L’état du monde en 2020 ne ressemble à rien de ce que nous ayons connu auparavant. La complexité de la vie et du travail en toute sécurité pendant l’épidémie de COVID-19 s’est répercutée sur le monde informatique alors que les menaces criminelles suivent les travailleurs chez eux. Les attaques à motivation financière contre les comptes de messagerie des travailleurs ne se sont multipliées que depuis le début de la pandémie.
Pourquoi les pirates et autres acteurs criminels se concentrent-ils sur le courrier électronique?
La connectivité des e-mails est le fil conducteur commun des organisations commerciales et à but non lucratif de toutes sortes. La nécessité de la communication par courrier électronique en fait le vecteur d’attaque le plus populaire contre la cybersécurité organisationnelle, à la fois à l’intérieur et à l’extérieur des organisations. Les attaques d’usurpation d’identité menacent les comptes de messagerie au sein des organisations et les attaques de phishing menacent l’intégrité de la marque en dehors des organisations. Les cybermenaces développent et testent constamment de nouvelles tactiques, techniques et procédures pour identifier et exploiter les faiblesses de la sécurité des e-mails.
La société de recherche Vanson Bourne a mené une enquête auprès de 1 025 responsables informatiques dans huit pays en février et mars 2020. Leurs répondants ont fait état de préoccupations accrues concernant la protection du domaine de messagerie. L’enquête a révélé que:
51% ont subi une attaque de ransomware au cours des 12 derniers mois.
58% avaient connu une augmentation des attaques de phishing.
60 pour cent avaient constaté une augmentation de la fraude par usurpation d’identité au cours de la dernière année.
60 pour cent ont eu des temps d’arrêt suite à une attaque qui s’est propagée de l’ordinateur infecté d’un employé aux ordinateurs d’autres employés.
77% avaient découvert des mots de passe faibles.
85% pensaient que les attaques par e-mail augmenteraient au cours de l’année à venir.
90 pour cent ont identifié des lacunes dans la formation des employés contre les attaques par courrier électronique.
Le pare-feu humain
Les attaques par e-mail peuvent perturber les communications au sein d’une organisation et avec ses clients. Pire encore, les attaques par e-mail peuvent infecter les ordinateurs des clients, non seulement en les supprimant des communications commerciales, mais en créant également une responsabilité judiciaire potentielle pour l’entreprise dont l’ordinateur a transmis la menace.
Environ 50% de toutes les attaques par e-mail impliquent une erreur des employés. Ces failles de sécurité ne se produisent que parce qu’un humain employé par l’entreprise attaquée commet une erreur évitable. Plus que tout autre progiciel, plus que DomainKeys Identified Mail (DKIM), plus que Sender Policy Framework (SPF) et plus que l’authentification, la création de rapports et la conformité des messages basés sur le domaine (DMARC), la formation des employés garantit la sécurité des e-mails.
La formation des employés est le «pare-feu humain», la dernière ligne de défense contre les cyberattaques. Mais l’enquête Vanson Bourne a révélé que seulement 21% des entreprises forment leurs employés à la sécurité des e-mails une fois par mois, et 17% consacrent seulement 15 minutes par an à l’utilisation des actifs des employés pour garantir la sécurité des e-mails. L’enquête a également révélé que les employés qui ne recevaient pas de formation mensuelle en cybersécurité étaient cinq fois plus susceptibles de cliquer sur un lien malveillant que ceux qui le faisaient.
Comment les entreprises qui reconnaissent le besoin de formation savent-elles que leurs programmes feront une différence? Les responsables informatiques de l’enquête nous disent qu’une formation efficace:
Une formation efficace en cybersécurité est inclusive. Tout le monde, du PDG à l’employé débutant travaillant le premier jour de travail, doit être conscient des menaces actuelles en matière de cybersécurité.
Une formation efficace en cybersécurité est engageante. Trop d’entreprises récitent des puces et s’attendent à ce que les employés les régurgitent pour un test à choix multiples afin de certifier la formation sur la protection des domaines de messagerie des employés. Les principes de cybersécurité ne doivent pas être limités à la salle de classe. Les principes de cybersécurité doivent être appliqués tout au long de la journée, tous les jours.
