Les attaques de phishing ou de spear phishing sont à l’origine de 93 % des violations de sécurité des réseaux.

Ceci traduit bien la nécessité de sécurisation des mails. 

Selon Vade Secure, plus de 80 % des emails  malveillants ont diffusé des ransomwares et des chevaux de Troie bancaires qui sont les programmes malveillants les plus distribués.

Attaques de phishing, de spear phishing (1), ransomware, malwares, sont toutes en forte progression et touchent toutes les activités économiques, militaires et civiles.

Peu d’activités sont à l’abri. Mais les banques demeurent des cibles de choix notamment pour des attaques de spear phishing pouvant entraîner des vols d’informations stratégiques, des données à caractère personnel : informations bancaires, avec, notamment, numéro de carte de crédit.

Le secteur commercial pour la clientèle privée n’est pas épargné : vol massif d’informations grâce à des actions de phishing plus classiques, ou escroquerie à l’achat afin de voler de la marchandise grâce à des attaques passant par mail.

Pour les secteurs technologiques où l’information numérique représente de lourds  investissements  le spear phishing (1)  dans une logique d’espionnage industriel, peut avoir des conséquences particulièrement coûteuses :

Les concurrents peuvent avoir accès à des informations confidentielles relatives à la propriété intellectuelle reposant sur de nombreuses années de développement et des millions d’investissement.

Les industries de défense peuvent être également victimes d’espionnage industriel : les entreprises de défense sont les cibles fréquentes de services de cyberguerre de puissances étrangères.

Dans le domaine de la santé, les établissements de soins de santé sont tenus de respecter des règles strictes et sont exposés à de sévères sanctions financières et juridiques en cas de violations des données par un tiers compte tenu du caractère sensible des données médicales personnelles.

Réduire les risques passe d’abord par de bonnes pratiques

Comme l’ANSSI, l’autorité de référence et de contrôle, le rappelle souvent, quelques bonnes pratiques et réflexes sont nécessaires à faire adopter aux employés des entreprises.

-         Vérifier les noms et adresses email des expéditeurs afin d’éviter une « attaque homoglyphe » (à l’aide d’une police de caractère dont les formes rappellent celles d’une autre)

Vérifier si l’expéditeur n’est pas celui qu’il prétend et vérifier d’abord l’adresse email et voir si elle ne contient pas de piège (une lettre de plus, un « i » transformé en « l », nom de domaine légèrement modifié ou autre piège)

Il y a lieu de s’assurer que le mail correspond aux habitudes de l’expéditeur, et, si des liens sont présents, une vérification préalable auprès de l’expéditeur supposé s’impose.

-         Les pièces jointes sont des nids à virus et autres programmes malveillants. L’entreprise doit donc avoir des antivirus activés et bien évidemment à jour.

-         Les demandes d’informations confidentielles, lorsqu’elles sont légitimes, ne sont jamais faites par courriel (mots de passe, code PIN, coordonnées bancaires de l’entreprise, etc.).

En cas de doute, il est préférable de demander à son correspondant légitime de confirmer sa demande car il se peut que ce soit une tentative de phishing.

-         Vérifier l’architecture des liens, et la langue employée, les fautes éventuelles.

En passant la souris sur du lien proposé, l’on peut repérer s’il pointe bien vers l’adresse du site annoncée dans le message. Si l’adresse est différente il faut  éviter de cliquer sur le lien.

De manière générale, il est préférable de saisir manuellement l’adresse dans le navigateur.

-         Paramétrer correctement les messageries professionnelles

Sur le plan technique, il est important de mettre en place des mécanismes de protections.

Les solutions de messagerie professionnelles du, notamment la suite Office 365 particulièrement prisée des grandes entreprises  ont fortement revu à la hausse leurs exigences de sécurité. Mais les solutions natives de ces solutions ne suffisent pas.

Gartner a d’ailleurs mis en garde sur le sentiment de sécurité que peuvent avoir les utilisateurs sur la solution Office 365, en recommandant de se doter de systèmes de protection spécialisés complémentaires.

L’intelligence artificielle au secours des nouvelles formes de menaces.

La plupart des solutions du marché s’appuient sur des techniques de réputation des IP, de fingerprint (empreinte) ou encore de sandboxing (2) pour détecter les menaces.

Cela signifie qu’elles sont capables de bloquer principalement les attaques connues.

Pour les nouvelles menaces, elles laissent passer les premières vagues avant de les identifier et trouver des patchs de sécurité.

Elles sont donc aujourd’hui dépassées par l’évolution des techniques d’attaques qui sont de plus en plus sophistiquées et difficilement détectables or une seule attaque réussie peut faire de réels dégâts.

C’est la raison qui explique qu’aujourd’hui, l’entreprise se doit non seulement de sécuriser nativement sa messagerie mais de faire le choix de solutions complémentaires qui enrayent les menaces de type Zero day et à fortiori en cas de messagerie hébergée dans le Cloud.

-         L’intelligence artificielle a fait son entrée dans le domaine de la sécurité  et les technologies de sécurité. Elles sont maintenant capables de combler les failles dans les mesures de sécurité déjà embarquées.

Elles permettent d’évaluer le niveau de dangerosité d’un email grâce à la détection de signaux faibles complémentaires issus de l’analyse de l’origine, du contenu, mais également du contexte de l’email.

Des algorithmes prédictifs sont ainsi conçus grâce à l’analyse quotidienne de millions d’emails et permettent de concevoir des règles de détection des emails vérolés.

Les entreprises qui ont fait le choix de ce type de solution de protection de leur messagerie ont été ainsi  largement épargnées par les dernières vagues d’attaque.

(1)             Contrairement à l'hameçonnage traditionnel basé sur l'envoi d'un message générique à un grand nombre de destinataires, le spear phishing se focalise sur un nombre limité d'utilisateurs (souvent un seul) auxquels est envoyé un message fortement personnalisé.

(2)            Le procédé de Sandboxie: à chaque accès disque, il enregistre l'accès dans son SandBox et lorsque le logiciel tente d'écrire sur le disque, il le fait en réalité dans le SandBox, ce qui l'empêche de modifier quoi que ce soit sur le disque, en toute transparence et sans gêner l'exécution.

Source : Global security Service