La prévention des menaces ne se limite pas au fait de maintenir les acteurs externes à l'extérieur du périmètre, mais s'attache également à conserver les données sensibles à l'intérieur. La plupart des entreprises n'ont pas conscience de la quantité d'informations confidentielles qui résident dans leurs boîtes de réception. Leurs collaborateurs traitent quotidiennement de vastes quantités de données sensibles, comme des éléments de propriété intellectuelle, des documents internes, des PII (Personally Identifiable Information, données à caractère personnel) ou des informations de paiement. Comme ils partagent souvent ces informations en interne par e-mail, le courrier électronique constitue dès lors l'un des endroits contenant le plus d'informations confidentielles au sein d'une entreprise. Il n'est donc pas surprenant que les entreprises se soucient de se protéger contre la fuite accidentelle ou malveillante de données sensibles et répondent à ces inquiétudes en instituant de robustes politiques de prévention de perte de données (Data Loss Prevention, DLP). Grâce à la solution de sécurité des e-mails Area 1 et à la plateforme Cloudflare One, Cloudflare facilite la gestion des données contenues dans les boîtes de réception de ses clients.
Cloudflare One, notre plateforme SASE proposant le réseau en tant que service (Network-as-a-Service, NaaS) assorti d'une sécurité Zero Trust nativement intégrée, connecte les utilisateurs aux ressources de l'entreprise et assure une large variété d'opportunités de sécurisation du trafic d'entreprise, notamment l'inspection des données transmises à la messagerie e-mail de votre entreprise. En tant qu'élément de notre plateforme composable Cloudflare One, la fonctionnalité de sécurité des e-mails Area 1 assure la protection des données la plus complète pour votre boîte de réception et propose une solution cohésive lors de l'ajout de services supplémentaires, comme la Data Loss Prevention (DLP). Grâce à la possibilité d'adopter et de mettre en œuvre les services Zero Trust selon les besoins, les clients peuvent superposer les défenses de manière flexible, en fonction de leurs scénarios d'utilisation les plus critiques. Dans le cas des solutions Area 1 et DLP, la combinaison peut répondre collectivement et de manière préventive aux scénarios d'utilisation les plus urgents, qui représentent les secteurs d'exposition à haut risque pour les entreprises. L'association de ces produits assure la défense en profondeur des données de votre entreprise.
Empêcher la sortie des données du courrier électronique dans le cloud via HTTPS
Le courrier électronique constitue un point de sortie facilement disponible pour les données des entreprises, alors pourquoi laisser les données sensibles s'y retrouver en premier lieu ? Un collaborateur peut joindre accidentellement un fichier interne plutôt qu'un livre blanc dans un e-mail adressé à un client. Pire encore, il pourrait joindre à cet e-mail un document contenant les informations de clients qu'il n'aurait pas fallu révéler.
La solution Cloudflare Data Loss Prevention (DLP) vous permet d'empêcher l'importation d'informations sensibles, comme des PII ou des éléments de propriété intellectuelle, à un courrier électronique professionnel. Proposé dans le cadre de Cloudflare One, le service DLP fait passer le trafic provenant des datacenters, des bureaux et des utilisateurs distants via le réseau Cloudflare. Lorsqu'il traverse notre réseau, nous appliquons au trafic diverses protections, dont la validation de l'identité et du niveau de sécurité des appareils, mais aussi le filtrage du trafic de l'entreprise.
La plateforme Cloudflare One propose une fonctionnalité de filtrage HTTP(S) vous permettant d'inspecter et d'acheminer le trafic vers vos applications d'entreprise. Le service Cloudflare Data Loss Prevention (DLP) tire parti des capacités de filtrage HTTP de Cloudflare One. Vous pouvez appliquer des règles à votre trafic professionnel et rediriger le trafic en fonction des informations contenues dans une requête HTTP. Une vaste gamme d'options de filtrage sont disponibles, par exemple, en fonction du domaine, de l'URL, de l'application et de la méthode HTTP, parmi bien d'autres. Vous pouvez utiliser ces options pour segmenter que vous souhaitez analyser à des fins de DLP. Toutes ces opérations s'effectuent avec les performances de notre réseau mondial et sont gérées via un plan de contrôle unique.
