Cloudflare s'est donné pour mission de contribuer à bâtir un Internet meilleur. Nous avons fortement investi dans le développement du réseau cloud le plus puissant du monde afin de proposer un Internet plus rapide, plus sûr et plus fiable à nos utilisateurs. Aujourd’hui, nous sommes sur le point de franchir une étape importante pour accroître notre capacité à sécuriser nos clients.
Un peu plus tôt aujourd'hui, nous avons annoncé que Cloudflare avait convenu d'acquérir Area 1 Security. L'équipe d'Area 1 a développé une technologie cloud-native exceptionnelle, conçue pour protéger les entreprises contre les menaces basées sur le courrier électronique. Cloudflare va intégrer la technologie d'Area 1 à son réseau mondial afin d'offrir à ses clients la plateforme de sécurité Zero Trust la plus complète du marché.
Pourquoi sécuriser les e-mails ?
Au début des années 2000, j'étais engagé dans la lutte contre le spam du courrier électronique. À l'époque, avant l'adoption massive des plateformes de messagerie dans le cloud, le spam constituait un véritable fléau. Ces e-mails inutiles encombraient les boîtes de réception, prenaient très longtemps à charger et pesaient ainsi lourdement sur la facture Internet des utilisateurs. La lutte contre le spam impliquait deux aspects : l'un technique, l'autre d'ordre architectural.
Techniquement, nous avons compris comment tirer parti de l'apprentissage automatique pour parvenir à différencier le spam des e-mails légitimes. Les plateformes de messagerie ont également migré relativement rapidement vers un modèle essentiellement basé sur le cloud. L'association de ces deux changements n'a pas mis fin aux e-mails de spam, mais les a relégués vers une boîte spéciale remplie de bric-à-brac qui n'a que rarement besoin d'être consultée.
Le spam n'a cependant pas tué le courrier électronique, même si on eût pu le craindre pendant un temps. Cependant, les e-mails conservent une importance critique qui fait d’eux un vecteur de choix pour les menaces visant les entreprises et les particuliers.
Toutefois, si les particuliers sont en grande partie passés à des solutions de messagerie basées sur le cloud, de nombreuses entreprises possèdent toujours des serveurs sur site pour gérer leur courrier électronique. En outre, comme pour tout aspect relevant de l'univers de la cybersécurité, les e-mails nécessitent la meilleure protection possible qui ne peut se limiter aux fonctions intégrées à la plateforme que propose le fournisseur de messagerie électronique.
Lorsque Cloudflare en était encore à ses débuts, nous avions envisagé de nous attaquer au problème des menaces propagées par e-mails, mais nous avons choisi de nous concentrer sur le développement de défenses pour les réseaux et le web. Avec le temps, nous avons fortement étendu notre offre de protection et nos clients utilisent désormais nos services pour protéger l'intégralité de leurs surfaces connectées à Internet.
Nous pouvons ainsi protéger, par exemple, un serveur de courrier électronique contre les attaques DDoS à l'aide de Magic Transit, mais il ne s'agit là que d'un seul moyen par lequel les e-mails peuvent potentiellement être attaqués. Les e-mails directement envoyés aux entreprises peuvent se révéler bien plus insidieux, en particulier ceux qui véhiculent du contenu visant à escroquer les destinataires, des logiciels malveillants et d'autres menaces. À l'instar de la protection offerte par Cloudflare aux applications qui s'appuient sur le protocole HTTP, nous devons protéger les e-mails au niveau de l'application et du contenu.
Si vous lisez la presse, vous remarquerez que les mêmes actualités reviennent régulièrement à quelques semaines d'intervalle. Vous lisez ainsi des articles traitant d'entreprises qui ont vu bon nombre de leurs données compromises du fait d'un employé qui s’est laissé piéger par un e-mail de phishing.
Les cybermenaces pénètrent les entreprises par l'intermédiaire des e-mails. Area1 évalue que plus de 90 % des cyber-dommages sont causés par un seul moyen : le phishing. Soyons clairs : les e-mails constituent la plus grande source d'exposition pour n'importe quelle type d'entreprise.
Les solutions de sécurité des e-mails existantes ne sont pas suffisantes. Historiquement, les entreprises répondaient aux menaces véhiculées par e-mail en superposant des couches de sécurité reposant sur des boîtiers traditionnels. Cette superposition est toujours de mise, car près d'une entreprise sur sept figurant sur la liste Fortune 1000 utilise au moins deux solutions de sécurisation des e-mails1. Si vous connaissez Cloudflare, vous savez que les équipements existants type boîtier ne sont pas notre tasse de thé. À mesure que les entreprises poursuivent leur migration vers le cloud, les plateformes de messagerie électronique suivent le même chemin. Selon les estimations de Gartner, 71 % des entreprises utilisent une solution de courrier électronique cloud ou cloud hybride, les solutions G Suite de Google et Office 365 de Microsoft figurant au palmarès des services les plus courants2. Ces deux acteurs proposent des fonctions de protection intégrées à leurs produits de courrier électronique, mais de nombreuses entreprises ne considèrent pas que ces fonctionnalités protègent les utilisateurs de manière adéquate (à partir de notre expérience, nous partagerons plus tard davantage de détails au sujet de ces lacunes ).
