menaces par courrier électronique post-delivery

Threat Spotlight : menaces par e-mail post-delivery

Version imprimable, PDF et e-mail

Les mesures prises après qu'un e-mail malveillant a contourné les systèmes de sécurité d'une entreprise et atterri dans la boîte de réception d'un utilisateur peuvent être tout aussi décisives que celles visant à bloquer les menaces en premier lieu.

Les chercheurs de Barracuda ont récemment passé à la loupe environ 3 500 entreprises pour mieux comprendre le fonctionnement des menaces ainsi que les méthodes utilisées pour y répondre. Ils ont constaté qu'une entreprise moyenne comptant 1 100 utilisateurs fait l'objet d'environ 15 incidents de sécurité e-mail par mois, et que 10 employés en moyenne sont touchés par chaque attaque de phishing réussie.

Nous avons également constaté que 3 % des employés cliquent sur un lien dans un e-mail malveillant, exposant ainsi l'ensemble de l'entreprise aux pirates informatiques. Bien que ces chiffres puissent paraître dérisoires, ils n'en sont pas moins significatifs. En effet, il suffit d'un seul clic ou d'une seule réponse pour qu'une attaque fasse mouche.

En outre, les chercheurs ont identifié des initiatives qui peuvent faire une différence tangible après distribution. Par exemple, selon notre analyse, les entreprises qui forment leurs utilisateurs constatent une amélioration de 73 % dans la précision du signalement des e-mails après seulement deux campagnes de formation.

Voici une analyse approfondie du fonctionnement des menaces et des méthodes de réponse identifiées par nos chercheurs, accompagnée des mesures permettant d'améliorer votre réponse aux menaces par e-mail après distribution.

Menaces particulièrement importantes

Menaces par e-mail après distribution – Les mesures prises pour gérer les conséquences d'une violation de sécurité et les menaces après distribution sont communément appelées « réponse aux incidents ». Une stratégie de réponse aux incidents efficace doit permettre de neutraliser rapidement la menace de sécurité en vue d'arrêter la propagation de l'attaque et de minimiser tout dommage éventuel.

L'évolution des attaques par e-mail fait peser un grand danger sur les entreprises. Dans la mesure où les pirates utilisent des techniques d'ingénierie sociale toujours plus sophistiquées, il devient difficile de détecter les menaces dissimulées dans les e-mails, aussi bien pour les systèmes de défense que pour les utilisateurs. En effet, aucune solution de sécurité n'est infaillible. Par ailleurs, les utilisateurs finaux ne signalent pas toujours les e-mails suspects par manque de formation ou par négligence, et lorsqu'ils le font, la précision est loin d'être au rendez-vous, ce qui gaspille une partie des ressources informatiques. Sans une stratégie de réponse aux incidents efficace, les menaces passent souvent inaperçues, avec les conséquences que l'on sait.

Les détails

D'après les conclusions de l'analyse effectuée par les chercheurs de Barracuda auprès d'environ 3 500 entreprises, une entreprise moyenne comptant 1 100 utilisateurs fait l'objet de près de 15 incidents de sécurité e-mail par mois. Dans ce cas, un « incident » désigne un e-mail malveillant ayant réussi à franchir les dispositifs de sécurité et à se retrouver dans les boîtes de réception des utilisateurs. Une fois identifiés, ces incidents doivent être classés par ordre de priorité et faire l'objet d'une enquête afin de déterminer leur portée et leur niveau de risque ; en cas de menace effective, des mesures correctives doivent être prises.

Les entreprises ont plusieurs options pour identifier les menaces par e-mail et les neutraliser après distribution : signalement par les utilisateurs, détection des menaces internes par les équipes informatiques, ou recours à une communauté d'entreprises tierces ayant résolu des incidents. Les informations relatives aux menaces précédemment neutralisées qui sont transmises par les entreprises sont généralement plus fiables que les celles provenant des utilisateurs.

Nos chercheurs ont constaté que la majorité des incidents (67,6 %) ont été découverts grâce à des campagnes internes de détection des menaces lancées par les équipes informatiques. Ces enquêtes peuvent être initiées de différentes manières. Il est courant d'effectuer des recherches dans les journaux de messages ou de lancer des recherches par mot-clé ou par expéditeur dans les e-mails déjà distribués. Quelque 24 % des incidents identifiés résultaient de signalements par les utilisateurs, 8,1 % ont été découverts à l'aide de renseignements provenant de la communauté, et les 0,4 % restants provenaient d'autres sources, notamment de systèmes automatisés ou d'incidents déjà résolus.

Source des incidents

 

Il est important que les entreprises encouragent les utilisateurs finaux à signaler les e-mails suspects, mais un afflux de signalement peut vite submerger les équipes informatiques, dont les ressources sont généralement limitées. Un excellent moyen d'augmenter la précision de ces signalements est de former régulièrement les utilisateurs à la sécurité. Nos recherches ont montré que les entreprises qui mettent cela en place constatent une amélioration de 73 % dans la précision du signalement des e-mails par les utilisateurs après seulement deux campagnes de formation.

Signalements des e-mails

3 % des utilisateurs cliquent sur les liens contenus dans les e-mails malveillants

Après avoir identifié et confirmé les e-mails malveillants, les administrateurs informatiques doivent déterminer la portée et l'impact éventuels de chaque attaque. Identifier tous les employés ayant reçu des messages malveillants peut prendre énormément de temps sans les bons outils. Nos recherches ont montré que 10 employés en moyenne sont touchés par chaque attaque de phishing réussie.

