Les infrastructures sont de mieux en mieux protégées, mais la sécurisation des e-mails reste le point noir dans les entreprises. Ce vecteur d’attaque est de plus en plus utilisé parce qu’il concentre la principale faille qui, pour l’instant, fournit encore de réelles opportunités aux hackers : le facteur humain.
Si l’impact économique des cyberattaques reste toujours difficile à chiffrer précisément, le FBI estime que les pertes dues à la fraude par e-mail ont atteint 26 milliards de dollars (de juin 2016 à juillet 2019) à l’échelle mondiale. A ce chiffre s’ajoutent les récentes conclusions de recherches Proofpoint, selon lesquelles les attaques par e-mail auraient touché plus de 90 % des organisations dans le monde depuis le début de cette année.
« La vision des entreprises doit évoluer : la question de « qui est attaqué » devient essentielle, le reste n’est qu’une affaire de moyens techniques, d’organisation et de gouvernance. Ainsi, les VAP (Very Attacked People) sont un sujet de Comex, surtout celles qui ne sont pas a priori considérées comme telles », assure Loïc Guézo, directeur cyberstratégie de Proofpoint.
Selon l’éditeur, 36 % des identités de VAPs peuvent être trouvées en ligne, sur le site Web de l’entreprise, les réseaux sociaux, dans des articles, etc. De même, 23 % des identités de VIPs, qui sont aussi des VAPs peuvent être découvertes avec une simple recherche Google.
Utilisateur + e-mail = opportunité d’attaque
Une fois ces VAPs identifiées, l’un des vecteurs privilégiés d’attaque reste l’e-mail : « Environ seulement 8 % des investissements en sécurité sont consacrés à la protection des messageries, alors que 96 % des attaques utilisent ce canal », assure Loïc Guézo pour qui ce phénomène est logique : « Dans la mesure où les infrastructures sont de mieux en mieux sécurisées, les hackers s’adaptent et privilégient les messageries, qui constituent de véritables autoroutes d’accès. »
Résultat : « L’humain est à la fois la première ligne d’attaque, mais aussi la dernière ligne de défense. » Selon une étude de Proofpoint, 99 % des cyberattaques nécessitent une action humaine pour s’exécuter, par exemple pour activer une macro, ouvrir une pièce-jointe, cliquer sur un lien… Près d’un e-mail de phishing sur 4 envoyés en 2018 était associé à un produit Microsoft. En 2019, la menace a évolué vers le stockage cloud DocuSign et le cloud de Microsoft. « Les leurres de phishing visaient principalement à voler des identifiants ou créer des boucles de rétroaction pouvant générer de futures attaques », souligne l’étude.
L’un des enjeux de sécurisation concerne la possibilité d’envoyer des e-mails avec des noms de domaine usurpés. La protection contre ce type de vulnérabilités existe, avec le standard DMARC (Domain-based Message Authentication, Reporting & Conformance). « Il est quand même étonnant que des hackers puissent envoyer des e-mails au nom d’une société ou d’une marque ! » déplore Loïc Guézo.
Rappelons que le standard DMARC est l’équivalent d’un contrôle de passeport dans le monde de la sécurité des e-mails. Il vérifie que l’expéditeur est bien celui qu’il prétend être, en authentifiant correctement les expéditeurs par rapport aux cadres DKIM (Domain Keys Identified Mail) et SPF (Sender Policy Framework) établis. « Cette authentification protège employés, clients et partenaires, contre les cybercriminels qui cherchent à usurper l’identité d’une marque de confiance », résume Loïc Guézo.
Afin d’évaluer l’adoption du standard DMARC en France, Proofpoint a réalisé, en septembre 2019, une analyse des enregistrements DMARC des domaines Internet des entreprises du CAC 40, ainsi que des principaux ministères et services publics français. L’objectif était d’évaluer combien de ces organisations françaises sont déjà en bonne voie pour se protéger efficacement contre la fraude e-mail, via l’adoption du protocole, tel que recommandé par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Cette étude révèle que seulement 45 % des sociétés du CAC 40 publient un enregistrement DMARC, soit 18 sociétés sur 40.
