DMARC : Évaluer l’efficacité d’une solution de sécurité des emails

par Rebeca
DMARC

Les menaces telles que le phishing, le spear-phishing et les ransomwares persistent. Cest pourquoi l’évaluation de l’efficacité des solutions de sécurité des emails revêt une importance cruciale pour les entreprises. DMARC (Domain-based Message Authentication, Reporting, and Conformance) émerge comme un outil essentiel dans cette quête de protection contre la fraude par email en utilisant des protocoles d’authentification tels que SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). En effet, DMARC permet aux propriétaires de domaines de spécifier les actions à prendre pour les emails non conformes à leur politique d’authentification, tels que les emails non signés ou non valides.

En s’attaquant aux fondements même de la confiance électronique, les pirates exposent les entreprises à des risques significatifs. C’est pourquoi l’évaluation de l’efficacité des solutions de sécurité des emails devient un impératif stratégique. Cependant, même avec certaines protections en place, les cyberattaques se sophistiquent de plus en plus. L’ANSSI identifie trois catégories majeures d’attaques potentielles, notamment les attaques à des fins lucratives, les attaques de déstabilisation et les attaques d’espionnage, dont certaines impliquent des techniques sophistiquées telles que les dénis de service distribués (DDoS).

Comment fonctionne l’authentification des emails en entreprise ?

L’authentification des emails devrait être un élément crucial de sécurité informatique de toute entreprise. En effet, c’est ce qui  permet de renforcer leur posture de sécurité et protéger efficacement leurs communications électroniques contre les cyberattaques.

Fonctionnement et objectif de DMARC

DMARC est un mécanisme de sécurité des emails. Complété par les protocoles SPF et DKIM, il utilise des enregistrements DNS pour indiquer aux serveurs de messagerie comment traiter les emails qui échouent à l’authentification. Dans ce cas, DMARC met en place :

  • Le rejet : lorsque les emails ne répondent pas aux politiques de validation d’authenticité définies par le domaine expéditeur. Cela peut être dû à plusieurs raisons : problèmes d’authentification SPF ou DKIM, ou encore quand le domaine expéditeur n’est pas explicitement autorisé dans la politique DMARC du destinataire.
  • La mise en quarantaine : comme pour le rejet, les emails ne répondent pas clairement aux politiques DMARC définies par l’expéditeur. Pour limiter les risques d’usurpation d’identité et de phishing, les emails sont mis en quarantaine. Cela bloque temporairement la livraison d’emails non authentifiés ou suspects dans la boîte de réception des destinataires.
  • L’acceptation des emails non authentifiés : les emails correspondent aux politiques DMARC.

Cette démarche assure une protection plus robuste contre les attaques de phishing et de spoofing.

DMARC Schéma descriptif

Pourquoi configurer SPF et DKIM est important pour DMARC ?

D’abord, pour configurer SPF il est nécessaire d’ajouter un enregistrement DNS spécifiant les adresses IP autorisées à envoyer des emails au nom de votre domaine. En ce qui concerne DKIM, il est préférable de générer une paire de clés publique/privée, avant de configurer une entrée DNS pour la clé publique pour signer les emails sortants. Une fois configurés, ces protocoles réduisent les risques d’usurpation d’identité. Par ailleurs, d’autres paramètres sont cruciaux à connaître pour améliorer la délivrabilité et réception de vos emails.

En effet, pour garantir à vos collaborateurs l’authenticité et la sécurité de leurs communications il est crucial de les sensibiliser sur la différence de certains en-têtes d’emails. Les mécanismes de validation des adresses email jouent un rôle crucial dans la détection et la prévention des attaques par email. Parmi les principaux éléments à prendre en compte dans cette évaluation, on retrouve les champs MailFrom et From.

Ensemble, SPF et DKIM fournissent une fondation solide sur laquelle DMARC pourra opérer, permettant ainsi une politique de validation plus stricte qui minimise les risques de phishing et d’usurpation d’identité. En configurant correctement ces protocoles, les organisations renforcent leur sécurité et assurent la fiabilité de leur communication par email.

Quel est le rôle de DMARC dans les entêtes de vos emails ?

Tout d’abord, il est important de comprendre les entêtes d’emails.

  • « MailFrom » : Le MailFrom est une étape obligatoire de la transaction mail, sans cela aucun mail n’est envoyé. Le SPF se base uniquement sur lui. Le MailFrom fait aussi référence à l’adresse de retour (bounce).
  • « From » : Le From quant à lui est contenu dans les données du mail, il doit également être présent et unique. Il correspond à l’adresse email et au nom de l’expéditeur tel qu’il sera affiché par le client de messagerie du destinataire. Par ailleurs, il peut être différent du MailFrom et c’est ce que DMARC évaluera pour authentifier que le contenu soit bien aligné tantôt pour SPF, tantôt pour DKIM.