Par ailleurs, 3 % des employés cliquent sur un lien dans un e-mail malveillant, exposant ainsi l'ensemble de l'entreprise aux pirates informatiques. Les employés transmettent également des messages malveillants ou y répondent, propageant ainsi les attaques au sein de leur entreprise, voire à l'extérieur. Bien que ces chiffres puissent paraître dérisoires, ils n'en sont pas moins significatifs. En effet, il suffit d'un seul clic ou d'une seule réponse pour qu'une attaque fasse mouche. Et il faut seulement 16 minutes pour qu'un utilisateur clique sur un lien malveillant, d'où la nécessité d'enquêter et de prendre des mesures correctives immédiates pour garantir la sécurité de l'entreprise.

E-mails malveillants

Les e-mails malveillants restent 83 heures dans les boîtes de réception des utilisateurs avant d'être supprimés

Résoudre les incidents liés aux e-mails peut être une opération longue et fastidieuse. Nos chercheurs ont constaté que le délai moyen entre le moment où une attaque atterrit dans les boîtes de réception des utilisateurs et celui où elle est découverte par une équipe de sécurité ou signalée par un utilisateur final puis corrigée est de trois jours et demi, soit un peu plus de 83 heures. Or, il est possible de réduire considérablement ce délai. Une formation ciblée à la sécurité améliore la précision du signalement par les utilisateurs, tandis que le recours à des outils de correction automatisée permet d'identifier automatiquement les attaques et de les neutraliser, ce qui, au passage, fait gagner un temps précieux au personnel de sécurité.

De nombreuses équipes de sécurité utilisent également les informations provenant des incidents résolus afin de mettre à jour leurs politiques de sécurité et d'éviter de nouvelles attaques. Par exemple, 29 % des entreprises mettent régulièrement à jour leurs listes de blocage pour bloquer les messages provenant d'expéditeurs ou de régions donnés. Néanmoins, seulement 5 % des entreprises mettent à jour leur dispositif de sécurité Web afin de bloquer l'accès aux sites malveillants. Cette faible proportion s'explique par le manque de coordination entre les services de réponse aux incidents et de sécurité Web dans la plupart des entreprises.

Mesures correctives ultérieures

Comment se protéger contre les menaces après distribution ?

Former les utilisateurs pour améliorer la précision et le nombre de signalements.

Bien informés, les employés peuvent éviter les effets dévastateurs d'une attaque par e-mail réussie. Une formation continue à la sécurité augmentera les chances que les utilisateurs signalent les menaces potentielles à l'équipe informatique, plutôt que d'y répondre, de cliquer ou de les transférer. Il convient de les former régulièrement afin qu'ils gardent bien en tête les bonnes pratiques de sécurité et que la précision des signalements évite aux équipes informatiques de passer trop de temps à inspecter des e-mails indésirables non malveillants.

S'appuyer sur la communauté comme source d'informations sur les menaces potentielles.

Mutualiser les données sur les menaces est un excellent moyen d'empêcher les menaces évolutives de compromettre vos données et vos utilisateurs. Certaines menaces par e-mail apparentées ou identiques peuvent affecter plusieurs entreprises, les pirates informatiques utilisant souvent les mêmes techniques d'attaque auprès de plusieurs cibles. Exploiter les renseignements recueillis par d'autres entreprises permet de contrecarrer efficacement les attaques de grande ampleur, plutôt que de se limiter aux simples données du réseau de l'entreprise. Veillez toutefois à ce que votre solution de réponse aux incidents soit en mesure d'accéder aux données mutualisées sur les menaces et de les exploiter afin de renforcer vos systèmes de détection des menaces et de signalement des incidents potentiels.

Utiliser des outils de détection des menaces pour accélérer les enquêtes.
Détecter les éventuelles menaces et identifier la portée d'une attaque ainsi que les utilisateurs touchés peut prendre des heures, voire des jours. Les entreprises ont tout intérêt à déployer des outils de détection des menaces qui leur offrent une meilleure visibilité sur les e-mails reçus. Outre l'identification d'anomalies dans ces messages, ces outils permettent de rechercher rapidement les utilisateurs concernés et de voir s'ils ont interagi avec des messages malveillants.

Automatiser les mesures correctives lorsque cela est possible.
Les systèmes automatisés de réponse aux incidents réduisent considérablement le temps nécessaire pour détecter les e-mails suspects et les supprimer des boîtes de réception de tous les utilisateurs touchés. Ils automatisent en outre les processus qui consolident les défenses contre les menaces futures. Grâce à la mise en œuvre de workflows automatisés, nos clients ont diminué leur temps de réponse jusqu'à 95 %, réduisant ainsi le temps de propagation des menaces et permettant à leurs équipes informatiques de se concentrer sur d'autres tâches de sécurité.

Exploiter les synergies.
Les entreprises doivent non seulement automatiser leurs workflows, mais aussi associer leur solution de réponse aux incidents à celle de sécurité des e-mails et du Web afin de se prémunir contre de nouvelles attaques. Les renseignements ainsi recueillis peuvent également être utilisés pour mettre en place des mesures correctives automatiques et identifier les menaces apparentées.

Cet article de la série « Threat Spotlight » a été rédigé par Mike Flouton avec l'aide de Wenting Zhang, Sheila Hara, Stephanie Cavigliano et Olesia Klevchuk de l'équipe Barracuda Sentinel.

Réagissez plus vite aux attaques par e-mail

Leave a Reply

Your email address will not be published. Required fields are marked *

Remonter en haut de page
Tweeter
Partager
Partager