Alors que les entreprises plébiscitent les plateformes de messagerie dans le Cloud, essentiellement Office 365 et G Suite, un tel choix pose question en termes de sécurité, les services de sécurité proposés par leurs éditeurs étant encore considérés comme “perfectibles”.
A regarder la bataille de chiffres qui oppose Microsoft et Google, ce sont aujourd’hui des centaines de millions de boîtes aux lettres entreprises qui ont migré vers leurs services Cloud. Ce qui pose la question de la sécurité de solutions devenues stratégiques pour le fonctionnement des entreprises. Bien évidemment, Microsoft comme Google pointent les atouts de leurs solutions : “Google compte 1 milliard d’utilisateurs, et cette volumétrie nous donne des performances sur le plan de l’antispam bien supérieures, en termes de détection, qu’un éditeur de solutions de sécurité, de par la quantité d’informations traitées par nos algorithmes” argumente David Delong, responsable technico-commercial chez Google Cloud. Celui-ci souligne les atouts de l’offre G Suite sur la détection des spam et l’antiphishing : “Google est en capacité de détecter des campagnes d’attaques 5 heures avant que les éditeurs puissent diffuser des signatures de ces attaques.”
De son côté, Microsoft a musclé la sécurité d’Office 365 en dotant sa plateforme de capacités de sandboxing via l’option Office 365 Advanced Threat Protection (DAV), néanmoins les entreprises préfèrent toujours s’appuyer sur des solutions de sécurité tierces pour sécuriser ces services. Selon Radicati Group, ce marché était de l’ordre de 2 milliards de dollars en 2017, il dépassera 3,2 milliards de dollars en 2021. On y retrouve les éditeurs bien connus du monde de la cybersécurité comme Barracuda Networks, Cisco, Clearswift, Forcepoint, Fortinet, Kaspersky, Mimecast, Proofpoint, Retarus, SonicWall, Sophos, Symantec, Trend Micro, et Vade Secure.
Office 365 : une sécurité par API ou proxy ?
“Les infrastructures G Suite et Office 365 ne sont pas suffisantes pour bloquer des attaques avancées”, estime Charles Rami, responsable technico-commercial chez Proofpoint. “Beaucoup d’entreprises font le choix de mettre une solution de sécurité complémentaire de type Proofpoint Email protection afin de bloquer des menaces directement au niveau de la passerelle. La solution se place en tant que MX (enregistrement du serveur de messagerie au niveau DNS), les analyses via la technique du bac à sable, et ce n’est qu’une fois que les pièces jointes ou les URL incluses dans le message sont jugées inoffen-sives que celui-ci est relayé vers Google ou Microsoft Office 365.” Un autre type de protection est en train d’émerger, via les API d’Office 365. L’éditeur Vade Secure proposait cette année sur les Assises de la Sécurité une solution basée sur ces API : “Nous proposons désormais un produit dédié à Office 365 s’appuyant sur ses API, l’idée étant de ne plus avoir à rediriger les MX” explique Christophe Malapris, directeur commercial France de Vade Secure. Ce pure player français spécialisé dans la protection des messageries Microsoft propose une alternative à la sécurisation d’Office 365 : “Cette approche est totalement transparente pour les utilisateurs et vient compléter la sécurité native d’Office 365.” Outre cette simplicité pour les utilisateurs, les administrateurs n’ont plus à gérer l’indirection du MX et la solution permet de filtrer les flux entre collaborateurs de l’entreprise. Son rival Charles Rami, de Proofpoint, souligne : “L’inconvénient du mode API est d’être en mode réaction plutôt que d’agir en amont comme un proxy le fait en analysant le flux de données avant qu’il n’atteigne Office 365.”
« Nous proposons un produit dédié à Office 365 s’appuyant sur ses API, l’idée étant de ne plus avoir à rediriger les MX. »
Christophe Malapris, directeur commercial France de Vade Secure
Des solutions complémentaires pour des usages plus pointus
Si ces solutions permettent de monter le niveau de protection de l’ensemble des utilisateurs Office 365 / G Suite, la sécurité des données échangées sur les services d’acteurs soumis au Patriot Act pose question. Microsoft propose bien évidemment une infrastructure de chiffrement pour Office 365, mais il existe de nombreuses alternatives européennes et françaises pour chiffrer ces contenus. Prim’X propose une application cliente tandis que le géant français de la Défense, Thales, propose une solution qui est le fruit d’un partenariat entre le français et Microsoft. Sa solution de chiffrement, CYRIS for Outlook, est accessible directement sur la marketplace AppSource de Microsoft.
Autre piste, celle de l’éditeur Idecsi, bien connu pour la protection des emails des dirigeants. Le français propose une approche originale, celle de confier la sécurité des comptes VIP aux utilisateurs eux-mêmes. “Les utilisateurs sont capables de constater des malveillances sur leurs boîtes aux lettres et de les signaler” affirme Daniel Benabou, cofondateur et directeur général d’Idecsi.” Si vous prévenez l’utilisateur que quelqu’un a tenté de se connecter à sa boîte mail, il va se sentir concerné, il y a une motivation naturelle de chacun à vouloir protéger ses propres assets.”
Si l’externalisation des messageries d’entreprise vers le Cloud est plébiscitée par les entreprises, celles-ci souhaitent conserver un contrôle sur leurs solutions de protection.
« Un accès malveillant ?
Notre solution est de mettre l’utilisateur dans la boucle de détection du périmètre de sécurité. »
Daniel-Benabou, directeur général d’Idecsi
R&S Trusted Gate Solution
pour Office 365 et SharePoint
sécurise les données
Rohde & Schwarz Cybersecurity a lancé cette solution lors des Assises. Elle combine le chiffrement des données échangées et leur fragmentation, instantanée et transparente pour l’utilisateur.
L’utilisateur détermine sur quels serveurs ou fournisseurs de Cloud ses données d’origine ou « fragments » (chunks) sont stockés. Les documents dans Office 365 peuvent être partagés dans le Cloud public, tandis que les données restent totalement maîtrisées par le client.
« L’utilisateur reste propriétaire de ses clés de chiffrement, qui restent stockées dans ses propres instances », explique Géry de Francqueville, en charge du secteur Public en France chez l’éditeur.