander des démonstrations pour déterminer si ces outils sont compatibles avec les conseils donnés dans cet article.