Les compromis de la sécurité native de Microsoft 365

Sécuriser la plus vaste surface d'attaque de l'entreprise

Les technologies que nous adoptons pour améliorer l'efficacité de notre entreprise peuvent malencontreusement avoir le même effet que les acteurs malveillants cherchant à en trouver l'accès.

Les outils d'amélioration de la productivité et les suites collaboratives, comme Microsoft 365 et Google Workspace, illustrent parfaitement ce compromis. Ces suites embarquent une impressionnante variété d'applications conçues pour faciliter l'accès aux données, tant en ce qui concerne l'utilisation que la manipulation ou le déplacement. En conséquence, ces outils présentent une vaste surface d'attaque, en même temps qu'ils facilitent les mouvements latéraux et accès illicites pour les acteurs malveillants qui parviennent à s'y frayer un chemin.

Face à l'adoption généralisée de ces suites d'applications, les acteurs malveillants sont de plus en plus motivés par la recherche de vulnérabilités au sein de ces dernières. D'après une récente étude d'Okta, Microsoft 365 revendique près du double de clients que les offres concurrentes et constitue donc une cible à la valeur particulièrement élevée.

Ce n'est toutefois pas une raison pour éviter d'utiliser Microsoft 365. Microsoft investit fortement dans la protection et propose une sécurité native dans le cadre de sa suite 365. La popularité de Microsoft (et les risques qui l'accompagnent) constitue donc une raison suffisante pour compléter la suite par des services de sécurité supplémentaires, comme l'entreprise le suggère dans son modèle à responsabilité partagée. Cette opération permet de renforcer la stratégie de sécurité du courrier électronique de votre entreprise, à la fois contre les vulnérabilités de Microsoft et les faiblesses plus systémiques.

Quelles sont les étapes les plus importantes ? Et de quelle manière les entreprises peuvent-elles les suivre sans compromettre l'efficacité que Microsoft 365 leur apporte en premier lieu ?

Étape 1 : amélioration de la protection contre le phishing

La vaste majorité des cyberattaques commencent par une tentative de phishing (plus de 90 %, selon des recherches récentes).

Pour prévenir le phishing, Microsoft 365 fait appel à une fonctionnalité native d'analyse des e-mails afin de filtrer les messages malveillants. Les données montrent que ce service ne permet pas de bloquer toutes les attaques. Cloudflare a découvert qu'en 2020, les utilisateurs de la solution de courrier électronique de Microsoft 365 avaient vu plus de 900 000 e-mails de phishing échapper à cette sécurité native. Près de 50 % de ces e-mails négligés impliquaient un domaine récemment créé et 15 % encore comprenaient une URL malveillante.

En outre, la solution e-mail de Microsoft (comme celles de la plupart des fournisseurs de courrier électronique dans le cloud) se révèle vulnérable à d'autres types d'attaques :

• Phishing différé : cette méthode permet aux acteurs malveillants d'envoyer un e-mail contenant un lien pointant initialement vers un site inoffensif. Une fois que l'e-mail a atteint la boîte de réception cible, le pirate fait alors en sorte que l'URL redirige vers un site malveillant.

• Utilisation malveillante de l'infrastructure Microsoft : cette technique permet aux pirates d'héberger des pages malveillantes à l'aide de services cloud de Microsoft. Il a été démontré que cette méthode parvenait occasionnellement à passer outre les fonctionnalités d'analyse des e-mails de Microsoft.

Conformément à la philosophie de « responsabilité partagée » de Microsoft, des couches supplémentaires de protection peuvent s'avérer nécessaires pour prévenir les attaques. Les aspects suivants constituent d'importants points de départ :

• Isolement des liens contenus dans les e-mails : afin de protéger les utilisateurs des liens malveillants qui soit parviennent à passer entre les mailles du filet soit remplacent les liens inoffensifs après la diffusion. Microsoft propose une solution générale d'isolement de navigateur sous forme de plug-in, mais l'exécution de l'isolement au niveau local s'avère gourmande en mémoire et peut ralentir l'expérience utilisateur. À la place, vous pouvez envisager la mise en œuvre d'un service plus robuste exécuté dans le cloud, qui ne fait pas appel à une fonctionnalité de « screen-streaming » (visualisation de l'écran) pesante en termes de trafic et empêche les utilisateurs d'effectuer des actions potentiellement dangereuses, comme la saisie d'identifiants sur des sites non approuvés.

