/, Office365, Performance de l’entreprise/Protéger l’email pour sécuriser Office 365, les conseils du Gartner

Protéger l’email pour sécuriser Office 365, les conseils du Gartner

Malgré la présence d’outils de sécurité Microsoft dans Office 365, les analystes du Gartner conseillent d’adopter une stratégie plus efficace de cybersécurité en complétant cette offre par des outils tiers, en particulier pour la protection et le contrôle des emails.  Voici quelques recommandations pour sécuriser Office 365 de manière optimale.

En novembre 2017, Microsoft publiait enfin à l’occasion de son Patch Tuesday un correctif pour combler une faille sur Office et Office 365. Elle était liée à un reliquat de code datant de 2000, que l’éditeur conservait pour assurer la rétrocompatibilité des documents. Le monde tremblait rétrospectivement de la présence d’une telle faille, une paranoïa s’installait à l’idée que des pirates s’en emparent pour décupler leurs menaces, et Microsoft rappelait que même ses produits les plus récents pouvaient présenter des risques. Et cela malgré les efforts consentis par l’éditeur pour continuer encore et toujours d’améliorer la sécurité.

Le casse-tête de la sécurité d’Office 365

L’étude « How to Enhance the Security of Office 365 » du Gartner, publiée fin 2017, au-delà du constat des améliorations apportées par Microsoft à la sécurité d’Office 365, a fait le point sur « les opportunités d’améliorations futures avec des outils tiers » de la suite bureautique. Le premier constat réalisé par les analystes vient confirmer qu’une solution dans le cloud est mieux protégée que sa version locale, les capacités natives de sécurité vont même bien au-delà. Mais elles ne sont certainement pas suffisantes pour se protéger contre les menaces qui ne cessent de se multiplier. Et qui s’attaquent également aux périphériques issus du cloud, de la mobilité et des nouveaux usages du numérique !

L’enrichissement de la suite Office 365 avec des modules applicatifs toujours plus nombreux – Office, Exchange, Sharepoint, Skype, OneDrive, Project, OneNote, Power BI, Teams, Yammer, etc. – pourrait laisser penser que les attaques vont se déporter vers ces composants qui se révèlent porteurs de risques. C’est en théorie vrai, sauf qu’il faut intégrer une autre dimension dans notre vision de la sécurité d’Office 365 : la valeur d’usage. Concrètement, un module mal protégé mais peu exploité présentera moins de risques qu’un module bien protégé mais très utilisé…

Les outils de sécurité de Microsoft ne suffisent pas à sécuriser Office 365…

Selon une autre étude du Gartner, « How to Work With (or Compete Against) Microsoft Office 365 », les usages des utilisateurs d’Office 365 se concentrent sur deux briques : Office 365 ProPlus, l’héritière de la suite bureautique Office ; et surtout et en priorité Exchange/Outlook qui domine largement la valeur d’usage. Ce qui se traduit très simplement par l’email qui reste le premier usage d’Office 365 et inévitablement le premier vecteur support des menaces !

Les travaux menés par Microsoft sur la sécurité d’Office 365, accompagnés d’outils dédiés à la cybersécurité, pourraient laisser croire que la solution pour protéger les utilisateurs de la suite bureautique est disponible chez l’éditeur. Mais devant l’explosion des menaces et les conséquences dramatiques des attaques sur les entreprises – en 2016, la CCI Occitanie a révélé qu’à court terme 60 % des PME impactées par les cyberattaques mettent la clé sous la porte ! – les analystes du Gartner conseillent de faire appel à des outils non-Microsoft pour maintenir la sécurité. Et l’éditeur lui-même ne s’y oppose pas. En 2020, 50 % des organisations qui utilisent Office en mode SaaS (Software-as-a-Service) renforceront la sécurité avec des outils provenant d’éditeurs tiers.

Téléchargez : "How to Enhance Security of Office 365

Protéger les messageries, protéger et se protéger des emails

Le Gartner a décliné sa vision de la protection des applications et services proposés en SaaS, à l’image d’Office 365 disponible dans le cloud, sous la forme d’un framework de sécurité, le ‘Gartner Framework for SaaS Security Controls’, qui a le mérite de proposer une vision globale de la sécurité, des accès et des menaces. On constate (voir ci-dessous) que la protection contre les menaces supportées par les emails (spam et malware) figure au premier rang des préconisations des analystes. Les contrôles de sécurité internes de Microsoft sur son cloud peuvent être considérés comme suffisants pour protéger ses abonnés les uns des autres. Par contre, les analystes du Gartner préconisent moins de protéger le cloud de l’éditeur que de déployer des capacités d’antispam et de scan des malwares, ainsi que de sandboxing pour appliquer une protection proactive.

Tableau Gartner Protection Office 365

 

Les analystes invitent à étudier la pertinence des protections et des fonctionnalités de sécurité des données sur la plateforme Office 365 en fonction de la tolérance au risque, des exigences de conformité, et des exigences de stockage et de transmission de contenu. L’idée est de doser la protection en fonction de la sensibilité de l’entreprise et des données aux cyberattaques. Peut-on cependant considérer qu’une protection anti-malware et anti-spam reposant sur des listes d’expéditeurs autorisés ou bloqués à l’échelle de l’entreprise, comme le propose EOP (Exchange Online Protection) intégré de base à Office 365, est suffisante ? Le Gartner rappelle que les attaquant sophistiqués trouveront le moyen de contourner ces défenses. De plus, Microsoft n’offre aucun SLA pour les pièces jointes sécurisées…

Substituer un service d’hygiène de messagerie tiers

Voilà pourquoi pour la protection des messageries et des emails, et constatant que certains de ses clients signalent ‘systématiquement’ leur insatisfaction sur les solutions de sécurité EOP et ATP de Microsoft, les analystes du Gartner conseillent l’usage d’outils tiers, plus larges, performants et rapides que les mécanismes de l’éditeur. Et qui de plus peuvent contrecarrer certaines attaques particulièrement dangereuses en analysant et en réagissant à la menace et à l’urgence suspectes dans le texte du message lui-même.

Microsoft propose plusieurs outils complémentaires, payants, issus de son catalogue applicatif. Mais peut-on se contenter de ‘doser la protection’ quand l’intégrité des messageries reste menacée par les limites d’usage de produits labellisés Microsoft ? En matière de cybersécurité, protéger sa messagerie, principal vecteur des menaces et des attaques qui pèsent sur l’entreprise, ne peut se satisfaire d’à-peu-près. Les analystes du Gartner l’ont bien compris, qui, si l’offre Microsoft ne convient pas, invitent les organisations à « Substituez un service d’hygiène de messagerie tiers ». Conseil qui prend toute sa dimension si l’entreprise utilise plusieurs applications SaaS. Car le monde du logiciel ne s’arrête pas à Microsoft…

Pour en savoir plus, téléchargez l'étude Gartner "Enhance security of Office 365"

2018-05-24T15:22:00+00:00

À propos de l'auteur : Sébastien Gest

Fort d'une expérience dans le monde des télécoms et dans celui des startups, co-board member au MAAWG, Sébastien Gest est Évangéliste technique chez Vade Secure.