Entreprises et secteur public : des passoires
Pour ces entreprises qui ont adopté le standard DMARC, une seule bloque de façon proactive les e-mails frauduleux (et est donc entièrement conforme DMARC) et deux mettent en quarantaine les messages. « Plus de 55 % des plus grandes organisations françaises restent complètement exposées à la fraude par e-mail et à l’usurpation d’identité », déplore Loïc Guézo.
Côté secteur public, seulement trois ministères protègent leur domaine institutionnel contre les attaques d’usurpation d’identité, le Ministère de la cohésion des territoires et des relations avec les collectivités territoriales étant le seul à avoir déployé le protocole DMARC. Pire, sur les cinq principales organisations de service public analysées par Proofpoint (administrations centrales, impôts, collectivités locales, préfecture de police), une seule est protégée contre les attaques d’usurpation d’identité de domaine : celle des impôts.
Toutefois, en comparant ces résultats avec nos voisins, on remarque que, malgré ces lacunes à combler, les grandes entreprises françaises sont les « mieux » préparées au risque de fraude par e-mail et d’usurpation d’identité (rappel : seulement 45 % des entreprises du CAC40 ont un enregistrement DMARC).
La seconde marche du podium est occupée par la Suède (43 % des organisations de l’OMX30 ont un enregistrement DMARC) et la troisième par le Royaume-Uni (42 % des entreprises du FTE100 adoptent le standard). En queue de peloton, on retrouve l’Italie (avec seulement 28 % des entreprises du FTSE MIB40 ayant un enregistrement DMARC), précédée de l’Espagne (avec 32 % des entreprises de l’IBEX35 sécurisées) et de l’Allemagne (avec 33 % des entreprises du DAX30 protégées).
Cyberattaques dans le cloud : un état des lieux
Dans le cadre d’une étude sur les cyberattaques dans le cloud, les chercheurs Proofpoint ont analysé les données de plus de 20 millions de comptes utilisateurs dans plus d’un millier de services cloud, au cours du premier semestre 2019. Durant cette période, plus de 15 millions de tentatives de connexions non autorisées ont été observées, et plus de 400 000 ont abouti. L’étude révèle qu’aucune industrie n’a été épargnée, puisque dans 12 des 14 secteurs d’activité étudiés, les attaquants ont ciblé au moins 80 % des organisations.
Le secteur de l’éducation et l’industrie agroalimentaire ont été les plus vulnérables face aux attaques dans le cloud, avec des taux de réussite (nombre de connexions non autorisées ayant abouti par rapport au nombre de tentatives) de plus de 70 % au premier et au deuxième trimestre 2019. Les secteurs de la santé et les services financiers se sont mieux protégés, avec des taux d’attaques réussies nettement plus faibles. Dans tous les secteurs, certains employés à des postes spécifiques, tels que des représentants et des gestionnaires de vente, ont été les principales cibles des cyberattaques. « Cela s’explique par le niveau d’accessibilité de leurs emails, généralement ouverts au public, ainsi que par leurs échanges avec les gestionnaires financiers, les clients et les partenaires », précise l’étude.
Parmi les autres chiffres révélés par cette analyse : 85 % des organisations étudiées ont été confrontées à au moins une attaque, 45 % ont connu au moins un compte cloud compromis et 6 % ont subi un accès non autorisé à un compte de cadre supérieur. De même, 92 % des entreprises figurant au classement Fortune 500 ont été ciblées et 60 % ont fait l’objet de connexions non autorisées. Dans les organisations ayant des comptes compromis, en moyenne 13 comptes actifs par organisation ont connu des connexions non autorisées réussies. « Toutes ces données démontrent que les acteurs de la menace ont environ 1 chance sur 2 de réussir à accéder à une organisation via des comptes cloud. Et l’expérience a prouvé qu’un seul compte compromis est suffisant pour avoir un impact considérable au sein d’une entreprise », avertissent les auteurs de l’étude.