Selon une analyse Proofpoint, plus de la moitié (57 %) des plus grandes entreprises françaises n’ont toujours pas un niveau de protection assez important contre le risque de fraude par email, pourtant premier vecteur de cyberattaques.
Alors que le 32e congrès du coTer numérique dédié aux professionnels IT des collectivités territoriales vient de refermer ses portes, le constat est sans appel, les administrations publiques constituent aussi une cible particulièrement vulnérable et la sensibilisation des agents territoriaux aux enjeux de la cybersécurité devient primordial.
Les courriels étant le principal canal de communication entre les organisations et leurs collaborateurs, l’attaque proviendra très probablement d’un courrier électronique frauduleux. Le rapport State of the Phish 2023 de Proofpoint montre en effet que les attaques par courriel sont restées la principale menace pour les entreprises, et en France, huit sur dix auraient subi au moins une attaque par hameçonnage (« phishing ») réussie l’an dernier.
La fraude par courrier électronique (BEC Business Email Compromise) reste d’ailleurs en tête des menaces les plus importantes pour les RSSI d’après l’étude Voice of the CISO 2023 de Proofpoint. La plupart des attaques ciblent des utilisateurs pour ensuite atteindre les systèmes, et les équipes de sécurité ne peuvent pas à elles seules empêcher les cybercriminels d’infiltrer l’organisation.
Le standard DMARC, premier rempart contre la fraude par email
DMARC est un protocole d’authentification des messages électroniques conçu pour protéger les noms de domaine contre une utilisation abusive par les cybercriminels. Il authentifie l’identité de l’expéditeur avant de permettre à un message d’atteindre sa destination.
Exemple notable, face aux vagues de faux courriels usurpant massivement l’identité de la Gendarmerie Nationale dans des campagnes d’hameçonnage de grande ampleur, le domaine gendarmerie.interieur.gouv.fr puis désormais les domaines gendarmerie-en-ligne.fr ainsi que pre-plainte-en-ligne.gouv.fr sont désormais protégés par le protocole DMARC : une démarche exemplaire de service public et de « services aux citoyens » !
DMARC comporte trois niveaux de protection : surveillance, quarantaine et rejet ; le rejet étant le plus sûr pour empêcher les messages suspects d’atteindre la boîte de réception.
Mettre en œuvre le protocole DMARC permet à une organisation de définir quel traitement doit être appliqué sur les messages électroniques utilisant son nom de domaine, ainsi que la politique à appliquer en cas d’échec lors de la vérification : accepter le message électronique (p=none, où p signifie ici policy — politique en anglais), le catégoriser comme indésirable (p=quarantine), ou le supprimer (p=reject).
État des lieux de la protection DMARC sur les entreprises du CAC 40 en France
Si toutes les entreprises sont concernées, certaines sont plus exposées que d’autres, par leur notoriété et les enjeux financiers qui peuvent en découler. Les entreprises du CAC 40 ont tout intérêt à se protéger des menaces de phishing, qui peuvent mener à des pertes financières énormes, voire un arrêt total de l’activité dans le cas d’un rançongiciel de grande ampleur. Mais quid d’une attaque qui serait facilitée par l’emploi de leur nom de domaine légitime, insuffisamment sécurisé ? Attaque qui pourrait être de grande ampleur (vers la base Clients par exemple) ou très ciblée, par exemple vers un concurrent direct par exemple…
Proofpoint a réalisé une analyse des enregistrements DMARC (Domain-based Message Authentication, Reporting and Conformance) des entreprises du CAC 40 en France en juin 2023.
Les grandes entreprises peuvent représenter une cible de choix pour les cybercriminels, et celles-ci subissent régulièrement des tentatives de fraude. Les sociétés cotées en bourse font face à de multiples risques en cas d’attaque réussie ; des dommages financiers « directs », générés par les cybercriminels eux-mêmes, via la fraude ou bien par le paiement d’une rançon, mais aussi les dommages financiers « indirects » liés à l’évolution du cours en bourse, qui ne manquera pas d’être affectée suite à l’annonce d’une cyberattaque impliquant l’organisation.
Il est donc inquiétant de voir que les entreprises du CAC 40, si elles ont sensiblement amélioré leur niveau de protection, ont encore du chemin à parcourir. À l’heure où nous publions, seuls 43 % d’entre elles ont le niveau maximal recommandé pour une protection efficace de leur messagerie (« reject »). La bonne nouvelle est que nous constatons une amélioration depuis l’année dernière ; l’analyse de Proofpoint concernant les niveaux d’adoption DMARC des entreprises du CAC 40 en octobre 2022 révélait alors que seulement 35 % du CAC 40 avaient une politique DMARC, au niveau « reject ».
Les principales conclusions de l’analyse sont les suivantes :
- L’adoption du DMARC par les entreprises du CAC 40 est en hausse. Cette année, 36 des 40 entreprises du CAC (90 %) ont publié un enregistrement DMARC, contre 78 % en 2022 et 77 % en 2021.
- Si l’amélioration est notable d’année en année, 4 entreprises (10 %) du CAC 40 (contre 9 – 22 % — en 2022) n’ont à ce jour toujours pas d’enregistrement DMARC, exposant donc, sans aucune surveillance minimale, l’ensemble de leur écosystème partenaires, clients et fournisseurs à la fraude par email. À noter qu’en 2021, 23 % des entreprises du CAC 40 n’avaient pas d’enregistrement DMARC.
- 19 entreprises (48 %) du CAC 40 (contre 17 — soit 43 % — en 2022) ont pris les mesures initiales en publiant un enregistrement DMARC, mais n’assurent aucun rôle actif de protection, uniquement un niveau de surveillance et de mise en quarantaine minimale.
- Enfin, parmi les 36 entreprises du CAC ayant publié un enregistrement DMARC, 17 (43 %) d’entre elles (contre 14 — soit 35 % — en 2022) ont mis en œuvre le niveau de protection recommandé et le plus strict (rejet), qui empêche activement les courriers électroniques frauduleux d’atteindre leurs cibles. Il s’agit d’une amélioration significative par rapport à 2021, où seulement 15 % étaient au niveau « rejet ». La protection s’améliore donc, mais plus de la moitié des entreprises du CAC 40 (57 %) laisse encore leurs clients exposés à un risque possible d’hameçonnage par courriel prétendant provenir de leurs domaines.
DMARC reste la seule technologie ouverte capable non seulement de défendre contre l’usurpation de domaine et donc le risque d’usurpation d’identité, mais aussi de les éliminer. Lorsque DMARC est mis en place en mode « rejet », un courriel malveillant d’imposteur ne peut pas atteindre la boîte de réception, ce qui élimine définitivement le risque d’interférence humaine.
Pour les grandes entreprises, c’est la protection de leur chaîne de valeur qui en dépend. Appliquer les bonnes pratiques au sommet peut encourager tout un écosystème à adopter des principes fondamentaux pour la cybersécurité, incluant le protocole d’authentification DMARC et les mesures supplémentaires de certification d’origine des courriels telles que le sceau « BIMI » (Brand Indicators for Message Identification) — uniquement ouvert aux noms de domaines protégés par DMARC — et qui permet aux entreprises d’afficher leurs logos directement au niveau de la boîte de messagerie de leurs destinataires, à côté du nom de l’émetteur.
Alors que renforcer la résilience des écosystèmes est essentiel, on saluera l’initiative de la Direction Générale de l’Armement (DGA), en collaboration avec l’ANSSI, qui s’attache à « accélérer la cybersécurisation de tous les opérateurs économiques de la BITD », Base Industrielle et Technologique de Défense (BITD) pour le développement d’une industrie compétitive et pérenne. Composée d’une dizaine de grands groupes et plus de 4 000 PME, dont 450 considérées comme stratégiques, on ne peut que souhaiter la mise en place de DMARC en mode reject en son sein !
Dans la même veine, à quand cette sécurisation des communications par message électronique (courriel et SMS, comme demandé récemment par le président Emmanuel Macron) des services aux citoyens par nos différents services publics ? Maintenant que certaines organisations publiques et entreprises françaises parmi les plus renommées ont montré la voie, notamment avec l’adoption du protocole DMARC et du sceau BIMI.
Pour en savoir plus sur DMARC : https://www.proofpoint.com/fr/products/email-protection/email-fraud-defense