De par son importance dans son fonctionnement même des entreprises, Microsoft 365 est devenu une composante critique de leur système d’information. Une composante qui suscite un vif intérêt chez les pirates informatiques.

 

Pour de nombreuses organisations, conserver une infrastructure de messagerie et de collaboration en mode on-premise n’a plus véritablement de sens. Le Cloud leur apporte une résilience difficile à atteindre sur des infrastructures privées. De plus, comme on l’a vu récemment avec la vague d’attaques du groupe Hafnium sur les serveurs Microsoft Exchange Server qui a touché 18 000 organisations, maintenir un haut niveau de sécurité sur une infrastructure par définition ouverte sur l’extérieur reste un défi. Sur ce plan, la position de David Hozé, fondateur de Wise Partners est claire : « Depuis des années, notre position est que la sécurité des environnements Cloud est bien meilleure que ce que les entreprises peuvent atteindre en on-premise. L’histoire nous donne aujourd’hui raison. La récente faille Zero Day de Microsoft Exchange l’a bien montré : Microsoft avait patché l’ensemble des serveurs Microsoft 365 avant même que la faille ne soit révélée et avant que le patch ne soit mis à disposition des entreprises. Le Cloud induit un risque géopolitique et géostratégique, c’est vrai, mais c’est un risque qui doit être adressé au niveau de la stratégie de l’entreprise. »

Les entreprises ont massivement migré leur plateforme de collaboration dans le Cloud et Microsoft, avec son offre Office 365, récemment rebaptisée Microsoft 365, s’est taillé une place de choix sur le marché. Toute médaille a son revers et en dépassant les 200 millions d’utilisateurs actifs dès 2019 et des centaines de milliers d’entreprises dans le monde, Microsoft 365 est devenu une cible de choix pour les attaquants. La toute dernière étude Attack Landscape de F-Secure montre que 19% des spams contiennent des liens menant vers des pages de phishing. Et sur ces messages, 30 % pratiquent ce que l’on appelle de l’impersonation, c’est-à-dire se faire passer pour la page d’accès Microsoft 365. Lionel Doumeng, Senior Sales Engineer chez F-Secure commente cette menace : « La principale menace est de communiquer les identifiants Microsoft 365 via des campagnes de phishing. L’utilisateur doit saisir son login/mot de passe croyant se connecter à sa messagerie. Il donne volontairement ses identifiants et ne va pas nécessairement alerter immédiatement son service informatique. »

Microsoft joue la carte du bundle pour pousser ses solutions de sécurité

Cette menace est aujourd’hui bien identifiée. Dès 2019, Satya Nadella, le CEO de Microsoft, annonçait vouloir consacrer 1 milliard de dollars par an à la cybersécurité. Force est de constater que le portefeuille de solutions de sécurité Microsoft ne cesse de monter en puissance, mais pour en bénéficier, l’entreprise doit opter pour l’abonnement E5 dont le prix catalogue de près de 54 € HT par mois et par utilisateur à de quoi décourager bon nombre d’entreprises et les éditeurs de cybersécurité se sont rapidement positionnés sur la sécurisation de Microsoft 365. « Nous nous plaçons clairement en complément des solutions Microsoft sur les forfaits E1 et E3 » explique Lionel Doumeng. « Le choix du forfait E5 est plus souvent dicté par les métiers qui souhaitent disposer des fonctionnalités collaboratives les plus avancées que pour les fonctions de sécurité. »

F-Secure propose une solution de protection pour la messagerie et compte couvrir SharePoint au deuxième trimestre puis OneDrive et Teams certainement en fin d’année.
« Nous protégerons alors Teams de la même manière que nous protégeons déjà les échanges sous Salesforce Chatter : dès qu’un utilisateur poste un message, nous analysons les url ou les fichiers qu’il peut contenir, ou même le texte du message lui-même afin d’y trouver un éventuel script malveillant. »

La démarche est similaire chez l’éditeur slovaque Eset qui protège la messagerie et OneDrive et, depuis le mois d’avril 2021, SharePoint et Teams. « Par rapport à une solution on-premise traditionnelle, la solution Office 365 permet sans aucune installation de sécuriser l’ensemble des utilisateurs. Tous les nouveaux utilisateurs sont protégés sans action de l’administrateur » souligne Benoît Grunemwald, Expert Cyber Sécurité chez ESET France & Afrique, « c’est un point important car plus aucun collaborateur n’est hors de la protection et ne pourra constituer le point d’entrée d’une attaque. » Pour l’expert, ce qui différencie l’offre Eset du service délivré par Microsoft, c’est sa qualité de détection alliée à un faible taux de faux positifs : « Les services de sécurité délivrés gratuitement ne répondent pas pleinement aux besoins des utilisateurs et le niveau de filtrage offert n’est pas optimal. Les solutions de sécurité intégrées sont elles-mêmes testées par les cybercriminels pour valider la capacité de leurs attaques à passer ces filtres. »

Autre acteur de poids à s’être positionné sur ce marché, Trend Micro, avec son offre Cloud App Security. Renaud Bidou, directeur technique Europe du Sud de Trend Micro, pointe l’atout d’une offre de sécurité Cloud : « Il s’agit d’une solution complètement transparente. Celle-ci s’appuie sur l’API Microsoft et l’entreprise n’a pas à déployer de gateway. Il lui suffit de provisionner son Active Directory pour que l’analyse devienne effective pour ses utilisateurs. Ainsi, un de nos clients a déployé la solution pour 120 000 de ses utilisateurs en un week-end seulement et sans avoir à solliciter notre aide. » L’expert souligne la capacité de la solution à fonctionner en mode hybride Exchange/Microsoft 365. « Nous avons cette capacité d’accompagner nos clients dans leur transition dans le Cloud sans rupture dans la sécurisation de leur messagerie. Nous développons toujours nos solutions on-premise en parallèle à cette offre Cloud et nous avons cette capacité à faire interopérer les deux de manière transparente. » L’entreprise peut ainsi mettre en place des configurations où ses utilisateurs distants vont utiliser Office 365, mais devront passer par le serveur Exchange on-premise lorsqu’ils sont sur un site de l’entreprise. « Nous pouvons notamment débrayer la protection Exchange pour les messages qui ont déjà été traités par Office 365 pour éviter les pertes de performance, les doublons » ajoute Renaud Bidou.