Vous pouvez appliquer des politiques DLP aux applications de messagerie professionnelle, comme Google Suite ou O365. Lorsqu'un collaborateur tente d'importer une pièce jointe dans un e-mail, l'élément est inspecté à la recherche de données sensibles, avant d'être autorisé ou bloqué, conformément à votre politique.
La solution Area 1 vous permet d'adjoindre d'autres principes de protection des données à vos e-mails professionnels des manières suivantes suivantes :
Appliquer des mesures de sécurité des données entre partenaires
Grâce à la solution Area 1 de Cloudflare, vous pouvez appliquer de robustes normes TLS. La configuration du TLS ajoute une couche de sécurité supplémentaire, car elle permet de s'assurer que les e-mails soient bien chiffrés. La solution empêche ainsi les acteurs malveillants de lire des informations sensibles et de modifier le message en cas d'interception de l'e-mail en transit (attaque de l'homme du milieu). Cette fonctionnalité s'avère particulièrement utile pour les utilisateurs de G Suite, dont les e-mails internes sont toujours envoyés sur l'Internet public et restent donc exposés aux regards indésirables, ou pour les clients sous le coup d'obligations contractuelles leur intimant de communiquer avec leurs partenaires via SSL/TLS.
La solution Area 1 facilite l'application des inspections SSL/TLS. Vous pouvez configurer le TLS du ou des domaines partenaires dans le portail d'Area 1 en vous rendant sur la page « Partner Domains TLS » (TLS des domaines partenaires) contenue sous « Domains & Routing » (Domaines et routage) et en ajoutant un domaine partenaire sur lequel vous souhaitez appliquer le TLS. Si le TLS est requis, tous les e-mails sans TLS provenant de ce domaine seront automatiquement abandonnés. Notre TLS vous garantit un chiffrement robuste plutôt qu'une approche « au mieux » afin de s'assurer que l'ensemble du trafic soit convenablement chiffré à l'aide de clés solides et ainsi empêcher un acteur malveillant de déchiffrer les e-mails interceptés.
Arrêter la perte de données passives dans les e-mails
Les entreprises oublient souvent que l'exfiltration peut également s'effectuer sans envoyer d'e-mails. Les pirates capables de compromettre le compte d'une entreprise sont également capables de rester passifs et de surveiller l'ensemble des communications, afin de récolter des informations manuellement.
Une fois qu'un acteur malveillant a atteint ce stade, il est incroyablement difficile de savoir qu'un compte a été compromis et de savoir quelles informations sont actuellement pistées. Les indicateurs tels que le volume d'e-mails, les changements d'adresse IP et autres ne fonctionnent pas, car le pirate n'effectue aucune action susceptible d'attirer les soupçons. Cloudflare croit fermement au fait d'empêcher ces usurpations de compte avant qu'elles ne se produisent, afin qu'aucun acteur malveillant ne puisse passer inaperçu.
Pour mettre un terme aux usurpations de compte avant leur apparition, nous attachons une grande importance au filtrage des e-mails qui présentent un risque de vol des identifiants des collaborateurs. Les e-mails de phishing constituent le vecteur d'attaque le plus couramment utilisé par les acteurs malveillants. Compte tenu de leur fort impact sur les possibilités d'accéder à des données confidentielles en cas de réussite du phishing, il n'est pas surprenant de constater qu'il s'agit d'un élément de référence dans la trousse à outils des pirates. Les e-mails de phishing ne présentent qu'une faible menace pour une boîte de réception protégée par la solution Area 1 de Cloudflare. Les modèles d'Area 1 peuvent évaluer si un message constitue une tentative de phishing suspectée en analysant différentes métadonnées. Les anomalies détectées par les modèles, comme la proximité du domaine (le degré de similitude du domaine avec le domaine légitime), le sentiment d'un e-mail ou d'autres facteurs, peuvent rapidement déterminer le caractère légitime ou non d'un message. Si Area 1 définit qu'un e-mail constitue une tentative de phishing, nous procédons automatiquement à son retrait et empêchons le destinataire de le recevoir dans sa boîte, afin de nous assurer que le compte du collaborateur demeure vierge de toute compromission et incapable d'être utilisé pour exfiltrer des données.
