Office 365 dans la ligne de mire des cybercriminels

1

Cela n’aura échappé à personne, les environnements numériques des entreprises ne cessent d’évoluer. Une nouvelle génération de solutions plus intuitives, ergonomiques et performantes séduit les entreprises en quête de transformation digitale et de compétitivité.

Avec Office 365, Microsoft offre aujourd’hui un package complet incluant aussi bien la suite bureautique, qu’un service de stockage en ligne, en passant par un outil de gestion collaborative. Peuvent également être ajoutés d’autres outils à l’instar d’un outil de téléphonie VOIP.

Ces outils totalement dédiés à l’efficience et à la collaboration connaissent un boom depuis 2007. Malheureusement, les attaquants ne sont jamais loin surtout quand il s’agit de s’en prendre aux leaders du marché. Plus de comptes à pirater et donc davantage de gains financiers en perspective.

Un niveau de protection renforcé mais insuffisant

Aux fonctionnalités précédemment décrites, s’ajoute dans la solution Office 365 une couche d’authentification centralisée permettant de se connecter de manière transparente à toutes ses applications préférées, de son compte Airbnb, à son application Uber ou encore à sa console de jeu Xbox. Cela signifie qu’avec une paire d’identifiants, l’utilisateur est en mesure de se connecter à toutes ses applications.

La morale de l’histoire est très simple : si un attaquant parvient à subtiliser les identifiants d’un utilisateur, il décroche alors le Saint Graal. Le vol des identifiants lui permettra non seulement d’accéder à l’univers numérique de l’utilisateur mais également aux données de l’entreprise. Le challenge est alors posé pour les attaquants et c’est un festival. Depuis juin 2016 se sont succédées pléthore d’attaques allant d’attaques par phishing aux ransomware. En juin 2016, une vague de ransomware appelé « Cerber » a frappé les utilisateurs d’Office 365. 57% des utilisateurs auraient reçu un email contenant ce ransomware.

Un point commun ? Le vecteur d’attaque est bien souvent le même : le mail. 91% des cyber-attaques utilisent l’e-mail comme vecteur d’infection. L’erreur serait de penser que les nouveaux usages autour des messageries instantanées allaient changer la donne, c’est plutôt l’inverse qui se produit. D’après une étude de Radicati, le mail reste le moyen de communication préféré dans le monde largement devant les autres.

Le niveau de protection doit être adapté aux plateformes Cloud et aux nouvelles menaces : les recommandations du Gartner

Si la firme Microsoft a misé sur l’utilisateur et ses usages avec Office 365, elle n’en a pas pour autant négligé la sécurité. A dire vrai, le Gartner estime même qu’une solution Cloud permet aujourd’hui d’être mieux protégé qu’avec une solution interne (« on-premise »). Ce constat vient du fait que la plateforme cloud gère les montées de versions et les potentielles failles de sécurité au travers de ses équipes dédiées en interne. C’est ainsi un gain de temps et de ressource pour les entreprises ainsi qu’une diminution de ses risques. En effet, bien que de nombreuses solutions de sécurité de l’email soient disponibles aujourd’hui et que la plupart protègent efficacement contre la majorité des menaces, elles ne sont pas pour autant dénuées de failles.

La difficulté de la protection des emails réside dans le caractère évolutif des menaces. Les solutions classiques se concentrent souvent sur l’origine des menaces (réputation des adresses IP), ainsi que sur leur contenu. Cependant, les cybercriminels ont mis au point des mécanismes de social engineering avec la création de scénarios d’attaques complexes et réalistes basées sur les données réelles diffusées par les salariés sur les réseaux sociaux. Ces mécanismes d’attaques se déploient en vagues brèves et de faibles volumes, dans le but de tester la capacité du filtre de protection à détecter l’attaque, caractéristiques qui les rendent bien plus difficiles à détecter. De plus en plus sophistiquées, elles contournent ainsi les mécanismes de protection de la messagerie basés sur des signatures et la réputation. Les attaques sont devenues agiles et intelligentes.

C’est la raison qui invite aujourd’hui les analystes du Gartner à conseiller l’adoption d’une stratégie plus efficace en cybersécurité en complétant cette offre par des outils de sécurité tiers, intégré à l’écosystème Office 365, en particulier pour la protection et le contrôle des emails : « Nous recommandons de combler les lacunes des fonctions de protection des emails des passerelles de protection en leur adjoignant un produit d’évaluation du contexte de la menace… »

Le recours à des API pour renforcer la sécurité de Office 365

Vous l’aurez compris, les analystes du Gartner conseillent de diversifier son panel de solutions et de faire appel à des outils spécialisés non-Microsoft pour maintenir la sécurité. Selon eux, en 2020, 50 % des organisations qui utilisent Office en mode SaaS (Software-as-a-Service) renforceront la sécurité avec des outils provenant d’éditeurs tiers.

Plutôt que de se contenter de protéger le cloud de l’éditeur, ils préconisent davantage de déployer des capacités d’antispam, de scan des malwares et de sandboxing pour appliquer ainsi une protection proactive.

Recommandations d’autant plus simples à mettre en œuvre que Microsoft propose des API permettant une intégration simplifiée à la plateforme avec des fonctionnalités complémentaires. Bien utilisées, ces API permettent aux solutions tierces de fonctionner de façon transparente pour l’utilisateur au sein la solution Office 365, sans coupure de flux de l’email et sans diffusion de données de détection hors de la plateforme Microsoft Azure. Des fonctionnalités de protection des données (Enterprise Data Protection ou « EDP ») et de lutte contre des attaques ciblées type « Advanced Threat Protection » permettent de bloquer les attaques les plus sophistiquées et de filtrer les flux entrants, sortants, et intra entreprise. En effet, 95% des intrusions sur le réseau des entreprises sont le résultat d’une campagne de spear phishing, selon le SANS Institute.

De plus, ces solutions basées sur des algorithmes d’intelligence artificielle permettent d’identifier et de bloquer les menaces encore inconnues appelée attaque 0day ou attaque 0hours.

Basé sur une connaissance du trafic email à l’international, ces technologies ont la capacité d’anticiper une attaque en Europe, vue précédemment en Asie.

En se basant sur le comportement et le contexte de l’échange, les algorithmes d’intelligence artificielle ont la capacité de s’adapter et d’adopter un filtrage prédictif en bloquant par exemple une IP ou un bloc d’adresses, et en créant automatiquement des règles temporaires.

Share.

About Author

Evangéliste technologique Vade Secure

Leave A Reply