La messagerie, un actif absolument critique dans la sécurité du SI

Si Microsoft 365 est la plateforme de communication de nombreuses entreprises, l'actualité récente montre qu'elle est régulièrement l'objet d'attaques. En juillet dernier, une vaste attaque par déni de service (DDoS) a été menée contre Azure et Microsoft 365. Si Microsoft l'a bien évidemment contré, les accès aux différents services ont été perturbés, notamment Outlook.

Plus dangereuses pour les entreprises, des attaques de phishing sont régulièrement menées à l'encontre des utilisateurs de Microsoft 365. En mai 2024, le Bureau d'Investigation Criminelle de Rhénanie-du-Nord-Westphalie avertissait les entreprises allemandes d'une vague d'attaques. En fin d'année 2024, la plateforme de Phishing as a Service FlowerStorm a commencé à être mise en oeuvre par les attaquants. Celle-ci est notamment capable d'intercepter les cookies de session des comptes Microsoft 365 et ainsi se connecter à un compte sans identifiant...

Rami Ketata - Senior Microsoft 365 Consultant chez Cheops Technology

Face à ce risque croissant, Microsoft n'active Microsoft Defender qu'à partir de son offre Business Premium à 20,60 € (HT) par utilisateur et par mois. Google se montre plus généreux et intègre l'anti-hameçonnage et l'antispam à tous ses forfaits Workspace.
Pour Rami Ketata, Senior Microsoft 365 Consultant chez Cheops Technology, ces fonctionnalités de sécurité natives à Microsoft 365 simplifient grandement le déploiement et la gestion de sa sécurité : « Avec Microsoft Entra ID (anciennement Azure AD), on trouve un ensemble de fonctionnalités avancées de gestion des identités et des accès, facilitant la gestion des utilisateurs et des permissions. Avec les étiquettes de confidentialité et les politiques de protection des données, on sécurise les données sensibles et on assure la conformité. »

L'expert pointe toutefois les limites de l'approche : « Certaines fonctionnalités avancées peuvent entraîner des coûts supplémentaires, ce qui peut être un facteur limitant pour certaines organisations. D'autre part, la mise en oeuvre et la gestion des fonctionnalités de sécurité peuvent être complexes, nécessitant une expertise technique et une compréhension approfondie des paramètres et des configurations. »

Si Microsoft investit massivement dans la cybersécurité depuis quelques années, beaucoup de DSI ne veulent pas mettre tous leurs oeufs dans le même panier et optent pour des solutions complémentaires pour sécuriser leur plateforme de messagerie. Ainsi, les "pure players" de la lutte anti-spam sont toujours sollicités pour compléter le service délivré par Microsoft.

Jérémy Philippe, chargé de clientèle chez Altospam explique cette démarche chez ses clients : « Nous sommes un "pure player" sur la protection des boites email et spécialisés sur les messages francophones. Nous avons déployé 26 technologies de filtrage antispam et anti-phishing, avec de l'ordre de 7000 règles en place. Cette expérience de 23 ans nous permet de nous démarquer de nos concurrents qui travaillent sur des messages anglophones. Cela nous permet d'afficher un meilleur taux de détection sur les messages en français. » En outre, cet acteur de niche peut se targuer d'une offre intégralement souveraine, avec l'intégralité des données traitées en France et des équipes localisées en France.

1 Le modèle plateforme s'impose dans la protection eMail

Outre ces acteurs de niche, les entreprises semblent privilégier les approches plateformes avec de multiples fonctions de sécurité concentrées chez un seul acteur Cloud. Adrien Gendre, Chief Product Officer chez Hornetsecurity, (qui a racheté Vade début 2024 et récemment Altospam ) souligne : « Disposer de tous les outils intégrés au sein d'une seule plateforme, avec un seul environnement, c'est très important pour l'expérience. Il y a la protection email, la formation des utilisateurs et tous les aspects de protection et sauvegarde des données. » La protection s'étend à toute la galaxie Microsoft. A Teams notamment via une solution de gestion des permissions, Permission Manager, et des offres liées à la conformité avec du DLP, Data Loss Prevention.

