Comment protéger efficacement Office 365 ? La question n’a jamais été autant d’actualité. La dernière édition de notre classement « Phishers’Favorite » désigne Microsoft comme la première entreprise exposée aux attaques de phishing. Avec 2,3 fois plus d’URL de phishing détectées au 4e trimestre 2018, la firme de Redmond reste loin devant Netflix ou encore Paypal. La rançon de la gloire : dans l’un de ses derniers rapports d’activité, Microsoft revendique notamment 155 millions d’utilisateurs actifs sur Office 365, avec une croissance mensuelle qui dépasse les 3 millions.

Il faut dire que pour convaincre de nouveaux utilisateurs, Office 365 ne manque pas d’arguments. Résumons ses points forts :

  • Office 365, c’est aujourd’hui une suite collaborative complète : outils bureautiques (Word, Excel, PowerPoint), messagerie (Outlook), collaboration (SharePoint, Teams), tout y est.
  • Office 365 fonctionne aussi bien depuis des logiciels installés sur les postes des utilisateurs que dans le cloud.
  • Microsoft décline aussi ses outils sur mobile avec des apps dont l’ergonomie a sensiblement progressé ces derniers mois.
  • Le système de messagerie s’appuie sur Microsoft Exchange ce qui apporte une grande souplesse dans toutes les tâches de collaboration (synchronisation d’agendas, visioconférence, partage de ressources…).
  • Les administrateurs ont la possibilité depuis une interface dédiée à la sécurité de passer en revue les grands volets de la sécurité : définition de stratégies de mot de passe, gestion du cycle de vie des données sensibles, visualisation des flux de messages et des alertes, lesquelles peuvent donner lieu à des notifications. Bref, des identités à l’infrastructure en passant par les données, l’éditeur propose une tour de contrôle.

Dans la pratique, cette tour de contrôle souffre toutefois de plusieurs angles morts. Et l’actualité en témoigne régulièrement. Fin 2017, Microsoft publiait ainsi à l’occasion de son Patch Tuesday un correctif pour combler une faille sur Office et Office 365. Elle était liée à un reliquat de code datant de… 2000. Vu l’ampleur du code à maintenir, Microsoft concède que même des produits récents peuvent présenter des failles.

Début 2018, c’est une autre menace spécifique à l’environnement Office 365 qui défraie la chronique : « ShurL0ckr », plateforme « Ransomware as a Service » cible et infecte les espaces de stockage collaboratifs OneDrive (Office 365) chiffrant les données présentes. Surtout, elle se révèle indétectable aux filtres anti-malware d’Office 365. Des attaques sournoises qui peuvent dérober des mots de passe, des portefeuilles Bitcoin, des clés de logiciels, lancer des attaques par déni de service, et bien plus encore.

Identifiants Office 365 : des pépites pour les hackers

De plus en plus sophistiquées et difficiles à détecter, elles invitent par exemple leurs futures victimes à ouvrir un document vérolé contenu dans un fichier ZIP et placé en pièce jointe, ou à cliquer sur un lien corrompu. Une seule attaque réussie peut avoir un impact considérable sur l’entreprise, et encore plus dans un environnement centralisé et collaboratif comme Office 365. Rappelons que selon le rapport annuel de cybersécurité de Cisco les fichiers Office sont les plus utilisés pour véhiculer des codes malicieux.

Cet intérêt des hackers pour l’environnement Office s’explique : les identifiants Office 365 présentent en effet une grande valeur car ils ouvrent l’accès à l’ensemble des applications – et des données ! – hébergées. Même au sein d’une large organisation, il devient possible avec une poignée d’identifiants d’émettre des emails de spear phishing (ou fraude au président) aux collègues ou partenaires commerciaux des utilisateurs piratés. Et ces attaques s’appuyant sur des comptes légitimes, des solutions de sécurité classiques ont peu de chance de les détecter.

Ce type de scénarios illustre les principales faiblesses d’Office 365 :

  • Office 365 propose 2 niveaux d’options de sécurité de l’email appelés « Exchange Online Protection » et « Advanced Threat Protection » pour un niveau de protection dans la moyenne basse du marché, selon une étude SE Labs « Email-hosted protection » réalisée en août 2017.
  • Cette même étude constate un haut niveau de faux positifs sur les solutions de protection proposées.
  • Les systèmes de protection proposés, et notamment Microsoft Exchange Online Protection (EOP), ne détectent pas les attaques avancées de phishing et de spear phishing.
  • Même si Microsoft sait se montrer réactif pour contrer de nouvelles menaces, comme ce fut le cas avec le Ransomware Cerber, quelques heures de non-protection suffisent pour mettre en péril le patrimoine informationnel de l’entreprise.
  • Du fait des technologies utilisées, les solutions de protection proposées garantissent une efficacité contre toutes les menaces connues. Mais… qu’en est-il des menaces nouvelles qui contournent les systèmes de sécurité existants ?

Faut-il en déduire qu’une offre cloud telle qu’Office 365 est moins fiable qu’une solution installée sur site ? Non, une solution dans le cloud est mieux protégée que sa version locale, les capacités natives de sécurité vont même bien au-delà. Mais elles ne sont pas suffisantes.

Comprendre Pourquoi Office 365 est la cible des  Hackers Suivre le webinaire à la demande

 

Face aux nouvelles menaces, cap sur l’IA

Voilà pourquoi, les analystes du Gartner conseillent de faire appel à des outils non-Microsoft pour maintenir la sécurité. D’ici à 2020, Gartner estime d’ailleurs que 50 % des organisations qui utilisent Office en mode SaaS (Software-as-a-Service) renforceront la sécurité avec des outils provenant d’éditeurs tiers. Le cabinet a d’ailleurs formalisé un framework de sécurité, le « Gartner Framework for SaaS Security Controls », qui donne une vision globale des sujets de sécurité à traiter. La protection de la messagerie contre les différentes menaces (spam, malware, ransomware, phishing) figure en bonne place dans ce framework.

Face à ces menaces, une certitude : les technologies classiques de protection des emails, basées sur l’analyse de la réputation, de signatures connues et sur la prise d’empreintes, ne sont plus efficientes. Sécuriser efficacement Office 365 impose aujourd’hui de se préparer à l’inconnu. Autrement dit, les organisations ont tout intérêt à se doter de solutions capables d’anticiper de façon prédictive les nouvelles attaques.

SC Magazine : Attaques à phases multiples: la cyber-attaque qui peut assommer votre entreprise

Bonne nouvelle : les technologies existent, qui permettent de rendre aujourd’hui ces prédictions pleinement opérationnelles. Le recours à des méthodes heuristiques et à l’intelligence artificielle, notamment aux algorithmes de machine learning, font franchir un saut qualitatif en matière de protection. Les entreprises y gagnent une protection temps réel contre les menaces encore inconnues. Et le moyen de profiter d’un environnement collaboratif comme Office 365 sans craindre le pire.