Une formation efficace en cybersécurité est mondiale. La formation traverse les cultures et les langues de l’entreprise. Chaque collaborateur est partie prenante de la cybersécurité.
Les services informatiques de l’entreprise n’ont pas à créer leur propre formation en cybersécurité. La formation à la cybersécurité est toujours une tâche appropriée pour l’externalisation. Les sous-traitants dédiés aux services de cybersécurité disposent de plus de ressources pour se tenir au courant des dernières menaces et d’une plus grande expérience en matière de diversité sur le lieu de travail. Mais la protection du domaine de messagerie nécessite plus qu’un simple pare-feu humain.
Alors, comment les entreprises peuvent-elles améliorer leur cybersécurité? Considérons plusieurs outils sous-utilisés.
Authentification, rapport et conformité des messages basés sur le domaine (DMARC)
L’authentification, le reporting et la conformité des messages basés sur le domaine, également connu sous le nom de DMARC, est un outil de validation des e-mails conçu pour exposer l’utilisation d’un domaine de messagerie sans autorisation. DMARC bloque en fin de compte la livraison des e-mails non identifiés. Du côté de l’expéditeur, ce système protège la chaîne d’approvisionnement et les clients en gardant un œil sur les e-mails envoyés au nom de l’entreprise. Côté destinataire, il protège les employés en détectant les expéditeurs frauduleux.
Les données d’enquête montrent que les responsables informatiques connaissent DMARC, mais que la plupart des entreprises ne l’utilisent pas. Seules 28% des entreprises interrogées ont déployé DMARC dans leurs programmes de cybersécurité.La raison pour laquelle si peu d’entreprises utilisent DMARC dans la protection des e-mails est que de nombreux cadres supérieurs ne réalisent pas ce qu’il fait vraiment.
Quelle est la mise en œuvre appropriée de DMARC?
DMARC protège les données. Les violations de données ont des implications quantifiables. Lorsqu’un système de messagerie est compromis, les ingénieurs logiciels peuvent estimer le nombre de clients concernés, la valeur en dollars des temps d’arrêt et des ventes perdues, le nombre d’heures rémunérées nécessaires pour remettre les systèmes de messagerie en marche.
Mais DMARC protège également les marques. Les clients évitent les fournisseurs ayant des problèmes de cybersécurité connus. Les e-mails de spoofing et de phishing reflètent mal leurs expéditeurs apparents et les employés qui les transfèrent. C’est le cas même lorsque l’entreprise propriétaire du domaine de messagerie est innocente de tout acte répréhensible intentionnel.
Les dommages aux données sont coûteux. Les dommages à la marque peuvent être catastrophiques. Le coût de la récupération des données peut n’aboutir qu’à un mauvais rapport trimestriel, mais la perte de valeur de la marque peut nuire à l’entreprise pendant des années. Les entreprises qui protègent leurs marques placent le budget de DMARC au moins partiellement dans les départements les plus intimement impliqués dans la sécurité des données.
Le problème n’est pas que les entreprises ne sont pas conscientes de la valeur des marques. Dans l’enquête sur la cybersécurité, 98% des entreprises interrogées ont déclaré disposer d’un budget pour la protection de la marque. Le problème qui se pose avec la cybersécurité est de savoir qui contrôle le budget de la cybersécurité. Si le budget de DMARC est géré par le directeur financier (CFO) ou le directeur juridique, l’entreprise risque de ne pas réagir assez rapidement aux cybermenaces. Le département informatique doit avoir au moins un partenariat avec d’autres fonctions exécutives dans la gestion des ressources pour DMARC.
Le service informatique doit disposer de ressources pour les menaces immédiates sur la cybersécurité. Le directeur financier peut gérer les risques à long terme pour l’entreprise et la budgétisation.
Pourquoi avons-nous besoin de DMARC? Ne sommes-nous pas déjà protégés par SPF, DKIM et Microsoft 365?
DMARC n’est pas le seul outil de protection du domaine de messagerie. De nombreuses organisations déploient SPF et DKIM ou s’appuient sur les fonctionnalités de Microsoft 365 pour la messagerie dans le cloud. Il y a des problèmes avec tous ces systèmes.
