Depuis longtemps, les cyberattaques ciblées et intelligentes ont nettement surpassé les capacités des mécanismes de sécurité traditionnels. Pour se prémunir de telles attaques, les entreprises ont besoin d’un niveau de protection aussi sophistiqué que ces menaces. Or, LA solution idéale pour s’en protéger n’existe pas. C’est en s’appuyant sur la combinaison de plusieurs fonctionnalités de protection avancée, que les entreprises peuvent s’en prémunir. Benoit Trémolet, Directeur Général de Retarus France fait un tour d’horizon de ces services pour mieux comprendre leur fonctionnement et la façon dont ils contribuent à améliorer la sécurité des e-mails.
La majeure partie des communications électroniques que nous recevons sont des messages indésirables. Outre la quantité astronomique de spams et d’e-mails contenant des virus, les entreprises et leurs employés sont toujours plus exposés à des menaces complexes comme la manipulation (Social Engineering) ou des attaques par phishing ultrasophistiquées. Malheureusement, les systèmes de sécurité actuellement en place ne sont pas en mesure d’assurer un bon niveau de protection face à ces e-mails personnalisés. Les malwares ont cette faculté d’évoluer si rapidement que les services de protection anti-virus peinent à suivre, à identifier immédiatement le malware et à le filtrer correctement. Une fois dans la boîte mail d’un utilisateur, il peut facilement se propager à travers toute l’infrastructure IT. C’est ainsi que les entreprises font face à des vols ciblés de données, des extorsions d’identités, au blocage de leur matériel voire de toute leur infrastructure, les empêchant de réaliser leurs activités.
Des concepts de sécurité innovants à mettre en place
Pour assurer la meilleure protection des communications électroniques et s’armer contre les nouvelles menaces, les concepts de sécurité existants doivent être repensés et adaptés aux évolutions technologiques.
Il est pratiquement impossible de répondre à toutes ces exigences avec des systèmes exploités en interne. Les entreprises ont donc besoin d’une combinaison intelligente d’une protection préventive éprouvée contre les virus et d’approches novatrices pour réagir et analyser.
Pour assurer les niveaux de protection les plus élevés, les services de sécurité pour les e-mails proposent désormais toute une gamme de fonctionnalités en matière de protection des menaces qui peut également compléter les services d’emails cloud tels que Office 365 et la G Suite. Certains mécanismes de sécurité sophistiqués intègrent des fonctionnalités de scan différé, de Sandboxing, de protection contre les manipulations de type Social Engineering, de vérification des liens dans les e-mails et les pièces jointes, de contrôle après livraison des e-mails.
L’analyse avec réception retardée
Ce type de fonctionnalité permet d’effectuer une analyse complémentaire différée. Pour ce faire, le mail est retenu quelques minutes avant d’être livré au destinataire. Grâce à une nouvelle analyse plus en aval, les signatures de virus mises à jour peuvent être disponibles très rapidement même si elles n’avaient pas encore été déployées au moment de la vérification initiale, en particulier dans le cadre d’attaques impliquant de nouveaux logiciels malveillants.
Protection contre les menaces méconnues
Le Sandboxing a un rôle clé pour se prémunir contre les attaques Zero Day (vulnérabilités jusqu’ici méconnues). Inconnus, les fichiers suspects dans les pièces jointes sont vérifiés par les mécanismes de Sandboxing dans un environnement de test sécurisé avant d’être délivrés. Outre l’utilisation de procédures de simulation complexes pour soumettre les fichiers à un examen approfondi afin de déceler tout comportement potentiellement irrégulier, l’examen des fichiers s’appuie sur des résultats de tests et des mécanismes de machine learning connus et disponibles dans le monde entier.
En complément, certains services facilitent la prévention face aux nouveaux types d’attaques par hameçonnage et la perte de données sensibles qui en résulte. La technologie vérifie tous les liens contenus dans les courriels à la recherche d’adresses de destination soupçonnées d’activités d’hameçonnage. Cette fonctionnalité réécrit automatiquement tous les hyperliens contenus dans les courriels entrants (ce que l’on appelle la réécriture d’URL). Chaque fois qu’un destinataire clique sur un tel lien, le site Web qui se cache derrière est d’abord vérifié pour déterminer s’il peut être dangereux ou non. Si de nouvelles informations sur la fiabilité du site ont été mises à disposition entre-temps, l’accès au site peut être bloqué et l’utilisateur reçoit une alerte de sécurité.
Se prémunir contre les actes de manipulation
Il est également possible de se défendre contre des attaques de type « Social Engineering ». La fraude au président est une escroquerie dans laquelle des cybercriminels se font passer pour le directeur général d’une entreprise et envoient à leurs victimes un courriel leur demandant de transférer des sommes importantes pour une affaire urgente et confidentielle – par exemple, l’acquisition d’une entreprise. Afin de paraître digne de confiance, les expéditeurs du message recherchent à l’avance les noms et adresses électroniques des cadres supérieurs de l’entreprise et de toute personne qui pourrait avoir accès à des informations sensibles ou être autorisée à effectuer des paiements.
C’est là qu’interviennent des fonctionnalités permettant d’indiquer clairement dans le champ destinataire les messages entrants qui utilisent un domaine d’expéditeur qui ne fait que prétendre être celui de l’entreprise. Mieux encore, ce type de service identifie sans délai les fausses adresses d’expéditeurs et avertit les destinataires des emails. Ce type de service s’appuie sur une analyse très poussée de l’en-tête de l’email et sur un contrôle algorithmique permettant d’identifier les « From-Spoofing » et les « Domain-Spoofing ».
Protection des emails post-livraison
En matière de sécurité des emails, les entreprises sont mieux parées pour faire face aux menaces lorsqu’elles combinent la protection des menaces avancées avec des mécanismes innovants de protection post-livraison, car le fonctionnement des virus n’est souvent reconnu que lorsque le malware s’est déjà frayé un chemin dans l’infrastructure de l’entreprise via l’email. Grâce aux services post-livraison, les systèmes touchés peuvent rapidement être identifiés. A cette fin, une technologie brevetée existe pour générer une empreinte numérique de chaque pièce jointe et URL contenus dans un message lorsqu’un email arrive. Lorsqu’un malware est ensuite identifié dans une pièce jointe identique envoyée à un autre destinataire ou qu’une tentative de phishing est suspectée, tous les destinataires précédents de ces pièces jointes et de ces liens sont immédiatement informés ainsi que leurs administrateurs. Avec ce type de mécanisme, ces alertes sont générées automatiquement. Lorsque les scans de virus sont continuellement mis à jour, les administrateurs sont alors si rapidement alertés que les emails infectés n’ont pas l’opportunité d’être ouverts et peuvent être supprimés directement.
Tout avoir sous les yeux
Pour choisir un service de sécurité des e-mails, les entreprises doivent s’assurer qu’une large variété de fonctionnalités est disponible pour assurer des vérifications et des analyses poussées aussi bien avant qu’après la livraison des e-mails. Les administrateurs doivent pouvoir définir précisément quels sont les filtres et règles appliqués à chaque message et doivent avoir accès à des résultats détaillés en temps réel pour faciliter leurs analyses et recherches. Pour assurer une meilleure protection des réseaux en cas d’attaque future, les réglages des systèmes doivent pouvoir être adaptés en fonction des résultats de recherche.