Cette stratégie peut être comparée à celle de Mimecast, nouveau venu en France, qui propose sur sa plateforme de la défense contre le phishing, les malware, les attaques BEC (Business Email Compromise) avancées ou encore les QR code. Ces protections sont assorties d'un service de sauvegarde des messages ou encore de l'évaluation du risque humain.

Sébastien Weber, vice-président France de Mimecast estime qu'il est indispensable de privilégier l'ouverture : « Il est nécessaire d'avoir une vision à 360° de tout ce qui se passe sur la messagerie, sur Teams, sur Slack... Si la plateforme détecte qu'un collaborateur se fait attaquer par une campagne de phishing, il faut être capable d'alerter le XDR pour placer son poste sous surveillance étroite, vérifier avec le CASB les accès réalisés depuis son poste. »

Mimecast travaille avec ses partenaires technologiques, tels que SentinelOne, CrowdStrike, Zscaler ou Netscope pour mettre en place ce type d'interactions. « Nous avons aujourd'hui 150 API ouvertes avec des solutions tierces. L'idée est d'approcher les clients non pas avec des approches singulières, mais des approches architecturales, c'est-à-dire réfléchir à la façon dont on peut augmenter ensemble la posture de sécurité de nos clients. »

2 Les LLM utilisés tant en attaque qu'en défense...

Les experts estiment que l'IA et plus particulièrement l'essor des LLM a permis aux attaquants d'améliorer la qualité de leurs messages de phishing. Elle aurait même entraîné l'accroissement des attaques au Japon, les attaquants disposant enfin d'un outil pour générer des messages crédibles en langue japonaise...
L'IA générative a donc compliqué la tâche des éditeurs sur le volet détection, mais elle est aussi un outil de défense sur plusieurs plans. Les modèles d'IA sont utilisés depuis une dizaine d'années pour analyser le contenu des messages, mais aussi leur affichage via des algorithmes de reconnaissance visuelle.

Avec les LLM, l'analyse prend une toute autre dimension : « L'IA analyse le contenu du message pour détecter des tentatives d'usurpation d'identité » explique Sébastien Weber, vice-président France de Mimecast. « Détecter un message où l'on parle de virer de l'argent sur un compte est très facile, mais avec l'IA, on cherche à repérer les messages illégitimes en caractérisant la teneur de l'email. Souvent, les emails de phishing intègrent un élément émotionnel, un élément d'urgence et une tentative de changement de médias pour pousser la victime à cliquer. » précise-t-il.
En effectuant une détection de sentiment à partir du contenu de l'email, l'algorithme peut déjouer une attaque de "spear phishing" rédigé sur mesure par l'attaquant pour convaincre sa cible de cliquer en intégrant des éléments personnels ou professionnels très précis.

3 L'Humain, un facteur clé dans la sécurisation de la messagerie

Classé leader du marché des solutions de protection eMail dans le dernier Magic Quadrant du Gartner dédié à la protection des messageries, Proofpoint met particulièrement l'accent sur le volet humain. « Au-delà des solutions de sécurisation de la messagerie elle-même, nous nous efforçons d'intégrer tous les aspects humains de cette protection » confie Xavier Daspre, Directeur Technique France de Proofpoint. « Nous disposons depuis assez longtemps d'une offre sur la sensibilisation. Il est possible d'identifier les fameux cliqueurs, ceux qui regardent à peine le contenu du mail et qui vont rapidement cliquer sur l'URL qui est présente dedans. On peut ainsi vérifier si celles-ci ont récemment passé les différentes formations que l'on leur avait demandé de passer, si elles ont réussi ou échoué dans les campagnes de phishing qui leur ont été proposées. » Cette information permet de renforcer les actions de formation et d'incitation à la prudence.

C'est plus particulièrement vrai lorsqu'il s'agit de « Very Attack People », des personnes plus particulièrement visées et dont le taux de clic est plus élevé que celui de ses collègues. Xavier Daspre conclut : « Au lieu de dire que l'humain est le maillon faible, il faut essayer d'en faire la première frontière du système d'information».

