Comment détecter et prévenir les attaques de phishing dans Microsoft 365
Les violations de données dans Microsoft 365 peuvent causer de graves dommages à toute entreprise utilisant cette suite Saas. Étant donné que la plupart des cyberattaques commencent par un e-mail de phishing, une protection fiable contre le phishing dans Microsoft Office 365 est essentielle pour protéger les données de l’entreprise. Cet article répertorie les différents types d’e-mails de phishing dans Microsoft 365 et explique comment les détecter. Poursuivez votre lecture pour découvrir les stratégies permettant de renforcer la sécurité de votre organisation contre les cyberattaques. 
Qu’est-ce que le phishing dans Microsoft Office 365 ?
Avant de passer aux types d’attaques et aux contre-mesures, définissons le phishing. Comprendre la nature de cette cybermenace particulière aide les experts informatiques à protéger efficacement les infrastructures et les données de l’entreprise contre celle-ci.
Définition du phishing
Les spécialistes de la sécurité désignent le phishing comme une tactique de cyberattaque qui utilise les éléments de l’ingénierie sociale via des messages électroniques pour tromper un utilisateur et commettre une violation informatique. L’objectif de la tromperie peut varier, allant du partage du mot de passe au téléchargement d’un logiciel malveillant joint à une adresse e-mail. La majorité des attaques par ransomware surviennent après une cyberattaque induite par le phishing.
Pourquoi Microsoft Office 365 est une cible courante du phishing
Les pirates informatiques ciblent les infrastructures Microsoft 365 en raison de la valeur des données et des profits potentiels qui peuvent résulter du vol de ces données. Ils rédigent généralement des adresses e-mail de phishing O365 qui semblent familiers à la victime. Il peut s’agir d’une demande d’aide d’un collègue, d’actualités de l’entreprise ou d’un renouvellement d’abonnement à un service. Pour que les e-mails malveillants semblent légitimes, les adresses e-mail d’expéditeur sont généralement usurpées afin de paraître correctes à première vue. Un autre défi réside dans le fait que l’ingénierie sociale en général, et le phishing Microsoft 365 en particulier, évoluent pour devenir plus sophistiqués et efficaces. Les pirates peuvent adapter leurs e-mails aux événements locaux et mondiaux actuels, utiliser des approches personnalisées et améliorer la crédibilité des messages grâce à d’autres nouvelles astuces. L’intelligence artificielle est probablement l’outil le plus menaçant qui accentue les dangers dans ce domaine. L’IA peut augmenter la fréquence et l’impact des cyberattaques à chaque étape, de la reconnaissance initiale et de l’infiltration à Ransomware alimenté par l’IA .
Types d’attaques de phishing Microsoft Office 365
Comprendre les différents types d’attaques de phishing peut vous aider à protéger efficacement l’infrastructure et les données de votre organisation contre cette menace.
Hameçonnage en masse
Cette méthode consiste à envoyer des dizaines de milliers d’adresses e-mail à autant de destinataires que le pirate informatique en a dans sa base de données. L’hameçonnage en masse ne repose pas sur des approches sélectives ; ces adresses e-mail ciblent généralement le public le plus large possible, car elles misent sur le nombre et non sur le contenu. Le phishing de masse est fréquent, mais relativement facile à détecter. Les filtres anti-fraude et anti-spam intégrés à Microsoft 365 permettent de détecter et de signaler efficacement les adresses e-mail de phishing de masse.
Spear phishing
Contrairement au phishing de masse, le spear phishing s’appuie sur une ingénierie sociale approfondie pour créer des messages hautement personnalisés. Ce type de phishing cible des utilisateurs spécifiques, ce qui le rend plus efficace que toute autre cyberattaque. Avant de rédiger un e-mail de spear phishing, les pirates peuvent mener une reconnaissance préliminaire afin de recueillir des informations sur l’organisation cible, ses partenaires, ses dirigeants et ses employés. Les outils assistés par l’IA simplifient et accélèrent les recherches, ce qui laisse présager une augmentation des tentatives de spear phishing. Les attaquants utilisent les données collectées pour rédiger un message apparemment légitime contenant des noms, des emplacements, des numéros de téléphone ou des événements familiers à la cible. En résumé, le spear phishing prend plus de temps à un attaquant que le phishing de masse, mais il est plus efficace.