Essayer avant d'acheter
La sécurité des e-mails nous occupe l'esprit depuis longtemps.
L'année dernière, nous avons déployé l'assistant DNS de sécurité des e-mails, notre premier produit consacré à la sécurité du courrier électronique. Cet outil était conçu pour lutter contre l'usurpation d'adresse e-mail et le phishing, afin d'améliorer la livraison de millions d'e-mails. Il s'agissait de notre premier pas au sein de l'univers de la sécurité des e-mails. L'intégration d'Area 1 constitue le suivant et sa portée se révèle bien plus importante encore.
En tant qu'entreprise de sécurité, nous sommes constamment sous les feux d'attaques diverses. Nous utilisons les services d'Area 1 depuis quelque temps afin de protéger nos collaborateurs contre les auteurs de ces attaques.
Début 2020, notre équipe de sécurité a remarqué un accroissement des tentatives de phishing signalées par nos employés. Notre fournisseur de messagerie électronique basé sur le cloud disposait d'une puissante fonctionnalité de filtrage du spam, mais ne parvenait pas à bloquer les menaces malveillantes et autres attaques avancées. Il ne proposait en outre que des mesures de contrôle couvrant son application web native, mais ces dernières ne se montraient pas suffisantes pour protéger son application iOS et d'autres moyens d'accéder aux e-mails. Nous avions manifestement besoin de superposer une solution de sécurité des e-mails à ses fonctionnalités de protection intégrées (nous partagerons de plus amples informations sur la superposition ultérieurement).
L'équipe a considéré les prestataires sous quatre angles principaux : la possibilité d'analyser les pièces jointes, la capacité d'analyse des liens malveillants, la protection contre la compromission des adresses e-mail et la robustesse des API intégrées aux fournisseurs de messagerie électronique cloud-native. Après avoir testé plusieurs prestataires, Area 1 s'imposa comme le choix le plus évident pour protéger nos collaborateurs. Nous avons mis en œuvre la solution d'Area 1 au début de l'année 2020 et les résultats se sont révélés impressionnants. Grâce à Area 1, nous avons pu identifier les campagnes de phishing de manière proactive et prendre des mesures contre ces dernières avant qu'elles ne puissent causer des dégâts. Nous avons également constaté une baisse remarquable et prolongée des e-mails de phishing. Le service d'Area 1 ne présentait en outre qu'une incidence très faible, voire inexistante, sur la productivité de nos e-mails. Notre équipe de sécurité pouvait donc maintenir son attention sur les tâches importantes, car elle n'était pas dérangée par les faux positifs, dont le nombre était minime
En définitive, la technologie d'Area 1 s'est révélée tellement efficace lors de son lancement que notre directeur général (CEO) a contacté notre directeur de la sécurité afin de lui demander si notre solution de sécurité des e-mails était en panne. Pendant plusieurs semaines, notre directeur général n'a eu sous les yeux aucun signalement de tentative de phishing rapportée par nos collaborateurs, une occurrence rare s'il en est. Il s'avère finalement que ces derniers ne signalaient aucune tentative de phishing, car Area 1 les bloquait toutes avant qu'elles n'atteignent la boîte de réception des employés.
La raison pour laquelle Area 1 parvient à se montrer plus efficace que les autres fournisseurs est double. En premier lieu, l'entreprise a développé une plateforme de données remarquable et capable d'identifier les schémas relatifs aux e-mails. Quelle est la provenance d'un e-mail donné ? À quoi ressemble-t-il ? De quelle adresse IP est-il issu ? Enfin, Area 1 officie dans l'univers de la sécurité des e-mails depuis neuf ans ce qui a permis à l’entreprise de collecter pendant cette période une importante quantité d’informations précieuses. Elle a d'ailleurs mis ces données à profit pour nourrir des modèles d'apprentissage automatique à la pointe de la technologie afin de pouvoir agir de manière préventive contre les menaces.
Superposition (sécurité des e-mails et Zero Trust)
Proposer un produit de sécurité des e-mails basé sur le cloud a du sens en soi, mais Cloudflare a une vision d'intégration de la technologie d'Area 1 qui s'inscrit dans une démarche bien plus vaste. Nous sommes convaincus que l'ajout d'une couche de sécurité des e-mails à notre plateforme Zero Trust existante permettra d’offrir à nos clients la meilleure des protections possibles.
