Alors que bon nombre d’entreprises françaises font basculer leur messagerie dans le Cloud, les responsables de la sécurité informatique doivent à la fois garantir la confidentialité des échanges et contrer les attaques des hacks pour qui l’email reste le point d’entrée privilégié.
Les chiffres publiés par Symantec dans l’édition 2016 de son rapport ISTR montrent que la menace informatique qui pèse, tant sur les internautes que les entreprises, n’a jamais été aussi élevée. Une nouvelle fois, le nombre de menaces a explosé en 2015. L’éditeur a recensé plus de 1,2 million de menaces créées chaque jour dans le monde. “Les attaques zero-day sont en constante augmentation et les méga-brèches, c’est-à-dire les attaques qui ont entraîné le vol d’au moins 10 millions d’identités est en forte augmentation” commente Hervé Doreau, directeur technique France de Symantec.
L’antivirus tel qu’il a été imaginé à la fin des années 90 est bel et bien mort. Les éditeurs de solutions de protection doivent innover pour contrer la créativité des attaquants. Ainsi, avec la version 14 de Symantec Endpoint Protection, Symantec ajoute deux nouveaux moteurs à ceux antiviraux, heuristiques, de réputation et comportementaux de son offre de protection. Le Machine Learning permet d’identifier le code malicieux avant l’exécution d’un logiciel tandis que le module GEM (Generic Exploit Mitigation) exerce la sécurité des exécutables en inspectant l’utilisation de la mémoire et des API du système d’exploitation.
Etendre la sécurité offerte par Office 365, un impératif
En parallèle à cette évolution, bon nombre d’entreprises basculent leurs messageries électroniques dans le Cloud. Cette externalisation pose de nombreuses questions en termes de confidentialité des données et ne résout pas le problème des attaques menées via la messagerie. Charles Rami, responsable des ventes Europe chez Proofpoint, souligne : “ Office 365 est une très bonne solution de messagerie mais pose un certain nombre d’enjeux du point de vue sécurité. Attaques au président, ransomwares et URL malicieuses, aujourd’hui aucun éditeur de solution de sécurité ne peut affirmer être capable de bloquer 100% des menaces.” La solution de protection de messagerie Proofpoint a été choisie par le groupe Colas pour muscler la protection de sa messagerie Office 365. Matthieu Vandenweghe, responsable productivité et innovation du Groupe Colas, la présentait lors des Assises de la sécurité 2016 : “Nous avons migré environ 25 000 boîtes aux lettre sous Office 365 début 2012, mais nos utilisateurs se plaignaient de recevoir de plus en plus de spams. Nous constations beaucoup de tentatives d’usurpation d’identité avec des gens qui se faisaient passer pour des dirigeants du groupe.” De plus, comme dans beaucoup d’entreprises, de nombreux employés recevaient des cryptolockers non détectés par les antivirus, car non présents dans leurs bases de signatures.
Quelle confidentialité des données avec une messagerie Cloud ?
La question de la confidentialité sur les messageries Cloud s’est posée à Engie lorsque la direction générale du groupe de Gérard Mestrallet a lancé le programme ENSEMBLE. “Notre direction générale a souhaité doter le groupe de moyens de communication et de collaboration avec Office 365” explique Pierre-Antoine Falaux-Bachelot, lead-architect de l’infrastructure d’Engie : “Nous avons fait le choix du système de gestion d’identité Okta. Les utilisateurs bénéficient ainsi du SSO pour accéder à Office 365. Le 4 janvier 2016, 100 000 personnes avaient accès à l’intranet de l’entreprise.” Assurer la confidentialité des données sur une plateforme ultra-collaborative telle que Yammer ou SharePoint a demandé un gros travail de la part du service de sécurité IT du groupe. Les documents classés “internes” sont librement publiables sur Yammer et SharePoint, tandis que les documents “confidentiels”, limités à SharePoint ne sont accessibles que via double authentification. Les documents “secrets” sont pour leur part systématiquement chiffrés.
Ce n’est qu’au prix de la mise en œuvre de ces multiples solutions de sécurité que l’on peut espérer sécuriser une messagerie, fusse-t-elle on-premise ou dans le Cloud.
Partages d’expérience
Matthieu Vandenweghe,
responsable productivité et innovation du Groupe Colas
“Le niveau de sécurité apporté par Office 365 n’est pas suffisant au niveau des spams”
“En 2015, avant d’avoir mis en place la solution Proofpoint, nous avons passé une fin d’année assez difficile avec des attaques régulières de cryptolockers. C’était usant pour les équipes et nous avions toujours l’épée de Damoclès au-dessus de la tête. Nous avons mené avec Proofpoint un POC (Proof of Concept) auprès de 200 utilisateurs et aucun de ceux-ci n’a reçu de cryptolocker dans sa boîte. Et les antivirus que nous avions installés sur les postes afin de filtrer les messages qui avaient pu traverser la sécurité d’Office 365 n’ont plus généré aucune alerte. 100% des messages frauduleux étaient bloqués en amont.”
Hervé Doreau,
directeur technique France de Symantec
“Le Machine Learning nous permet de déterminer si un fichier est porteur d’un code malicieux dès la phase de pré-exécution d’un logiciel. Le Machine Learning est un terme déjà un peu galvaudé, mais l’important, c’est la base d’apprentissage disponible afin d’entraîner l’algorithme. Sur ce plan, la force de Symantec, c’est son Global Intelligence Network, avec 7 milliards de fichiers référencés.”
Laurent Gentil,
responsable des ventes et services professionnels chez Sophos
“Les outils qui fonctionnent à partir de bases de signatures et à base d’heuristique ne répondent clairement plus aux besoins de sécurité du poste client. Notre nouvelle solution Intercept X répond à ce besoin en retournant la problématique : contrairement à l’agent qui va fonctionner en mode réactif, il fonctionne de manière proactive. Il utilise les différentes façons d’exploiter les vulnérabilités et failles des applications et OS. Il utilise ainsi 24 techniques différentes, ce qui correspond à des milliers d’“exploit” et centaines de millions de codes malveillants.”
Jérôme Cuvilliez,
consultant Corporate IT Security chez Engie
“Mettre en place de la sécurité sur Office 365 demande un certain changement de mentalité”
“Chez Engie, nous avons 3 niveaux de classification des informations : les niveaux interne, restreint et secret. Les documents internes peuvent être communiqués sur SharePoint et le Yammer d’Engie, tandis que les documents classés “restreints” sont sécurisés avec Okta pour faire du MFA (Multi-Factor Authentication). Les documents classés “secrets” doivent pour leur part être chiffrés pour que seules les personnes qui doivent y accéder puissent les déchiffrer. Nous avons choisi de mettre en place le chiffrement RMS (Rights Management services) de Microsoft, qui, d’un point de vue ergonomique, est parfaitement intégré à SharePoint.”