Depuis quelques années j’ai constaté que les attentes en matière de protection de la messagerie (relais sécurisé incluant l’anti spam et l’anti malware) n’étaient plus aussi présentes qu’auparavant dans les préoccupations des clients, des éditeurs et des analystes. S’il y a des raisons à cette vision « commoditisée » de la sécurité du mail, elle n’est pas exempte de risques.
Vers une « commoditisation » de la sécurité des mails ?
C’est un fait : les entreprises confient de plus en plus leur messagerie dans le Cloud. La tentation de déléguer en même temps la partie du relais sécurisé au même fournisseur est grande pour des raisons de coût, de facilité de gestion, en un mot : de commodité !
C’est la vision des analystes. Par d’exemple le cabinet Forrester ne livre plus d’étude sur le sujet depuis 2012 et une analyse des études du Gartner « Email Secure Gateways » sur quelques années est très parlante. En 2011 et 2012, Gartner classait 6 éditeurs comme leaders sur ce marché, 5 en 2013 et seulement 2 leaders dans le Magic Quadrant en 2014 ! Cela montre une maturité du marché mais peut être aussi un désintérêt et un manque d’investissement de certains éditeurs pour ce marché.
De plus, à l’exception notable de BlueCoat avec une solution clairement orientée APT, je n’ai pas vu de nouvel entrant sur ce marché depuis un bon moment.
Je remarque enfin que l’adoption des solutions d’ATP (Advanced Threat Protection) a été plus lente sur le marché de la protection du mail que sur le marché du filtrage web même si elle est en train de se faire une place.
Trois raisons objectives de ne pas se désintéresser de la sécurité de la messagerie :
1. Parce que le mail reste un des principaux vecteurs d’infection des nouveaux malware :
Il suffit pour s’en convaincre de lire les comptes rendus concernant les derniers malwares récents, au hasard Kraken ou Rombertik, pour s’apercevoir que ces programmes malveillants ont utilisé le mail comme vecteur d’infection.
Le cabinet Osterman Research indique dans un récent livre blanc que dans 67 % des cas d’infections, les malwares ont pu passer par le système de messagerie, ce qui en fait la première cause de vulnérabilité devant la navigation web pour l’entreprise. Pour Verizon, dans son rapport « 2014 Data Breach Investigations Report », si le mail malveillant, via un attachement ou un lien, n’est utilisé que dans 9 % des cas d’une exploitation criminelle (cf. Page 33 du rapport), il reste le vecteur préféré du cyber espionnage dans 78 % des cas (cf. page 40). L’infection directe via les e-mails reste donc malheureusement encore largement répandue aujourd’hui.
2. Parce que les techniques des spammeurs / harponneurs ne cessent d’évoluer :
Spear phishing, snowshoe spam, les techniques des spammeurs sont en constante évolution. Au cœur de la stratégie : cibler au maximum, réduire les volumes de mail pour passer sous les radars et changer d’adresse IP très rapidement pour éviter les mécanismes de type IP Blocker. Pour moi la seule méthode pour détecter ces spammeurs est de croiser un maximum d’information entre les solutions d’anti spam et les solutions de filtrage d’URLs. Et pour éviter les infections, proposer de plus en plus une méthode de traitement des menaces avancées basées sur l’analyse du comportement des pièces jointes suspectes. Cette dernière composante est déjà très présente dans le monde du filtrage mais encore peu dans le monde de la sécurité de la messagerie. A terme, selon moi, les deux univers, filtrage d’URL et protection contre le spam, devraient fusionner.
3. Parce que des solutions évoluées de sécurité « as a service » existent pour la messagerie :
Le mail étant un processus asynchrone (l’utilisateur ne reçoit pas en temps réel le message envoyé par son correspondant) il est tout à fait possible d’utiliser des relais sécurisés complètement séparés de la solution de messagerie ! Ces solutions existent sous forme de service depuis longtemps !
Il faut surtout s’assurer de leur capacité à proposer :
- des fonctions d’Advanced Threat Protection (ATP),
- d’analyse des mails contenant des URLs,
- la mise en place du SPF, DKIM ou D-MARC ;
- toute autre nouvelle évolution de sécurité qui pourrait apparaitre pour le mail.
Rien ne devrait donc empêcher une entreprise de faire jouer la concurrence entre les éditeurs de sécurité et de messagerie pour intégrer dans votre architecture ces solutions en complément des solutions mails même externalisées.
Conclusion
Même si la tentation est forte de considérer la protection de la messagerie comme une commodité, il me semble important de conserver la maitrise de la protection des mails car cela reste un vecteur d’infection important et facile à utiliser pour les cybercriminels.
Pour une entreprise, considérer la sécurité du mail comme une commodité c’est prendre le risque d’oublier de la faire évoluer et s’exposer aux nouvelles méthodes des spammeurs qui ne cessent d’innover.
Pour un éditeur l’abandon, plus ou moins assumé, de sa solution de sécurité de la messagerie l’amène à se priver d’une source d’information primordiale sur le monde de la cybercriminalité et les nouvelles menaces au vu du rôle important du mail comme vecteur d’attaque.
Mon analyse est que les éditeurs souhaitant se maintenir sur ce marché devront faire évoluer leurs solutions de relais de messagerie sécurisé pour les rapprocher des solutions de filtrage d’URL et d’ATP.
Philippe
Pour aller plus loin :
Spear-phishing : la nouvelle méthode de pêche aux données sensibles
Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.