• Sécurité avancée du courrier électronique cloud : cette approche incorpore l'analyse des sentiments, des graphiques de confiance relatifs à l'expéditeur, une fonctionnalité de blocage automatique et d'autres outils pouvant être calibrés de manière à arrêter les e-mails malveillants que la plateforme Microsoft 365 est connue pour manquer.

Étape 2 : amélioration des fonctionnalités de recherche des logiciels malveillants

La prévention du phishing constitue une étape importante pour la sécurité, mais elle est loin d'être la seule. D'autres types d'attaques servent à installer des logiciels malveillants sur des appareils terminaux et l'infrastructure réseau dans son intégralité. Cette opération peut se produire par e-mail, sur des sites web malveillants déclenchant automatiquement le téléchargement ou par d'autres moyens.

Le service anti-logiciels malveillants principal de Microsoft 365 s'appelle Defender et est installé sur les appareils terminaux. Application Guard, un plug-in de navigateur, peut également vous aider en maintenant les sites web malveillants (et les éventuels logiciels malveillants) sous sandbox.

Conformément à l'engagement plus général de Microsoft envers la sécurité, Defender n'est pas en reste concernant la détection des logiciels malveillants. Toutefois, certainesétudes ont révélé que ses taux de détection étaient à la traîne comparés à ceux de produits similaires. En outre, certains éléments de cette fonctionnalité engendrent des failles potentielles :

• Le service permet aux utilisateurs d'exclure certains emplacements figurant sur leurs systèmes de la recherche de logiciels malveillants, une pratique courante pour les applications utilisant du code non standard code, mais qui constitue néanmoins un risque potentiel. De même, les chercheurs ont découvert que la liste d'emplacements exclus était stockée de manière non sécurisée dans certaines versions du système d'exploitation Windows. Les acteurs malveillants disposant d'un accès local pouvaient ainsi voir dans quels emplacements système installer leurs logiciels afin d'échapper à la détection.

• Defender ne fonctionne par défaut que sur le navigateur Microsoft Edge. Des plug-ins sont disponibles pour les autres navigateurs, mais si les utilisateurs ne les installent pas, pour une raison ou une autre, ces navigateurs peuvent faire office de maillons faibles.

Ces mêmes problèmes de plug-in s'appliquent concernant Application Guard et l'isolement de navigateur local entraîne souvent des performances médiocres des appareils, qui à leur tour pourraient pousser l'utilisateur à désactiver tout simplement ces derniers.

Les entreprises peuvent envisager plusieurs pratiques pour renforcer ces mesures de protection :

• Protection supplémentaire des points de terminaison : soutenue par le meilleur corpus d'informations sur les menaces possible, et dont les ensembles de règles et les listes de blocage ne s'avèrent pas faciles à désactiver par les utilisateurs.

• Authentification multifacteurs (MFA) : c'est-à-dire l'utilisation de plus qu'une simple combinaison nom d'utilisateur/mot de passe pour accéder aux applications. Ces autres facteurs d'authentification comprennent les jetons de sécurité physiques et les codes à usage unique envoyés sur le téléphone de l'utilisateur. Si les pirates parviennent à installer des logiciels malveillants, l'authentification MFA les empêche de pouvoir utiliser ces derniers pour accéder aux applications de l'entreprise.

• Isolement des liens contenus dans les e-mails : comme mentionné précédemment, l'activité web isolée devrait s'exécuter dans le cloud, fonctionner facilement avec n'importe quel navigateur et s'appuyer sur une technologie moderne pour éviter de perturber les sites.

Étape 3 : empêcher l'escalade des privilèges

Même avec de robustes mesures de protection des e-mails et solutions anti-logiciels malveillants en place, les entreprises doivent se préparer à ce que les pirates parviennent à accéder sous une forme ou une autre à leur instance Microsoft 365. Cette préparation constitue un élément central de la sécurité moderne (souvent résumé par le principe Zero Trust « Ne jamais faire confiance, toujours vérifier » à l'égard des requêtes se déplaçant entre divers emplacements au sein d'un réseau).

Microsoft 365 propose plusieurs services de gestion des accès et des autorisations dont disposent les utilisateurs. Ces dernières années, toutefois, l'escalade des privilèges s'est révélée la vulnérabilité la plus courante de Microsoft 365, d'après les recherches de BeyondTrust. Lors de ces incidents, les acteurs malveillants parviennent à accéder au compte d'un utilisateur et, de là, étendent l'éventail de systèmes et de paramètres auxquels ils peuvent accéder, afin de faciliter les mouvements latéraux, le vol d'identifiants et la compromission d'applications ciblées.

