Les compromissions d’e-mails comptent parmi les problèmes les plus coûteux de la cybersécurité. L’année dernière, les entreprises ont perdu plus de 2,7 milliards de dollars du fait de la fraude par e-mail. Cette situation va-t-elle vraiment perdurer, malgré les outils et les ressources dont disposent les responsables de la sécurité ?
Ce sont bien les RSSI qui, dans leur grande majorité, assurent la sécurité de l’e-mail. Cependant, il reste un problème à résoudre, un vrai sujet tabou. Ils restent bien trop souvent pris au dépourvu par ce problème. Par manque de visibilité : les RSSI ne savent pas si la sécurité de leurs e-mails fonctionne réellement et, le cas échéant, dans quelle mesure.
Lorsqu’on leur demande de déterminer si leur niveau actuel de sécurité des e-mails offre un niveau de protection adéquat, de nombreux RSSI n’ont tout simplement pas de réponse. Lors d’une conversation récente, un RSSI m’a dit : « Je ne suis pas en mesure de dire si nous avons un problème avec les e-mails ou pas »
Ils ne connaissent pas, la plupart du temps, le nombre de liens dangereux sur lesquels les utilisateurs ont cliqué. Ils ne savent pas si le nombre d’e-mails de phishing qui leur parviennent augmente ou diminue. Et ils ne cherchent pas à améliorer les règles autour de la mise en quarantaine ou de la libération des e-mails. Même si environ 90 % des cyberattaques ont pour origine un e-mail, ce dernier reste considéré comme une boîte noire.
Pourquoi les RSSI ne prennent-ils pas conscience des risques liés aux e-mails ?
Même si les RSSI peuvent automatiser 99 % de la gestion de la sécurité des e-mails, en confiant à l’automatisation les tâches les plus lourdes, 1 % du travail demeure impossible à automatiser. Or, c’est à ce 1 % que les RSSI et les professionnels de la cybersécurité accordent peu d’attention.
Les RSSI ont souvent l’impression qu’avec certains produits, comme Microsoft Office 365, l’e-mail est automatiquement sécurisé ou « suffisamment sécurisé ». Cependant, à moins qu’un RSSI ne dispose d’une équipe qui gère attentivement le service (décortique les journaux, travaille avec les tableaux de bord et examine minutieusement le trafic d’entrée), le niveau de la menace des e-mails reste difficile à cerner.
Est-ce que certains RSSI perdent de vue les risques associés à la sécurité de l’e-mail ? Probablement. Les fournisseurs de sécurité cloud sont-ils supposés gérer le risque e-mail à la place des responsables de la sécurité ? Probablement.
Pourquoi, dans ce cas, les risques liés à l’e-mail sont-ils marginalisés ?
Mais il existe une autre réalité : la sécurité des e-mails n’est tout simplement pas un sujet d’actualité. Car le sujet n’a rien de sexy. Les responsables de la cybersécurité n’ont aucune envie de s’embourber dans cette ancestrale thématique. D’autres thèmes aussi essentiels et bien plus modernes accaparent leur attention tels que l’orchestration des DevSecOps et du cloud.
En outre, étant donné que l’e-mail existe depuis de nombreuses décennies, certains experts en sécurité sous-estiment toujours à quel point une menace par e-mail peut être dangereuse et pernicieuse. Pour eux, un e-mail n’est pas vraiment une menace grave, assortie d’un niveau de risque élevé. Le problème n’est pas l’e-mail en lui-même mais le comportement de l’utilisateur qui va le lire.
En outre, les RSSI qui s’efforcent de se prémunir contre les menaces par e-mail ne disposent pas toujours des données dont ils auraient besoin dans les tableaux de bord à leur disposition, ou ne disposent pas de rapports offrant une vue d’ensemble des indicateurs de menace par e-mail. Dès lors, certains ont du mal à comprendre ce qu’est exactement la menace par e-mail et comment elle s’articule. Certains responsables de la sécurité ne réalisent l’ampleur de la menace qu’une fois l’attaque déjà en cours et les e-mails malveillants déjà reçus et lus par les collaborateurs de leur entreprise.
Comment une sécurisation adéquate des e-mails permet de réduire les coûts
Les RSSI doivent également comprendre le niveau de dépenses indirectes qu’implique une sécurité inadéquate des e-mails, ce qu’elle coûte à l’entreprise et quel est le risque encouru. Par exemple, dans ma précédente entreprise, mes équipes chargées des opérations de sécurité consacraient 30 à 40 % de leur temps à la gestion des e-mails.
C’est énorme. Absolument énorme. Pour une entreprise qui gère ses activités de contrôle en interne, cela représente une quantité de temps considérable.
Comment renforcer la sécurité des e-mails ?
Tout d’abord, automatiser la sécurité des e-mails autant que possible est essentiel. Les RSSI doivent s’appuyer sur des technologies préventives vraiment solides pour automatiser et éliminer la plupart des risques.
Ensuite, ils doivent s’assurer que les solutions mises en œuvre renforcent réellement ce qui est proposé par les fournisseurs de sécurité dans le cloud, comme Microsoft (O365) ou Google (Gmail).
Par ailleurs, ils doivent disposer de solutions « inline » placées entre le serveur mail et le monde internet, avant qu’une menace ne puisse entrer ou sortir. De telles solutions « inline » évitent que des règles malveillantes ne déplacent les e-mails avant qu’ils ne soient lus, cachant ainsi une compromission de compte. Elles empêchent également les utilisateurs d’accéder à des sites Web frauduleux qui imitent parfaitement des sites Web réels.
Bien évidemment, il existe aussi de nombreux référentiels listant les meilleures pratiques en matière de sécurité de l’e-mail et de passerelles de sécurité e-mail. Le NIST, par exemple, propose un tel document. Mais n’oublions jamais que les bonnes pratiques ne sont que des conseils… Ni des solutions, ni des obligations. Elles n’exemptent pas les responsables d’actions, de discernement et d’adaptation.
Enfin, je me demande souvent dans quelle mesure les RSSI connaissent vraiment ce qu’ils achètent. Si les responsables de la sécurité achètent par exemple au même fournisseur un logiciel de messagerie et une solution de sécurité pour les e-mails, ne devraient-ils pas plutôt opter pour un fournisseur de messagerie sécurisée ? Ou se demander s’il n’est pas temps d’adopter une approche à plusieurs niveaux de la sécurité des e-mails ?
Que faire d’autre pour renforcer la sécurité de l’e-mail ?
À chaque conférence, tous les professionnels de la sécurité font de la sécurité des e-mails une priorité absolue. Mais je n’ai trouvé aucune entreprise qui, selon moi, s’en occupe correctement.
Il suffit d’un seul e-mail malveillant pour mettre à mal toute une entreprise. Un seul e-mail malveillant peut coûter à une entreprise quatre ou cinq millions de dollars en frais de correction des menaces, de remédiation et de justice, simplement parce qu’un de ses employés aura cliqué sur cet e-mail.
Évitez que les menaces n’atteignent les boîtes de réception des utilisateurs. Adoptez une sécurité qui bloque ce que les couches de sécurité par défaut ne parviennent pas à bloquer. Développez et démontrez votre expertise en mesurant les menaces, en mettant en place des métriques parlantes, en présentant vos résultats à la direction et au conseil d’administration. Et continuez sans cesse à optimiser votre architecture de prévention des menaces liées aux e-mails.
____________________________
Par Deryck Mitchelson, Field CISO EMEA, Check Point Software Technologies.