Se protéger contre les liens malveillants
Les pirates qui cherchent à exfiltrer des données d'une entreprise comptent souvent sur le fait que des collaborateurs de cette dernière cliquent sur des liens qu'ils leur envoient par e-mail. Ces liens peuvent pointer vers des formulaires en ligne qui semblent (en apparence) inoffensifs, mais servent en réalité à collecter des informations sensibles. Les acteurs malveillants peuvent utiliser ces sites web pour lancer des scripts permettant de recueillir des informations sur le visiteur, sans interaction de la part du collaborateur. Cette approche s'avère particulièrement inquiétante, car un clic effectué à la va-vite par un collaborateur peut conduire à l'exfiltration d'informations sensibles. D'autres liens malveillants peuvent contenir des copies exactes de sites web auxquels l'utilisateur est habitué à accéder. Toutefois, ces liens constituent une forme de phishing, dans laquelle les identifiants saisis par le collaborateur sont envoyés au pirate plutôt que de permettre la connexion au site.
La solution Area 1 couvre ce risque en proposant l'isolation des liens contenus dans les e-mails en tant qu'élément de notre offre de sécurité du courrier électronique. Dans le cadre de cette fonctionnalité, Area 1 examine chaque lien envoyé et accède à l'autorité de son domaine. Pour tous les liens laissés en marge (c'est-à-dire ceux dont nous ne pouvons affirmer le caractère sûr avec confiance), Area 1 lance un navigateur Chromium headless et y ouvre le lien sans interruption. Les éventuels liens malveillants s'exécuteront donc dans une instance isolée, loin de l'infrastructure de l'entreprise, en empêchant ainsi le pirate d'obtenir des informations de cette dernière. Cette opération s'effectue instantanément et en toute fiabilité.
Arrêter les rançongiciels
Les acteurs malveillants disposent de nombreux outils dans leur arsenal pour compromettre les comptes des collaborateurs. Comme nous l'avons mentionné ci-dessus, le phishing constitue un vecteur de menaces courant, mais il est loin d'être le seul. Area 1 fait également preuve d'une grande vigilance en matière de prévention de la propagation des rançongiciels.
Un mécanisme couramment utilisé par les acteurs malveillants pour disséminer les rançongiciels repose sur le renommage de ces derniers. Le contenu d'un rançongiciel peut être renommé de petya.7z à Facture.pdf afin d'essayer de duper un collaborateur et de l'amener à télécharger le fichier. En fonction du degré d'urgence véhiculé par l'e-mail concernant cette facture, le collaborateur pourrait tenter aveuglément d'ouvrir la pièce jointe sur sa machine. L'entreprise se retrouverait alors sous le coup d'une attaque par rançongiciel. Les modèles d'Area 1 détectent ces disparités et empêchent les e-mails malveillants d'atteindre la boîte de réception de leur cible.
Une campagne d'attaques par rançongiciel réussie peut non seulement entraver les opérations quotidiennes de n'importe quelle entreprise, mais peut également conduire à une perte de données au niveau local si le chiffrement s'avère impossible à annuler. La solution Area 1 de Cloudflare dispose de modèles de contenu dédiés qui analysent les extensions des pièces jointes, mais aussi la valeur de hachage de la pièce jointe, afin de la comparer à celles de campagnes de rançongiciels connues. Une fois qu'Area 1 trouve une pièce jointe considérée comme un rançongiciel, nous empêchons l'e-mail de poursuivre son chemin.
La vision de Cloudflare en matière de prévention des pertes de données
Les produits Cloudflare ont pour objectif de vous proposer la sécurité superposée dont vous avez besoin pour protéger votre entreprise, qu'il s'agisse de tentatives malveillantes de pénétrer son réseau ou d'exfiltration de données sensibles. Tant que les e-mails continueront de constituer la plus vaste surface de données sur les entreprises, il demeurera crucial pour ces dernières de disposer de robustes politiques DLP en place afin d'empêcher la perte de données. Maintenant qu'Area 1 et Cloudflare One fonctionnent main dans la main, nous sommes en mesure d'offrir un plus grand degré de confiance aux entreprises concernant leurs politiques DLP.
Si ces services de sécurité des e-mails ou de prévention des pertes de données vous intéressent, contactez-nous afin de planifier une discussion concernant vos besoins en matière de sécurité et de protection des données.
Si vous êtes actuellement abonné à des services Cloudflare, vous pouvez également envisager de contacter votre responsable Customer Success Cloudflare afin de discuter de l'ajout de mesures de sécurité des e-mails supplémentaires ou d'une protection DLP.