Le DMARC viendra donc évaluer le domaine du FROM pour valider si l’alignement SPF et DKIM est correct ou non. Sa présence est cruciale car il permet aux domaines d’envoi de spécifier comment les emails non authentifiés devraient être traités par les récepteurs, augmentant ainsi la sécurité en réduisant les risques de phishing et de fraudes liées à l’usurpation d’identité. Connaître ces différences garantit à vos collaborateurs une meilleure évaluation de l’origine réelle d’un email. De plus, cette pratique permet aux entreprises d’appliquer des politiques de sécurité plus efficaces en identifiant avec précision les destinataires autorisés et en détectant les éventuelles tentatives d’intrusion ou de compromission.

Pourquoi les attaques réussissent-elles ?

Environ 40% des entreprises européennes ont signalé avoir été la cible d’une attaque de phishing en 2022 et malgré toutes les avancées mises en place pour contrer ces cyberattaques, elle persistent. Pour la plupart des hackers, l’intelligence artificielle et des techniques de plus en plus sophistiquées leur permettent d’accéder à vos données confidentielles.

  • Phishing avancé : Les attaquants utilisent des techniques comme l’ingénierie sociale pour tromper les utilisateurs sur le long terme et obtenir des informations sensibles.
  • Failles zéro day et DDoS : Les logiciels obsolètes ou non mis à jour, des vulnérabilités logicielles ou encore des failles de sécurité sont exploités par les pirates informatiques. les attaques DDoS peuvent également perturber les services de messagerie, rendant les systèmes vulnérables aux attaques de phishing et d’autres menaces.
  • Manque de sensibilisation : Les utilisateurs ne sont pas tous conscientS des risques liés aux emails, pièces jointes ou QR Code malveillants. Leurs mots de passe sont faibles et partagés facilement, ce qui permet l’accès non autorisé à certains comptes.
  • Défenses inadéquates : Plusieurs systèmes de sécurité obsolètes ou mal configurés, y compris l’absence de mise en place de protocoles comme DMARC. Ce qui laisse les portes ouvertes aux cybercriminels.

Selon DMARC, quels sont les axes à prendre en compte pour l’évaluation de votre cybersécurité ?

Selon DMARC, pour évaluer efficacement votre cybersécurité, il est essentiel de prendre en compte la mise en place d’une politique de protection des emails, l’authentification des expéditeurs et la surveillance continue des activités suspectes. Par ailleurs, d’autres points sont à prendre en compte.

Quelques recommandations

  • Taux de faux positifs : Permet d’évaluer la précision du système de filtrage, c’est-à-dire les emails légitimes identifiés à tort comme des menaces.
  • Rapports et analyses détaillés : Pour comprendre les tendances, les modèles et les menaces émergentes.
  • Taux de détection des menaces : Dans le but d’évaluer l’efficacité du système de détection des menaces en identifiant et en bloquant les emails malveillants.
  • Facilité de gestion et d’administration : Permet d’assurer une interface conviviale aux collaborateurs pour gérer les paramètres de sécurité, les politiques et les utilisateurs.
  • Intégration avec d’autres outils de sécurité : Permettre l’intégration avec d’autres solutions de sécurité pour renforcer les défenses et partager des informations sur les menaces.
  • Rapidité de réponse aux nouvelles menaces : Être capable de réagir rapidement face aux cyberattaques en mettant à jour les politiques de sécurité et les filtres.
  • Capacité de personnalisation des règles de sécurité : Adapter les règles de sécurité en fonction des besoins spécifiques de l’organisation et des types de menaces rencontrées.
  • Conformité aux normes de sécurité et réglementations : Pour assurer que les mesures de sécurité respectent les exigences légales et réglementaires applicables.
  • Support technique et assistance : Être sûr de disposer d’une assistance technique réactive pour résoudre les problèmes et répondre aux questions des utilisateurs.
  • Coût total de possession (TCO) : Évaluer le coût global de la solution, y compris les frais de licence, de maintenance, de formation et de support, pour déterminer sa rentabilité à long terme.

Pour gagner en efficacité, la mise en place d’une évaluation interne est indispensable. En effet, elle permet d’en ressortir les points cruciaux et de former les utilisateurs sur les bonnes pratiques en matière de sécurité des emails.

Que retenir sur DMARC ?

En conclusion, adopter DMARC constitue une étape essentielle pour que les entreprises se protègent contre les attaques ciblant les messageries professionnelles. Avec une combinaison de sensibilisation au phishing et de technologies avancées comme Mailsafe d’Altospam (anti-phishinganti-spearphishinganti-malware et anti-ransomware), les entreprises peuvent renforcer leur sécurité et se prémunir contre les menaces émergentes. Il est essentiel de vérifier l’authenticité des messages électroniques, réduisant ainsi considérablement les risques de phishing, de spoofing et d’usurpation d’identité.

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …