Le ransomware s’annonce comme un défi majeur pour l’année en cours. Cette menace s’est largement répandue au cours des récentes années jusqu’à paralyser des réseaux d’entreprise et entraîner de lourdes pertes financières, comme l’ont révélé nombre de médias. Son impact peut être dévastateur pour les entreprises gérant des dizaines de milliers de terminaux (endpoints) et des milliers d’applications et de serveurs, disséminés sur des centaines de sites. Ainsi, les conséquences financières peuvent être particulièrement lourdes, jusqu’à peser plusieurs milliards de dollars dans le monde. Ryuk est l’un des récents malware ayant fait la Une de l’actualité et dont la particularité est d’activer une backdoor lorsqu’un utilisateur clique sur un lien dans un email de phishing.
Mais au-delà du ransomware, les entreprises devraient subir d’autres menaces. On note une progression marquée des emails malveillants sur la thématique du Coronavirus, ainsi que des techniques malveillantes d’ingénierie sociale (social engineering) récemment observées par nos chercheurs des FortiGuard Labs. Qu’il s’agisse d’arnaques par phishing, de malware ciblés, ou des deux, ces attaques ont un point commun : pour la majorité d’entre elles, elles atterrissent directement dans votre boîte email.
Aujourd’hui, plus que jamais, l’email reste le principal vecteur de menaces dans le monde, ce qui implique d’optimiser sa sécurité.
Identifier les risques avec un programme CTAP
À l’évidence, toutes les solutions de sécurité email ne se valent pas. Il suffit qu’un seul fichier malveillant joint à un email contourne la passerelle de sécurité des mailing pour constituer une menace potentielle pour le réseau. La capacité d’une passerelle de sécurité doit pouvoir répondre aux défis de sécurité actuels.
Il existe deux façons de déterminer si sa passerelle de sécurité email protège son entreprise contre les campagnes actuelles de phishing/spear phishing et attaques similaires, et si son infrastructure de sécurité sait neutraliser les ransomware et logiciels malveillants véhiculés par email : on peut attendre qu’un incident se produise (option peu recommandée, bien sûr…), ou alors, mener proactivement des tests pour s’assurer que les outils en place défendent l’entreprise contre les menaces actuelles les plus sophistiquées
Le programme CTAP (Cyber Threat Assessment Program) de Fortinet aide les entreprises à identifier leurs risques de sécurité, en déterminant les vulnérabilités applicatives utilisées pour pirater le réseau, les logiciels malveillants/botnets potentiellement déjà présents au sein de son environnement, les attaques de phishing susceptibles de contourner les lignes de défense en place, ainsi que les dispositifs les plus « à risque ». Il est aussi possible de déterminer les outils de productivité utilisés et la consommation de bande passante. Toutes ces données permettent de définir les probabilités d’un incident de sécurité pour chaque entreprise, puis corrélées de manière anonyme et centralisées avec les données recueillies auprès d’autres organisations, elles offrent une visibilité sur les menaces et leurs activités à l’échelle mondiale.
Les participants au programme CTAP sont des utilisateurs de Microsoft Exchange Online ou d’Office 365. Nombre d’entre eux disposent déjà de fonctions et de solutions de sécurité email en place : les risques restent pourtant d’actualité, comme le soulignent les données recueillies par Fortinet.
La montée en puissance des menaces par email
Sur le mois de janvier, nous avons constaté que les entreprises restaient submergées par des messages associés au spam et à des campagnes marketing. Ces messages indésirables grèvent la bande passante et la productivité des entreprises, invitant ces dernières à prendre les mesures qui s’imposent.
Les statistiques deviennent plus signifiantes lorsqu’on dénombre les emails et URL malveillants ou potentiellement à risque qui atterrissent dans les boîtes aux lettres des utilisateurs. Ce constat est d’autant moins rassurant que les clients étudiés disposent déjà d’une sécurité email en place.
Même lorsque la sécurité email existante d’une entreprise filtre le trafic malveillant ou à risque, nous constatons qu’un 1 message sur 3 000 contient encore un logiciel malveillant. D’ailleurs, fait encore plus intéressant, 1 email sur 4 000 véhicule un logiciel malveillant jusqu’à présent inconnu. Il s’agit souvent d’une menace avancée ou Zero-day, ou d’une nouvelle variante d’un ransomware : plus que jamais, les clients doivent aller au-delà des approches rigides fondées sur les signatures (pourtant adoptées par la majorité des plateformes sécurité email) et s’orienter vers une analyse des emails en sandbox.
Pour aller plus loin, Fortinet a également constaté qu’un courriel sur 6 000 contenait des URL suspectes. Si tous ces liens ne sont pas forcément malveillants, nombre d’entre eux peuvent néanmoins servir de tremplin à une future campagne de ransomware, ou à une tentative de phishing qui détourne des informations d’identification et permet d’accéder au réseau d’une entreprise et à ses ressources de valeur.
Le collaborateur type reçoit, en moyenne, 121 emails par jour. Une entreprise dont l’effectif est de 100 personnes, devra gérer, chaque jour, 4 emails infectés par des logiciels malveillants, 3 emails infectés par des logiciels malveillants jusque-là inconnus et 2 emails contenant des liens URL suspects.
Cette tâche est plus difficile qu’elle n’y paraît. Ainsi, neutraliser systématiquement les URL suspectes ou inconnues peut mécontenter les utilisateurs et peser sur les équipes de support informatique. Les entreprises ont donc tout intérêt à déployer des solutions nouvelle-génération qui sauront éliminer ces risques.
Par Christophe Auberger, Cybersecurity Evangelist, Fortinet