Tout comme l'a fait Cloudflare en plaçant Area 1 devant sa solution de messagerie électronique existante, de nombreuses entreprises ont superposé deux produits de protection des e-mails, voire plus et les ont assemblés ensemble. Cet exercice de superposition s'avère toutefois difficile. Les produits différents s'appuient sur différents mécanismes de configuration (certains peuvent ainsi utiliser une IU, d'autres une API, d'autres encore peuvent ne pas prendre en charge Terraform, etc.) et de signalement. Ils présentent également des incompatibilités qui doivent être contournées.
Le protocole sous-jacent SMTP régissant les e-mails, existe depuis 1982 et de nombreux protocoles ont évolué autour de ce dernier afin de le rendre plus sûr, de lui ajouter une protection contre l'usurpation et une fonction de vérification de l'identité des expéditeurs, pour ne citer que quelques-unes des fonctionnalités supplémentaires ajoutées au cours de ces 40 dernières années. Faire fonctionner de manière correcte des produits de sécurité des e-mails superposés avec l'ensemble de ces protocoles supplémentaires se révèle particulièrement ardu.
En outre, une adresse de courrier électronique ne constitue pas une notion isolée. L'adresse e-mail d'un utilisateur est bien souvent utilisée en tant qu'identifiant sur la plateforme de son entreprise. L'association du Zero Trust et de la sécurité des e-mails prend donc ici tout son sens.
Comme nous l'avons vu, le canal e-mail constitue un vecteur majeur pour les attaques, mais il ne s'agit pas du seul. La sécurité des e-mails ne représente qu'une couche du système de défense d'une entreprise. La plupart des entreprises disposent de plusieurs couches de sécurité pour protéger leurs collaborateurs et leurs ressources. Ces couches de défense réduisent le risque de pénétration du système par un acteur malveillant. Imaginez maintenant que l'ensemble de ces couches soient spécialement conçues pour fonctionner ensemble de manière fluide, intégrées à la même pile logicielle, proposées par l'intermédiaire d'un prestataire unique et mises à votre disposition dans plus de 250 emplacements à travers le monde.
Imaginez un monde au sein duquel vous pouvez activer des mesures de sécurité des e-mails pour vous protéger contre le phishing et qui vous permette également, dans le cas où un acteur malveillant parvenait malgré tout à accéder à la boîte de réception d’un collaborateur, de créer une règle exigeant l'ouverture de tous les liens non reconnus au sein d'un navigateur isolé, sans saisie de texte possible, suivie d'une analyse de toutes les pièces jointes pour rechercher des logiciels malveillants connus. Il s'agit très exactement du degré de puissance que nous espérons atteindre en intégrant la technologie d'Area 1 à la plateforme Zero Trust de Cloudflare.
L'association du courrier électronique et du Zero Trust ouvre un vaste champ de possibilités en matière de protection des e-mails et des entreprises.
Intelligence partagée
Chez Cloudflare, nous sommes de fervents partisans des produits étroitement liés, capables de générer plus de valeur ensemble que la somme de leurs parties. En interne, nous nous référons à cette notion en faisant référence à l'équation 1 + 1 = 3. L'intégration d'Area 1 à notre plateforme Zero Trust permettra de générer une valeur considérable pour nos clients, mais la protection des e-mails n'en est que le début.
Area 1 a passé des années à nourrir ses modèles d'apprentissage automatique (Machine Learning) avec des données relatives aux e-mails afin de proposer une sécurité de premier ordre. L'alliance entre les données sur les menaces véhiculées par e-mail et les données sur les menaces issues de notre réseau mondial nous conférera une puissance incroyable qui nous permettra d'améliorer les capacités de sécurité de l'ensemble de nos produits.
Une vision commune
En collaboration avec l'équipe d'Area 1, nous allons poursuivre nos efforts visant à bâtir les solutions les plus robustes du monde en termes de réseau cloud et de plateforme de sécurité Zero Trust.
En guise de conclusion, l'aspect qui nous a le plus frappés chez Area 1 réside dans sa vision, que nous partageons, en faveur du développement d'un Internet meilleur (et plus sécurisé). Leur équipe fait preuve d'intelligence, de transparence et de curiosité, trois qualités que nous apprécions beaucoup chez Cloudflare. Nous sommes convaincus qu'ensemble, nos équipes pourront générer une valeur formidable pour nos clients.
Si nos futurs produits de sécurité des e-mails vous intéressent, nous vous remercions de nous en faire part en vous inscrivant ici. Vous trouverez plus d'informations sur l'acquisition ici ou sur le blog d'Area 1.
L'acquisition devrait avoir lieu au début du deuxième trimestre 2022 et reste sujette aux conditions habituelles de clôture. Jusqu'à la clôture de la transaction, Cloudflare et Area 1 Security demeurent des entreprises distinctes et indépendantes.
.....
1Piper Sandler, premier trimestre 2021, étude sur la sécurité des e-mails : part de marché
2Gartner, Market Guide for Email Security (guide du marché de la sécurité des e-mails), 8 septembre 2020