Bien que les nouveaux modes d’échange de messages et de collaboration se multiplient, l’email reste le moyen le plus fréquent et le plus efficace pour communiquer dans le monde professionnel. En parallèle, IDC constate une montée en puissance de l’email dans le Cloud. En effet, les dépenses qui y sont consacrées sont passées de 22,9 % en 2013 à 68,4 % en 2018 (80,4 % aux États-Unis et 59,6 % en Europe de l’Ouest), Office 365 et Gmail étant les solutions les plus populaires. Cette hausse de l’adoption du Cloud entraîne toutefois une augmentation du nombre et de la sophistication des menaces véhiculées par les emails.
Dans le rapport IDC Analyst Connection « Email Security: Maintaining a High Bar When Moving to Office 365 », Konstantin Rychkov, directeur de recherche chez IDC European Security Solutions, dévoile comment l’adoption de l’email dans le Cloud transforme les menaces transmises par email. Il y explique également que de nouvelles mesures voient actuellement le jour pour renforcer les mécanismes de sécurité intégrés de Microsoft et protéger les comptes de messagerie Office 365.
Le phishing s’attaque au Cloud
Les emails constituent le premier vecteur des cybermenaces. D’après IDC, plus de 80 % des attaques commencent en effet par un email. Ce pourcentage englobe le phishing, qui représente l’attaque la plus fréquente. Parallèlement, le développement de l’email dans le Cloud a étendu la surface d’attaque exposée. Par exemple, un attaquant ayant récupéré les identifiants d’un compte Office 365 peut accéder à des millions d’autres comptes, qui ne sont pas nécessairement liés à la messagerie. En effet, Office 365 permet d’accéder à des référentiels de fichiers riches en données comme SharePoint et OneDrive, qui recèlent souvent des informations sensibles.
Les attaques basées sur l’usurpation s’accentuent. Comme le révèlent nos propres rapports sur le phishing, Microsoft est la marque la plus utilisée dans les attaques de phishing depuis trois trimestres consécutifs. Grâce à des copies parfaites des pages Web de Microsoft, les hackers parviennent à dérober les informations d’identification de comptes Office 365. Ils peuvent ensuite les utiliser pour lancer des attaques en plusieurs phases, et notamment se faire passer pour des cadres haut placés et demander des virements vers des banques à l’étranger. D’après la , ce type de fraude a récemment coûté pas moins de 45 millions de dollars à une entreprise américaine.
Renforcement de la sécurité native d’Office 365
Microsoft a fortement investi dans la sécurité d’Office 365. Sa solution Exchange Online Protection (EOP) permet ainsi d’éliminer les spams et de neutraliser les malwares connus. Certaines éditions d’Office 365 disposent même d’une fonction qui cherche à neutraliser les usurpations d’identité en s’appuyant sur une authentification composite (association des protocoles SPF, DKIM et DMARK).
Ces solutions de sécurité natives sont efficaces contre les menaces connues, mais les attaques toujours plus sophistiquées comme le spear phishing et l’ingénierie sociale imposent de les renforcer avec un niveau de protection supplémentaire.
Les passerelles de messagerie sécurisées actuelles sont impuissantes face aux hackers
De nombreuses entreprises choisissent de bloquer les menaces par email à l’aide d’une passerelle de messagerie sécurisée. Pour IDC, l’adoption rapide du Cloud met en difficulté le modèle binaire majoritairement utilisé par ce type de défense. Avec le Cloud, les contrôles des passerelles peuvent en effet être insuffisants ou au contraire trop stricts et générer trop de faux positifs.
Par ailleurs, les passerelles de messagerie sécurisées imposent de modifier les enregistrements MX (Mail Exchange). Incapables de s’intégrer efficacement à la sécurité native d’Office 365, elles rendent inefficaces les défenses basées sur la réputation, comme EOP. Par ailleurs, les passerelles ne peuvent pas analyser le trafic des emails internes aux entreprises. Elles sont également visibles par tous par l’intermédiaire d’une recherche d’enregistrement MX. Les hackers peuvent ainsi les identifier et les contourner en s’appuyant sur les caractéristiques connues de leur fournisseur.
Protection sans périmètre
La transition de l’email vers le Cloud transforme le périmètre des entreprises à tel point qu’on pourrait désormais discuter de la pertinence du concept même de périmètre. Pour autant, les équipes de sécurité doivent toujours assurer une telle protection. La visibilité est essentielle, tout comme la protection continue des emails et l’automatisation de la sécurité.
Ce dernier mécanisme est intéressant dans un environnement sans périmètre, car il permet d’accélérer la réaction aux incidents et la neutralisation des menaces. Il peut également faciliter les mises à jour dynamiques des règles. Les solutions de sécurité de l'email classiques n’ont jamais été douées pour l’automatisation, explique Konstantin Rychkov. Les faux négatifs, par exemple, sont courants et imposent d’ajouter des fonctions de détection et réaction supplémentaires qui doivent s’intégrer à l’ensemble de l’architecture de sécurité. Elles peuvent par exemple s’intégrer aux outils et workflows du Security Operations Center (SOC) ou SIEM. Ainsi, lorsque des menaces sont détectées, elles peuvent être incluses dans les processus mis à jour de réponse aux incidents.
Une protection toujours plus élevée
L’adoption de l’email dans le Cloud pousse les responsables informatiques à maintenir un niveau élevé de sécurité de l'email, en particulier pour Office 365. Les hackers redoublent d’inventivité pour pénétrer les réseaux des entreprises, notamment avec le spear phishing et l’ingénierie sociale.
Une fois qu’ils y sont parvenus, ils peuvent s’adonner à la fraude et à d’autres activités malveillantes sans courir le risque d’être détectés par les solutions de sécurité classiques. Pour renforcer la sécurité de l'email, il est nécessaire d’ajouter des niveaux de protection à l’EOP, un mécanisme de sécurité natif basé sur les profils. En faisant preuve de diligence et en intégrant ces protections à des workflows plus larges de détection des menaces et de réaction, il devient possible d’assurer une défense solide des comptes de messagerie dans le Cloud.