Whaling
À la base, le whaling est un sous-type de spear phishing qui cible principalement les cadres supérieurs, les investisseurs et les chefs d’entreprise. Les pirates personnalisent les e-mails de whaling pour qu’ils ressemblent à des demandes des médias, des messages financiers ou des contacts professionnels afin d’attirer et de manipuler des personnes de haut niveau. Par exemple, les messages de whaling imitent des factures de paiement, des demandes de clients ou des contrats de partenariat. Les victimes inconscientes sont des cibles de choix en raison des connaissances et des données qu’elles détiennent et du niveau d’accès au système dont disposent généralement leurs comptes d’entreprise. Le piratage d’un compte de cadre supérieur peut donner aux pirates des privilèges d’accès importants à des informations sensibles. Ils peuvent ensuite utiliser cette faille pour organiser une attaque à grande échelle.
Fraude au président
La fraude au président est un autre type de tactique d’adresse e-mail de phishing Office 365. Dans ces e-mails de phishing, un pirate peut se faire passer pour un PDG partageant des informations importantes avec ses employés. Par exemple, un message peut ressembler à une mise à jour importante de la politique de l’entreprise ou à une demande urgente de transfert financier. Cependant, l’objectif reste le même : pour tromper les destinataires et les inciter à partager des données, à cliquer sur un lien malveillant ou à télécharger une pièce jointe infectée. Pour mieux comprendre ce type d’hameçonnage, imaginez une personne qui attend une promotion professionnelle et qui reçoit un e-mail à ce sujet. Les attaquants usurperaient très probablement l’adresse e-mail, copieraient la mise en page des e-mails de l’entreprise et, grâce à l’état actuel de l’IA, imiteraient même le style de communication du PDG de cette organisation. Le membre de l’équipe lit le message du faux dirigeant, puis, suivant les instructions, clique sur le lien et effectue le déploiement du ransomware dans l’environnement de l’entreprise.
Contournement des filtres
Microsoft met en œuvre un filtre anti-hameçonnage puissant dans Office 365, qui ne garantit toutefois pas la détection absolue des messages malveillants. Les attaquants créent des adresses e-mail de hameçonnage capables de contourner les filtres logiciels pour atteindre la boîte de messagerie de l’utilisateur sous la forme de messages légitimes.Ce type d’hameçonnage peut inclure :
- L’intégration de code malveillant dans des pièces jointes.
- Le mélange de liens provenant de sites web réputés et connus avec des liens d’hameçonnage.
- L’ajout de nombreux contenus « propres » pour masquer le code malveillant.
- L’utilisation d’outils de raccourcissement d’URL.
Ces tactiques sont assez primitives et peuvent ne pas échapper à la détection. Cependant, par l’envoi de milliers d’e-mails de phishing, même 1 % des messages passant à travers les filtres peuvent causer de multiples violations de données.
PhishPoint
PhishPoint se distingue lorsqu’il s’agit de phishing Microsoft 365. Le pirate insère d’abord un lien malveillant dans un fichier SharePoint dans une version d’essai de Microsoft 365. Ensuite, l’utilisateur reçoit une invitation à accéder à certains fichiers dans SharePoint et à collaborer dessus. L’utilisateur clique sur le lien, qui le redirige vers une fausse demande d’accès à un fichier OneDrive avec une URL malveillante menant à une autre page usurpée. La page est généralement une copie de l’écran de connexion à Microsoft 365. L’utilisateur saisit alors ses identifiants de connexion, qui sont envoyés à la base de données du pirate informatique au lieu de lui donner accès à un compte Microsoft 365.
Comment détecter les attaques de phishing dans Office 365
Maintenant que vous connaissez les principaux types d’attaques de phishing visant Microsoft 365, passons aux méthodes de détection. Vous pouvez identifier plus efficacement les messages malveillants dans votre boîte de messagerie Office 365 en vérifiant certains éléments du contenu des e-mails.
