Messagerie professionnelle : l'ultime terrain de jeu des cybercriminels
Avec plus de 300 milliards d'e-mails envoyés chaque jour en 2020 dans le monde, la messagerie est la caractéristique fondamentale de l'entreprise mais aussi le vecteur de menace numéro un.
Avec plus de 300 milliards d'e-mails reçus et envoyés chaque jour en 2020 dans le monde entier, l’email reste non seulement la caractéristique fondamentale de l'entreprise d’aujourd’hui mais aussi le vecteur de menace numéro un. Chaque jour, ils transmettent des demandes de paiement, des factures de la part de fournisseurs, des échanges avec des investisseurs et d'autres correspondances formelles et informelles en dehors du réseau sécurisé de l’entreprise, autant de terrains fertiles pour l'exploitation et la fraude par les cybercriminels.
Avec l’évolution du travail à distance, les entreprises ont modifié leur manière de fonctionner, se dirigeant de plus en plus vers l’adoption de solutions cloud. Conscients de cette évolution, les attaquants se sont eux aussi déplacés eux aussi vers le cloud, laissant les défenses basées sur l’infrastructure obsolètes.
Désormais, la plupart des menaces ne pénètrent pas dans les environnements protégés à partir de pare-feu violés et face à l'évolution du paysage, il devient évident que le modèle de sécurité consistant à défendre le périmètre ne fonctionne plus et qu'il est temps de changer.
Placer les individus au cœur du périmètre de défense
Les cybercriminels ont délaissé les infrastructures au profit des personnes et les chiffres en témoignent : plus de 99 % des cyberattaques actuelles requièrent une action humaine pour être déclenchées.
Avec les défis générés par l’évolution du travail hybride, une faible sensibilisation à la sécurité et un accès plus limité aux équipes informatiques, les escroqueries par phishing se sont orientées vers les employés vulnérables qui ont involontairement compromis l'accès et transmis des données critiques aux cybercriminels. Les cybercriminels utilisent ces attaques d'ingénierie sociale qui incitent les employés à ouvrir un document malveillant, à cliquer sur un lien frauduleux, à saisir leurs informations d'identification ou même à exécuter des demandes telles que le transfert d'argent.
Attaques par compromission d’e-mails professionnels (BEC), par ransomware ou bien phishing, ces menaces ont toutes en commun le facteur humain. Pour se défendre contre ces attaques par email à caractère humain, il est nécessaire d’adopter un nouveau modèle de cybersécurité protégeant non seulement les process, les technologies utilisées mais aussi particulièrement les individus.
Pour y faire face, voici cinq étapes à mettre en place pour une stratégie de sécurité globale axée sur les personnes.
Étape 1 : Garder une visibilité sur les menaces
Pour défendre efficacement une organisation contre les attaques par email, il est primordial de comprendre les menaces auxquelles elle est confrontée. Une veille robuste sur les menaces, capable de détecter l'ensemble des e-mails malveillants, est une première étape importante, mais elle ne suffit pas. Il faut également mettre en œuvre une solution capable de corréler et d'analyser les données sur les menaces, en révélant qui est ciblé, qui est l’auteur de l’attaque et quelles informations sont susceptibles d’être volées.
Étape 2 : Maintenir le contrôle des e-mails et l'analyse de leur contenu
En matière de sécurité des e-mails, il est essentiel de garder le contrôle sur l’ensemble des messages qui pénètrent dans l’environnement. La solution définie doit offrir une classification granulaire qui ne se contente pas de rechercher les spams ou les logiciels malveillants, mais identifie également tous les types distincts d'e-mails (malveillants ou non) ciblant les employés.
Il peut s'agir d’e-mails en masse, de phishings, de vols d’identifiants, d'attaques BEC, de contenu pour adultes, etc. L’outil de classification doit inclure des fonctionnalités avancées de sandboxing qui peuvent analyser chaque pièce jointe et chaque URL en temps réel lorsqu'ils arrivent dans la passerelle web sécurisée.
Étape 3 : Authentifier les e-mails
Les e-mails phishing sortants ciblant les clients et les partenaires en dehors de la passerelle web sécurisée présentent également des risques sérieux pour les entreprises. L'authentification des e-mails, et plus particulièrement la mise en place du protocole DMARC (domain-based message authentication reporting and conformance), est la solution à ce type de menaces. DMARC garantit que les e-mails légitimes sont correctement authentifiés et bloquent toute activité frauduleuse.
Étape 4 : Prévenir la perte de données
Beaucoup de choses peuvent être mises en place pour empêcher l’arrivée des menaces. Mais il est également primordial d’empêcher les données sensibles d’être dérobées. Une stratégie efficace de sécurité de la messagerie électronique permet de se préparer à toutes les menaces qui passent à travers les défenses instaurées, ainsi que les employés qui exposent des données sensibles par inadvertance. La solution doit combiner le chiffrement et la prévention des pertes de données (DLP) afin que les informations sensibles, même si elles sont exposées ou exfiltrées, soient toujours protégées.
Étape 5 : Répondre aux menaces en temps réel
Aucune solution de sécurité ne peut arrêter toutes les attaques. La réponse en temps réel aux menaces doit être un pilier de la stratégie de sécurité des e-mails. La méfiance est de rigueur pour tout fournisseur de solutions de sécurité des e-mails qui prétend pouvoir se prémunir de toutes les menaces. Si une telle solution était sur le marché aujourd'hui, les violations de données et la fraude par email feraient partie du passé.
Il est primordial de connaître les menaces qui pèsent sur son entreprise, d’identifier les points faibles et d’élaborer une défense contre les menaces par email qui offre une protection dans les cinq domaines clés du cycle de vie des menaces par email : visibilité, contrôle et analyse du contenu, authentification, prévention des pertes de données et réponse. En bref, la meilleure défense reste la compréhension et la préparation.