De la cybersécurité à la protection de l’information

S’il est bien évidemment essentiel de protéger la sécurité du tenant Microsoft 365 de l’entreprise, le RSSI doit aussi se soucier de la protection des données qui sont échangées par les utilisateurs entres eux, mais aussi avec l’extérieur. En effet, pour Daniel Rezlan, président d’IDECSI, éditeur d’une plateforme de surveillance et d’alerte en temps réel pour Microsoft 365, la plateforme Microsoft a redonné de la liberté aux utilisateurs : « Les utilisateurs ont retrouvé une autonomie perdue. Par rapport à l’environnement Desktop qui a été verrouillé par les RSSI, ceux-ci peuvent partager de l’information avec qui ils le souhaitent, accéder à leur environnement de travail de partout et depuis n’importe quel terminal. Ces utilisateurs peuvent télécharger des applications pour améliorer leur productivité, ils sont, d’une certaine façon, redevenus administrateur sur leur environnement de travail. » Les utilisateurs ont gagné en autonomie et une tentation pour les équipes de sécurité serait de verrouiller à nouveau en bloquant les échanges externes, et, par exemple supprimer les partages automatiquement au bout de 3 mois. « Cette tentation d’interdire les partages ou, les accès sur de multiples terminaux entrainerait un rejet de la part des utilisateurs et ferait percevoir la SSI comme un frein au développement, ce qui est une position impossible à tenir sur le long terme. C’est la raison pour laquelle Il faut accompagner le déploiement de Microsoft 365 et activer ces fonctions collaboratives qui permettent d’aller vers l’entreprise étendue en gardant la maîtrise de l’information sans chercher à interdire avec des mesures simples de gouvernance et en mettant en place des outils de supervision pour avoir une vision des échanges d’informations sur la plateforme. »

Microsoft fournit dans sa suite logicielle des solutions de protection des données. David Hozé, fondateur de Wize Partners, société de conseil spécialisée dans la sécurité Cloud souligne l’intérêt d’une offre intégrée, notamment dans le domaine de la protection des données, un domaine où les solutions jugées trop lourdes et contraignantes ont été peu déployées en dehors de certains secteurs très réglementés comme la banque. « La solution Azure Information Protection (AIP) est directement intégrée à tous les postes de travail et à tous les outils Microsoft. La solution Microsoft est stable, bien intégrée à Outlook, le RSSI n’a plus qu’à activer la fonctionnalité. Techniquement, on savait le faire avec d’autres solutions, mais Microsoft 365 apporte une facilité et une intégration unique. »

Plusieurs éditeurs, comme Acronis, IBM Security, Varonis, SolarWinds, et la solution d’Idecsi se distinguent par l’implication de l’utilisateur final dans cette protection de la donnée via un assistant personnel de sécurité. Via un site web, il peut consulter la liste des utilisateurs qui ont accédé à ses données et déceler ainsi un éventuel partage malveillant.

Au RSSI de placer le curseur entre solutions Microsoft ou tierces

MDM, DLP, CASB, Microsoft propose de multiples solutions de sécurité qui gravitent autour de Microsoft 365 et leur préférer une solution externe va dépendre des besoins réels des métiers, de la dette technique de l’entreprise mais aussi de la volonté du DSI de disposer de briques de sécurité autres que celles proposées par Microsoft.

Face à tous les acteurs de la cybersécurité qui se sont rapidement positionnés sur ce marché Microsoft 365, que vaut véritablement l’offre Microsoft ? David Hozé met en exergue la richesse du catalogue de solutions de sécurité de l’éditeur : « Microsoft propose une myriade de fonctions de cybersécurité qui font partie des meilleures offres disponibles du marché et qui résolvent bon nombre de problématiques de sécurité. Pour autant, ces fonctions n’ont rien de gratuit et le coût peut être très élevé, notamment lorsqu’on multiplie le coût unitaire par un grand nombre d’utilisateurs. C’est notamment le cas du forfait E5 qui inclut toutes les options.»

 

---

« Nous proposons une offre pour Microsoft 365 qui fonctionne de manière transparente »

Renaud Bidou,
directeur technique Europe du Sud de Trend Micro

 

« Nous proposons aux entreprises une offre de sécurité pour Microsoft 365 qui fonctionne de manière transparente, avec une protection basée sur l’analyse de contenu, du sandboxing, le Machine Learning, mais aussi des opérations de DLP pour vérifier que les fichiers qui transitent et qui sont stockés ne contiennent pas de données sensibles. Nous vérifions que les données qui transitent ne contiennent pas d’éléments malicieux, comme des URL par exemple, et nous assurons bien évidemment la détection du phishing en vérifiant que les URL ne sont pas associées à des sites de phishing. D’autre part, nous avons aussi mis au point une technique qui vise à contrer les attaques au président. Il s’agit de définir l’ADN d’écriture de chaque VIP de l’entreprise, un moyen de déterminer le style d’écriture de chacun et déclencher une alerte lorsqu’un message envoyé par une personne identifiée comme VIP ne correspond pas à son modèle d’écriture habituel. »