« Le sujet de la sécurité des e-mails n’a rien de sexy ! » Deryck Mitchelson, de Check Point Software Technologies, explique pourquoi  les responsables de la cybersécurité n’ont « aucune envie de s’embourber dans cette ancestrale thématique… » 

« La plupart du temps, les CISO ne connaissent pas le nombre de liens dangereux sur lesquels les utilisateurs ont cliqué, observe Deryck Mitchelson, Field CISO EMEA, Check Point Software Technologies. Ils ne savent pas si le nombre d’e-mails de phishing qui leur parviennent augmente ou diminue. Et ils ne cherchent pas à améliorer les règles autour de la mise en quarantaine ou de la libération des e-mails. Même si environ 90 % des cyberattaques ont pour origine un e-mail, ce dernier reste considéré comme une boîte noire. »

Terrible constat ! De toute évidence, la sécurité des e-mails reste un sujet tabou. Lorsqu’on leur demande de déterminer si leur niveau actuel de sécurité des e-mails offre un niveau de protection adéquat, la plupart des CISO esquivent la question. Ils ne savent pas. Ou n’ont tout simplement pas de réponse.

Pourquoi si peu de conscience ?

Même si les CISO peuvent automatiser 99 % de la gestion de la sécurité des e-mails, en confiant à l’automatisation les tâches les plus lourdes, 1 % du travail demeure impossible à automatiser. Or, c’est à ce 1 % que les professionnels de la cybersécurité accordent peu d’attention…

« Les CISO ont souvent l’impression qu’avec certains produits, comme Microsoft Office 365, l’e-mail est automatiquement sécurisé ou  ‘suffisamment sécurisé’. Cependant, à moins qu’un CISO ne dispose d’une équipe qui gère attentivement le service -décortique les journaux, travaille avec les tableaux de bord et examine minutieusement le trafic d’entrée-, le niveau de la menace des e-mails reste difficile à cerner… »

A entendre Deryck Mitchelson, il existe une autre réalité : la sécurité des e-mails n’est tout simplement pas un sujet d’actualité. « Le sujet n’a rien de sexy. Les responsables de la cybersécurité n’ont aucune envie de s’embourber dans cette ancestrale thématique. D’autres thèmes aussi essentiels et bien plus modernes accaparent leur attention tels que l’orchestration des DevSecOps et du cloud… »

Menaces complètement sous-estimées

En outre, étant donné que l’e-mail existe depuis de nombreuses décennies, certains experts en sécurité sous-estiment toujours à quel point une menace par e-mail peut être pernicieuse. Pour eux, un e-mail n’est pas vraiment une menace grave, assortie d’un niveau de risque élevé. Le problème n’est pas l’e-mail en lui-même, mais le comportement de l’utilisateur qui va le lire.

Qui plus est, les CISO qui s’efforcent de se prémunir contre les menaces par e-mail ne disposent pas toujours des données dont ils auraient besoin dans les tableaux de bord à leur disposition, ou ne disposent pas de rapports offrant une vue d’ensemble des indicateurs de menace par e-mail. « Dès lors, certains ont du mal à comprendre ce qu’est exactement la menace par e-mail, comment elle s’articule. Certains responsables de la sécurité ne réalisent l’ampleur de la menace qu’une fois l’attaque déjà en cours et les e-mails malveillants déjà reçus et lus par les collaborateurs de leur entreprise. »

Une meilleure sécurisation… pour réduire les coûts

Pour l’expert de Check Point Software, les CISO doivent également comprendre le niveau de dépenses indirectes qu’implique une sécurité inadéquate des e-mails, ce qu’elle coûte à l’entreprise et quel est le risque encouru. « Par exemple, dans ma précédente entreprise, mes équipes chargées des opérations de sécurité consacraient 30 à 40 % de leur temps à la gestion des e-mails. C’est énorme, absolument énorme. Pour une entreprise qui gère ses activités de contrôle en interne, cela représente une quantité de temps considérable… »

Aussi, l’automatisation de la sécurité des e-mails est essentielle. Ce qui veut dire s’appuyer sur des technologies préventives vraiment solides pour automatiser et éliminer la plupart des risques. Ensuite, deuxième conseil, s’assurer que les solutions mises en œuvre renforcent réellement ce qui est proposé par les fournisseurs de sécurité dans le cloud.

Par ailleurs, disposer de solutions « inline » placées entre le serveur mail et le monde internet, avant qu’une menace ne puisse entrer ou sortir. De telles solutions « inline » évitent que des règles malveillantes ne déplacent les e-mails avant qu’ils ne soient lus, cachant ainsi une compromission de compte. Elles empêchent également les utilisateurs d’accéder à des sites Web frauduleux qui imitent parfaitement des sites Web réels.

Reconsidérer la stratégie d’acquisition

« Bien évidemment, il existe aussi de nombreux référentiels listant les meilleures pratiques en matière de sécurité de l’e-mail et de passerelles de sécurité e-mail. Le NIST, par exemple, propose un tel document. Mais n’oublions jamais que les bonnes pratiques ne sont que des conseils, mais ni des solutions, ni des obligations ! Elles n’exemptent pas les responsables d’actions, de discernement et d’adaptation. »

Ces remarques renvoient à une question plus pratique : qu’achètent les responsables de la sécurité quand, par exemple, ils s’adressent au même fournisseur pour un logiciel de messagerie et une solution de sécurité pour e-mails ? Ne devraient-ils pas plutôt opter pour un fournisseur de messagerie sécurisée ? Ou se demander s’il n’est pas temps d’adopter une approche à plusieurs niveaux de la sécurité des e-mails ?