SPF (Sender Policy Framework) est un système qui récupère un enregistrement SPF associé au domaine de l’expéditeur et vérifie que l’adresse IP contenue dans l’enregistrement a été autorisée. Les e-mails d’expéditeurs non autorisés peuvent être marqués comme acceptés, marqués comme suspects ou rejetés, mais cette action dépend des informations contenues dans l’enregistrement SPF de l’expéditeur. DKIM (DomainKeys Identified Email) authentifie les messages avec une signature cryptographique à l’aide d’une clé accessible au public. Les e-mails sans signature vérifiée sont rejetés.
Le problème avec ces deux systèmes est qu’ils identifient des noms de domaine qui peuvent être différents du nom de domaine dans la ligne d’expéditeur. Un acteur de la menace peut implémenter SPF et DKIM pour un domaine malveillant et inclure un domaine approuvé dans la ligne d’expéditeur. En revanche, les messages légitimes peuvent être rejetés si SPF et DKIM ne sont pas correctement configurés.
DMARC a été créé pour surmonter ces problèmes.
Les systèmes de messagerie cloud sont également menacés d’attaque. Parmi les entreprises interrogées par Vason Bourne qui utilisent MicroSoft 365, près de 60% ont signalé une panne au cours de l’année écoulée. Il n’y a pas de continuité intégrée dans Microsoft pour couvrir les communications pendant une panne. Les e-mails envoyés à l’entreprise lors d’une panne sont perdus. Les vendeurs recourent naturellement à l’utilisation de comptes de messagerie privés pour maintenir le contact avec les clients, plaçant leurs e-mails en dehors des protocoles de protection. À une époque de pénuries et de perturbations de la chaîne d’approvisionnement, comme la pandémie actuelle de COVID-19, même de brèves interruptions de courrier électronique peuvent entraîner une perte d’activité importante ou des coûts supplémentaires.
Sept défis de cybersécurité pour les grandes et petites entreprises et comment les relever
L’essentiel pour la cybersécurité en 2020 est que les organisations de toutes tailles sont confrontées à des défis de sécurité toujours croissants dans au moins 10 catégories.
Le courrier électronique est la cible la plus probable des cyberattaques. La sécurité du domaine de messagerie sera un problème pour une majorité d’entreprises et d’organisations à but non lucratif cette année.
L’hameçonnage, l’usurpation d’identité, l’usurpation d’identité et d’autres compromis de courrier électronique professionnel ne feront qu’augmenter pendant le reste de 2020. Le Mimecast Threat Center a documenté une augmentation de 30% des usurpations d’identité au cours des quatre premiers mois de cette année seulement.
Les ransomwares ne disparaissent pas. La moitié de l’entreprise a subi trois jours ou plus d’indisponibilité en raison d’attaques de ransomwares en 2019.
Dans 60% des cyberattaques, le code malveillant se propage d’un employé à l’autre. Le fait de cliquer sur une mauvaise URL est la source la plus courante du problème.
MicroSoft 365 n’est pas suffisamment résilient pour une utilisation en toute sécurité sans mises à niveau informatiques. Et les employés affectés par les pannes de MicroSoft 365 doivent être constamment rappelés à ne pas utiliser de comptes de messagerie personnels.
La propriété du budget a un effet significatif sur la rapidité avec laquelle les organisations peuvent répondre à une attaque. Le service informatique de l’entreprise doit partager la propriété des ressources pour répondre aux violations de données.
Au-delà de la protection du domaine de messagerie, la protection de la marque est une frontière de sécurité que les entreprises ne peuvent plus se permettre d’ignorer. Les cyberattaques ont des conséquences au-delà de la perte de données. Ils affectent également la position sur le marché.
Le statu quo est une politique dangereuse en 2020. Les organisations de toutes tailles sont confrontées à plus de menaces pour la cybersécurité que jamais. Et le personnel informatique de l’entreprise est plus stressé que jamais alors qu’il tente de relever les défis de sécurité.
Telles sont les raisons pour lesquelles de plus en plus d’entreprises choisissent d’externaliser leurs fonctions de protection de domaine de messagerie. Le téléchargement de logiciels de sécurité ne suffit plus. Les entreprises de toutes tailles ont besoin de l’expertise dédiée d’experts en cybersécurité pour maintenir leurs communications opérationnelles afin qu’elles puissent se concentrer sur la preuve au monde qu’elles font toujours ce qu’elles peuvent faire de mieux.