Une étape importante vers la prévention s'avère d'ordre logistique : le retrait des droits d'administration d'autant d'utilisateurs que possible. Une équipe informatique surchargée pourrait être tentée d'accorder des droits excessifs aux utilisateurs afin d'améliorer l'efficacité et de réduire les tickets de support, mais aussi utile que cette approche puisse paraître à court terme, le fait d'accorder aussi peu d'accès que possible aux utilisateurs constitue un autre principe important de la sécurité moderne. En outre, le rapport BeyondTrust susmentionné a montré que la suppression des droits d'administration pouvait également permettre de réduire plus largement les tickets de support. Il remarque d'ailleurs que « les ordinateurs tournent tout simplement mieux lorsque les utilisateurs n'ont pas les privilèges nécessaires pour entraver leur fonctionnement ».

Les entreprises peuvent envisager l'installation de systèmes dits Cloud Access Security Broker (CASB, agent de sécurité des accès au cloud), qui permettent d'obtenir visibilité et contrôle sur la manière dont les utilisateurs accèdent aux services cloud, comme Microsoft 365 (notamment concernant les fichiers et les données que ces utilisateurs partagent). Microsoft propose d'ailleurs un service CASB natif, mais les entreprises peuvent souhaiter sélectionner un CASB tiers directement bâti au sein d'une plateforme Zero Trust plus large, afin d'autoriser l'intégration à d'autres services Zero Trust et d'appliquer un corpus d'informations sur les menaces distinct à leur stratégie de sécurité.

Minimiser les effets sur l'efficacité

Les entreprises adoptent souvent Microsoft 365 pour améliorer la productivité générale des équipes et leur efficacité technologique. À ce titre, ces entreprises peuvent donc se demander si les recommandations mentionnées précédemment seraient susceptibles d'ajouter des démarches fastidieuses à la journée de leurs utilisateurs, de ralentir l'utilisation d'Internet pour ces derniers ou de les empêcher au final d'utiliser certaines applications.

Le fait de ne se reposer que sur la sécurité native et centralisée de Microsoft pourrait ainsi paraître comme l'approche la plus efficace, mais les bons services complémentaires peuvent combler les lacunes sans nuire à l'efficacité. Les entreprises doivent se mettre en quête de services de sécurité proposant les caractéristiques suivantes :

En agissant de concert, ces qualités assurent la flexibilité nécessaire et de solides performances réseau aux entreprises et à leurs collaborateurs, tout en simplifiant considérablement le processus de modernisation de la sécurité.

La voie à suivre

Cloudflare propose bon nombre des fonctionnalités de sécurité mentionnées ci-dessus dans le cadre de son offre élargie de services de sécurité Zero Trust, notamment la sécurité du courrier électronique cloud, l'isolement des liens contenus dans les e-mails, un Cloud Access Security Broker et des intégrations aux fournisseurs de MFA.

Toutefois, comme nous l'avons déjà vu, le fait de complémenter la sécurité native de Microsoft 365 nécessite également une concentration sans faille sur la préservation de l'efficacité. L'architecture unique de Cloudflare peut vous assurer cette efficacité, grâce aux possibilités suivantes :

• Un réseau fortement interconnecté et résidant à quelques millisecondes de 95 % des utilisateurs d'Internet, afin de vous garantir que vos effectifs conserveront un accès direct et rapide aux serveurs Microsoft, partout dans le monde.

• Un tissu réseau homogène au sein duquel chaque service de sécurité peut s'exécuter à n'importe quel emplacement, afin de faire en sorte que le transit du trafic via Cloudflare ne s'accompagne pas d'une latence supplémentaire.

• Un partenariat solide avec Microsoft, permettant de garantir que les services de sécurité Cloudflare s'intègrent en toute fluidité aux outils de Microsoft 365.

Apprenez-en davantage sur Cloudflare Zero Trust afin de découvrir de quelle manière notre architecture unique fait rimer sécurité avec efficacité.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Microsoft et Microsoft 365 sont des marques commerciales du groupe d'entreprises Microsoft.

Points clés

Cet article vous permettra de comprendre les points suivants :

• Microsoft 365 et ses protections natives

• Microsoft et son modèle à responsabilité partagée

• Les stratégies permettant de compléter les fondations de la sécurité de Microsoft 365 sans compromettre l'efficacité de vos collaborateurs

Ressources associées

• Guide de l'architecture Zero Trust

• Qu’est-ce que la sécurité Zero Trust ?

• Ignorer l'authentification multifacteur

• Sécuriser durablement le travail décentralisé au sein de l'entreprise