Renforcer la protection contre les cybermenaces dans Microsoft Office 365

Renforcer la protection contre les cybermenaces dans Microsoft Office 365

Dans notre dernier billet de blog, nous avions évoqué le risque lié à la réception de données sensibles non souhaitées par courrier électronique et au partage en interne d'informations sensibles entre différents départements de l'entreprise et donc le besoin de fonctionnalités avancées de protection des données aussi bien pour les systèmes de messagerie sur site que pour les environnements Microsoft Office 365 (O365) afin d'atténuer ces risques. Cependant, en matière de sécurité de l'information, ce n'est pas seulement le risque de recevoir des données sensibles non souhaitées ou par accident dont les entreprises devraient se méfier. En effet, Microsoft Office 365 a été rapidement adoptée par tant de secteurs et d'entreprises de toute taille que cette plateforme est devenue la cible de prédilection des cybercriminels.

Le Centre national de cybersécurité britannique (NCSC) a récemment publié un rapport consultatif qui fait le point sur les moyens utilisés par les cybercriminels pour compromettre la plateforme O365 et utiliser des comptes O365 compromis pour en tirer un profit financier. Ce rapport révèle que les attaques contre les messageries d'entreprise, dont O365, ont coûté plus de 5,3 milliards de dollars de pertes aux entreprises entre 2013 et 2016.

Ingénierie sociale (harponnage)

Les travaux menés par Clearswift ont permis de découvrir que les emails de harponnage sont considérés comme la menace la plus dangereuse pour les entreprises, toutes plateformes de messagerie confondues. En fait, le stratagème le plus souvent déployé par les pirates pour accéder à des comptes O365 consiste à lancer des attaques par hameçonnage ciblé, autrement dit en recourant à du harponnage ou à de l'ingénierie sociale.

Pour mener une attaque par harponnage, un cybercriminel envoie un ou plusieurs courriers électroniques à des employés. En apparence crédibles, ces courriers souvent envoyés par des supérieurs hiérarchiques et des fournisseurs qui invitent à cliquer sur un lien qui est en fait malveillant... Après avoir cliqué sur le lien, l'employé est redirigé vers une page de connexion usurpée qui permet au pirate de collecter des informations sensibles, notamment les identifiants de connexion que l'employé a fournis sans prendre garde. Fort de ces informations, l'attaquant peut ensuite dérober des informations sensibles stockées dans le Cloud, se faire passer pour le détenteur du compte, diffuser d'autres emails de harponnage depuis un compte légitime ou encore envoyer une charge active de ransomware via le réseau. Ces types d'attaque sont souvent détectés tardivement si bien que le pirate a le temps de dérober les informations qui lui permettront de causer des dégâts majeurs à n'importe quelle entreprise.

Accès non autorisé

Pirater un compte à l'aide d'une séquence de mots de passe évidents est un autre moyen couramment utilisé par les cybercriminels pour accéder à l'environnement O365. Même si l'un des atouts de la plateforme Cloud O365 est son accessibilité généralisée pour les collaborateurs, cela peut néanmoins représenter une menace pour la sécurité car, du coup, les cybercriminels bénéficient du même type d'accès. En effet, si un pirate collecte le mot de passe d'un employé, il pourra accéder instantanément à son compte puis à l'ensemble de l'environnement O365.

Cette plateforme étant conçue pour faciliter l'accès à distance, l'identification des accès non autorisés à des comptes n'est pas instantanée, ce qui facilite grandement la tâche des pirates qui peuvent ainsi multiplier les tentatives de connexion afin d'accéder à un compte. De plus, cibler un seul employé à la fois, plutôt que chaque employé d'une entreprise, réduit encore le risque de détection, si bien qu'après avoir accédé à un compte, un cybercriminel peut très facilement progresser dans le système de l'entreprise.

Accéder au compte d'un employé spécifique permettra à un individu malveillant de consulter des documents et des bases de données puis de dérober des informations sensibles stockées sur la plateforme et dans les courriers électroniques. Ce pirate pourra également configurer des règles de réacheminement afin que le compte compromis envoie des copies des emails reçus et envoyés à une adresse de messagerie tierce sans que cela puisse être détecté...

Procédure pour atténuer les menaces et les risques

Authentification multifactorielle

Nombreux étant les employés qui utilisent un mot de passe pour accéder à de multiples plateformes et services, il suffit aux pirates de dérober ou de deviner un mot de passe pour accéder à tout un ensemble d'informations. L'authentification multifactorielle (MFA) ajoute une couche de protection supplémentaire à la plateforme O365 en exigeant un deuxième voire, dans certains cas et lorsque les informations sont très sensibles, un troisième mot de passe qui empêchera un pirate de pouvoir accéder à un compte même s’il a réussi la première phase d'identification. Un deuxième facteur est ensuite utilisé pour vérifier la légitimité des connexions. Il peut s'agir d'un autre mot de passe ou bien de caractères provenant d'une phrase de passe, d'un jeton de sécurité ou bien d'une application avec un numéro qui change sans cesse, d'une empreinte digitale, de reconnaissance faciale ou même d'un scan de l'iris.

Formation et sensibilisation

Former les employés aux signes qui indiquent une activité malveillante menée via la messagerie électronique réduira le risque qu'ils cliquent sur des liens malveillants qui faciliteront des attaques par hameçonnage. Des déjeuners de travail, des webinaires ainsi que des guides sur les menaces destinés au personnel sont des moyens efficaces de sensibiliser et de cultiver le personnel. Associer des sessions de prévention des menaces à un traitement des données sensibles basé sur les bonnes pratiques contribuera à renforcer la sécurité globale de l'entreprise. Animer une session sur la cybersécurité avec l'équipe informatique lors de l'accueil de nouveaux collaborateurs permettra de mieux les préparer à comprendre et se conformer aux politiques et aux procédures de sécurité de l'entreprise.

Renforcer la sécurité d'O365 grâce à des fonctionnalités avancées

L'intégration de fonctionnalités avancées de prévention des menaces et de protection des données à O365 permet d'améliorer les fonctionnalités de sécurité existantes de la plateforme. La solution complémentaire de Clearswift pour O365 peut être facilement déployée pour inspecter en profondeur tout le contenu du trafic entrant, sortant ou interne de la messagerie qui transite via la plateforme, aussi bien dans les messages électroniques que leurs pièces jointes. Cette solution détecte et anonymise automatiquement et en temps réel les URL malveillantes ainsi que les données sensibles (les informations IPI, PCI, etc.). Elle facilite la livraison de communications épurées de tout danger plutôt que de les bloquer brutalement à des fins d'audit et de contrôle. La fonctionnalité d'anonymisation contextuelle supprime les codes malveillants intégrés ou les informations sensibles avant que le courrier électronique arrive dans la boîte de réception de l'employé. Il y a ainsi moins de risques de cliquer sur un lien malveillant inséré dans un courrier électronique d’hameçonnage ou d'envoyer/recevoir des informations sensibles par erreur pouvant provoquer une fuite de données au niveau de l'entreprise.

Profiter de la possibilité d'ajouter des applications tierces pour renforcer la sécurité d'une plateforme O365 améliorera la protection des données critiques stockées dans le Cloud tout en permettant aux employés de faire leur travail sans perturbations.

Informations supplémentaires