Addy Sharma - Cloud Security Architect chez Securigeek

3 piliers. pour sécuriser Microsoft 365

Addy Sharma, Cloud Security Architect chez Securigeek

« Il y a 3 piliers de sécurité incontournables à la sécurité de Microsoft 365 : D'une part, lors du déploiement, un tenant mal configuré constitue une cible majeure pour les attaquants. Il faut activer MFA ainsi que les accès conditionnels, classifier/étiqueter les données, former les employés sur le phishing.

Un autre point clé porte sur le choix du forfait Microsoft 365 car cela va déterminer les capacités de sécurité. L'option Business Premium inclut Defender for Endpoint et DLP de base. Les forfaits E3 et E5 ajoutent l'offre eDiscovery, un stockage illimité et une conformité avancée.

Enfin, il faut déployer des solutions complémentaires, car les protections natives (EOP, DLP) ne bloquent pas toutes les menaces. Jusqu'à 20% des messages de phishing contournent EOP. Il faut s'intéresser aux solutions de sécurité email tierce de Sandboxing, de BEC, mettre en place des sauvegardes pour contrer les ransomwares et un DLP étendu pour un contrôle plus granulaire.

Pierre Gautier de Lahaut * - Responsable cybersécurité/Sécurité des Systèmes d'Information chez Dynames Global Security

Adopter une bonne hygiène informatique

Pierre Gautier De Lahaut -Responsable cybersécurité/Sécurité des Systèmes d'Information chez Dynames Global Security

« L'adoption d'une bonne hygiène numérique de base pour tous les collaborateurs et dirigeants d'une entreprise ainsi qu'une bonne sensibilisation devrait être la première mesure de sécurité.

Avant même d'évoquer des mesures de sécurité techniques, il me paraît absolument fondamental d'enseigner cette hygiène aux collaborateurs et aux dirigeants. Il faut les sensibiliser aux réflexes de protection de leurs données dans leur vie privée et dans le cadre de leur fonction. L'un ne va pas sans l'autre.

Le rôle des solutions de sécurité est important, on n'imagine pas certaines entreprises ou administrations sensibles sans protections extrêmement solides, mais ces solutions ne font pas tout. Pour ce qui est des PME, avant même de songer à déployer un EDR par exemple, qui est un excellent outil, il est nécessaire de mettre en place cette hygiène informatique, de s'appuyer sur les guides de l'ANSSI pour mettre en place les mesures de sécurité basiques et les faire adopter par l'ensemble de l'entreprise.

80 à 90% des menaces sont initiées par une attaque de phishing, donc une erreur humaine, un collaborateur qui clique sur un lien sur lequel il n'aurait pas dû cliquer ou partager des informations qu'il n'aurait pas dû partager. Les meilleures technologies ne peuvent pas éviter certaines erreurs humaines. »

* Auteur du livre "24 heures dans une vie (pas si) privée"

Rami Ketata - Senior Microsoft 365 Consultant chez Cheops Technology

Sécuriser Microsoft 365 avec le MFA

Rami Ketata - Senior Microsoft 365 Consultant chez Cheops Technology

« Pour sécuriser efficacement Microsoft 365, la priorité avant tout est d'implémenter l'authentification multifacteur. Cela vient renforcer la sécurité des connexions tout en supposant que toutes les connexions sont potentiellement compromises vu la montée exponentielle des attaques cyber de nos jours. Aussi, il est important de mettre en place l'accès privilégié juste-à-temps. Cette approche permet de fournir des privilèges administratifs uniquement lorsque cela est nécessaire et pour une durée limitée. Cette approche Zero Trust réduit le risque associé aux comptes administratifs toujours actifs.

Finalement, il faut. une surveillance continue du Microsoft Secure Score qui propose des actions spécifiques pour améliorer la sécurité et qui couvrent divers aspects comme l'identité, les appareils, les applications et les données. »