Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sébastien Commérot, IronPort : La lutte contre le spam est loin de finir

septembre 2008 par Marc Jacob

Pour Sébastien Commérot, Responsable Marketing Europe du Sud d’IronPort les entreprises doivent porter une attention particulière à leur infrastructure de messagerie. Les techniques des spammeurs évoluant de plus en plus rapidement, les utilisateurs doivent déployer des outils toujours plus puissants comme des systèmes incluant un contrôle de la réputation de l’adresse IP, mais aussi des techniques de chiffrement... la lutte contre le spam est donc loin d’être terminée !

Global Security Mag : Quels sont les outils techniques qui permettent de gérer et de protéger les mails ?

Sébastien Commérot : Le premier élément important permettant aux entreprises d’avoir une infrastructure de messagerie saine et performante n’est pas un outil de sécurité à proprement parler, mais le relais de messagerie lui-même. Celui-ci doit être capable dans un environnement moderne d’administrer un grand nombre de connexions simultanées, de savoir gérer les connexions et les files d’attente de messages de façon intelligente, de proposer des solutions pertinentes pour protéger la réputation de l’entreprise sur Internet, et de savoir filtrer et limiter le trafic en fonction des domaines de façon à proposer des ripostes adaptées aux différentes attaques.

Le relais de messagerie doit ensuite s’interfacer parfaitement avec des solutions anti-spam qui combinent une analyse complète et contextuelle du contenu à une analyse de la réputation de l’expéditeur pour plus d’efficacité, ainsi qu’à des solutions anti-virus, de filtrage du contenu et de chiffrement des emails.

Par ailleurs, les techniques employées par les spammeurs évoluent rapidement. Les filtres anti-spam traditionnels, analysant le contenu des messages, ne peuvent pas suivre le rythme de ces innovations. En effet, il leur faudrait prévoir à l’avance toutes les nouvelles techniques possibles, et développer des signatures pour chaque variante, ce qui est véritablement impossible. Désormais, il ne faut plus uniquement tenir compte des contenus du spam, mais également d’un élément qui pourra contrer potentiellement toutes les nouvelles attaques spam : la réputation de l’adresse IP qui envoie le message de spam. En effet si l’on se base sur la réputation de l’émetteur de l’e-mail, il sera possible de le classer ou non en spam, et ce quel que soit son contenu ou la nouvelle méthode employée par les spammeurs. Associer un filtre à base de réputation à un relais de messagerie est la première étape nécessaire à une bonne protection des flux e-mail.

Ensuite, les solutions anti-virus couplées au relais de messagerie doivent également être capables de bloquer les attaques virales avant la livraison des antidotes par les éditeurs d’anti-virus. En effet, le réseau d’une organisation est vulnérable durant le laps de temps entre le lancement de l’alerte virale et l’émission d’une signature anti-virus par les éditeurs concernés. Les entreprises doivent donc déployer des systèmes de protection préventifs en temps réels, de type quarantaine dynamique, pour bloquer les fichiers suspects en attendant l’émission de ces signatures.

GS Mag : Quels sont vos conseils en matière de déploiement de ce type de système ?

Sébastien Commérot : Des données sensibles et critiques d’une organisation peuvent, en fait, être envoyées à l’extérieur par un logiciel espion. La fuite de données vers l’extérieur peut d’ailleurs aussi être le résultat malveillant d’un utilisateur interne, ou le plus souvent le résultat d’une erreur humaine (tel utilisateur qui envoie telle information à quelqu’un qui n’aurait pas dû la recevoir ou qui aurait dû la recevoir à un moment différent). Ces fuites peuvent avoir de graves conséquences pour l’entreprise (pertes commerciales, financières, ou non-conformité à une loi ou une réglementation).

Les entreprises doivent donc déployer des solutions de protection des données incluant des moteurs d’analyse de contenu classiques (recherche par mot-clé dans le message ou dans un fichier attaché, par type et taille de fichiers, etc.). Elle doivent aussi mettre en œuvre des filtres automatiques qui appliqueront des politiques prédéfinies (par exemple des filtres de conformité à SOX, ou encore des filtres capables de reconnaître automatiquement un numéro de carte bancaire dans un message, et ce afin de pouvoir en déduire des actions de remédiation conformes au standard PCI, etc.). Ensuite, ce moteur devra être capable de remédier à cette analyse de différentes façons : mise en quarantaine du message suspect, alerte de l’administrateur, reporting, et chiffrement du message. Ce chiffrement doit de plus se faire automatiquement au niveau de la passerelle, en coordination avec le relais de messagerie, afin de pouvoir appliquer systématiquement les politiques. Il est par ailleurs important que la technologie de chiffrement utilisée ne repose pas sur le besoin pour le destinataire d’un logiciel client sur son poste pour déchiffrer le message, afin de pouvoir diffuser largement des e-mails chiffrés lisibles finalement par tous.


Voir les articles précédents

    

Voir les articles suivants