Le courrier électronique est l'élément vital de la plupart des organisations. Il n'est donc pas surprenant que les attaques par courrier électronique figurent systématiquement parmi les principales préoccupations auxquelles les RSSI sont confrontés. Jusqu'à 94% des attaques de phishing sont transmises par courrier électronique, les attaquants privilégiant toujours cet outil commercial essentiel comme méthode privilégiée pour accéder aux réseaux des victimes. Selon le FBI Rapport sur la criminalité sur Internet 2020, les attaques par courrier électronique professionnel, qui incluent à la fois le spear phishing et le whaling, ont représenté 1.8 milliard de dollars de pertes.
La Brèche de SolarWinds Orion, Attaque de Kaseyaet plus récemment le Vulnérabilité Log4j tous soulignent les conséquences dévastatrices des attaques réussies contre la chaîne d’approvisionnement. La compromission des e-mails des fournisseurs, qui fait référence aux piratages de comptes de parties qui communiquent régulièrement avec une organisation, est aujourd'hui l'une des menaces les plus graves basées sur les e-mails. Ces tiers ont souvent une sécurité plus faible que celle de la victime prévue et, une fois compromis, permettent aux attaquants d'exploiter cette relation de confiance afin de compromettre l'environnement cible. De telles menaces nécessitent des techniques de protection avancées, telles que l’intelligence artificielle (IA).
Les défenses traditionnelles ne suffisent pas
Le courrier électronique est depuis longtemps une cible attractive pour les attaquants ; ainsi, la plupart des organisations disposent d’au moins un certain niveau de protection. Néanmoins, les e-mails malveillants continuent de contourner ces défenses et d'arriver dans les boîtes de réception des utilisateurs. À partir de là, ils incitent souvent la victime à ouvrir une pièce jointe ou un lien, déclenchant une chaîne d’événements qui aboutissent finalement à la compromission de l’appareil.
Les anciennes protections de messagerie se concentrent sur la détection des indicateurs connus pour être malveillants. Par exemple, l'e-mail peut provenir d'un domaine suspect, contenir un lien vers un site Web nuisible ou inclure une pièce jointe avec une signature correspondant à celle d'un logiciel malveillant connu. Ces techniques ne peuvent pas protéger contre les menaces par courrier électronique envoyées par des parties de confiance ou contre les messages contenant des liens ou des pièces jointes qui n'ont jamais été vus auparavant.
Imaginez un instant une organisation multinationale comptant non seulement des milliers d’utilisateurs de messagerie, mais également un nombre considérable de partenaires avec lesquels ils communiquent régulièrement. Un tel scénario offre aux attaquants plusieurs angles d'attaque, car n'importe lequel de ces partenaires pourrait potentiellement être utilisé comme point d'entrée dans le réseau de la victime souhaitée.
Cependant, si un système d’IA parvient à comprendre ce qui constitue un comportement attendu dans les communications par courrier électronique, il peut neutraliser tout écart indiquant une menace. La correspondance antérieure peut être exploitée pour déterminer si l'expéditeur a déjà communiqué avec l'organisation, si le domaine est reconnu et si l'organisation entretient une relation commerciale valide avec ce domaine. L'IA peut analyser la fréquence des communications et même le type de langage utilisé dans les e-mails afin de détecter les activités suspectes indiquant une menace.
L'IA voit ce que les autres manquent
Si le compte de messagerie d'un partenaire est compromis, la compréhension du « normal » par le système d'IA jouera un rôle central dans la protection de l'entreprise. L'IA évaluera tous les liens envoyés depuis ce compte, et si ces liens pointent vers un domaine auquel aucun des hôtes internes n'a jamais accédé, cela peut être considéré comme inhabituel. Un autre indicateur de menace peut être le fait que le lien lui-même soit caché à l'utilisateur dans le corps de l'e-mail.
À partir de centaines de points de données, les systèmes d'IA actuels rassembleront ces signaux subtils de menace pour déterminer la réponse la plus appropriée : l'action la moins agressive nécessaire pour contenir la menace, sans perturber les opérations commerciales ni entraver la productivité.
Les attaquants tentent souvent de contourner les outils de sécurité existants en envoyant des liens vers des sites Web réputés que les anciens contrôles de réputation ne peuvent pas détecter à eux seuls. Non seulement l’approche basée sur l’IA décrite ici identifie correctement que de tels liens sont anormaux, mais elle effectue également une analyse plus approfondie du langage contenu dans l’e-mail pour confirmer que l’utilisateur est incité à cliquer. Plutôt que d’adopter une approche autoritaire consistant simplement à bloquer tous les e-mails de cet expéditeur, le système d’IA peut autoriser le passage des e-mails légitimes.
L'IA répond aux menaces en évolution
Les attaquants connaissent et exploitent les limites des protections traditionnelles. L’IA peut identifier et réagir aux écarts par rapport aux modèles d’activité normaux, tout en permettant aux opérations commerciales régulières de se poursuivre sans interruption. De tels outils peuvent corréler le langage naturel utilisé dans les e-mails avec d'autres indicateurs pour déterminer si une activité potentiellement malveillante est présente. Cela permet à une organisation de détecter des attaques qui seraient passées inaperçues si elle s'était simplement appuyée sur la réputation d'un domaine ou la signature d'un fichier.
Le courrier électronique reste un vecteur d’attaque privilégié par les cybercriminels car il continue de produire des résultats. Les défenses existantes peuvent être contournées avec une relative facilité, et les comptes compromis de tiers de confiance dans la chaîne d'approvisionnement d'une organisation représentent un nombre croissant de cas. En utilisant l'IA, chaque e-mail apparaîtra dans le contexte des activités établies de l'organisation, de sorte que tout ce qui n'appartient pas n'aura nulle part où se cacher.