Signes d’un e-mail de phishing
Les signes typiques que vous pouvez trouver dans un exemple d’e-mail de phishing Microsoft Office 365 sont les suivants :
- Fautes de ponctuation et de grammaire : « you is », « hallo », « can to ».
- Fautes d’orthographe dans le nom de l’organisation : « SqaceX », « Micnosoft », « Arnazon ».
- Adresses e-mail incorrectes : « support@mirosoft.com », « press@slarbucks.com », « johndoe@support.fasebook.com ».
- Création d’un sentiment d’urgence : « Votre compte sera supprimé », « Violation de la sécurité », « Avis URGENT ».
- Langage intrusif incitant à l’action : « Suivez le lien dès que possible », « Téléchargez la pièce jointe pour garantir la sécurité de votre compte », « Contactez-nous immédiatement via ce formulaire ».
Les outils d’intelligence artificielle ont considérablement accru le niveau de menace des e-mails de phishing Microsoft 365. Grâce à l’IA, les attaquants peuvent générer un nombre plus important de messages en peu de temps tout en conservant une qualité de contenu acceptable. Les e-mails générés par l’IA peuvent sembler légitimes, mais une vérification attentive des adresses e-mail d’expéditeur et des liens peut empêcher une violation.
Stratégies efficaces pour prévenir le phishing dans Office 365
Le succès d’une campagne de phishing Microsoft 365 repose généralement sur la combinaison de deux facteurs :
- Protection insuffisante contre le phishing Microsoft 365 au sein d’une organisation.
- Des employés qui ne sont pas conscients de la menace ou qui sont suffisamment négligents pour ignorer les principes de base de la sécurité en ligne.
Envisagez d’appliquer les recommandations suivantes pour améliorer l’efficacité de la protection contre le phishing O365 dans votre environnement informatique.
Configurez l’authentification multifacteur (MFA)
Microsoft prend en charge l’authentification multifacteur pour ses comptes. La MFA ajoute une couche de sécurité aux procédures de connexion à Microsoft 365. Lorsque la MFA est activée, l’utilisateur doit saisir un code de vérification à usage unique reçu par SMS ou généré dans une application d’authentification tierce. La configuration de l’authentification multifacteur renforce la sécurité de Microsoft 365, car la combinaison Nom d’utilisateur/mot de passe ne suffit plus aux pirates pour accéder à un compte. Microsoft recommande d’utiliser une application d’authentification plutôt que la vérification par SMS pour des raisons de sécurité et de rapidité.
Configurer les politiques anti-hameçonnage d’Office 365
Dans Exchange Online, vous pouvez définir des politiques anti-hameçonnage pour renforcer la protection contre le hameçonnage. Une configuration correcte de ces politiques permet de détecter et de bloquer rapidement les e-mails malveillants. Le système peut analyser des données telles que le domaine de l’expéditeur d’un e-mail, les URL ajoutées et les cas potentiels d’usurpation d’identité.
Utiliser les normes d’authentification des adresses e-mail (SPF, DKIM, DMARC)
Les normes d’authentification des adresses e-mail permettent de garantir la légitimité de l’expéditeur et de l’adresse e-mail. Ces normes sont ouvertes et accessibles au public, mais leur mise en œuvre relève de la responsabilité de l’organisation. Les principales normes d’authentification des adresses e-mail sont les suivantes :
- Sender Policy Framework (SPF) – vérifie si l’expéditeur figure sur la liste blanche du domaine.
- DomainKeys Identified Mail (DKIM) – vérifie le chiffrement de l’adresse e-mail et de son contenu à l’aide de l’infrastructure à clé publique (PKI).
- Domain-based Message Authentication, Reporting and Conformance (DMARC) – vérifie l’authentification du domaine de l’expéditeur à l’aide de SPF et/ou DKIM. DMNARC n’est pas une norme d’authentification autonome.
Les normes d’authentification des e-mails nécessitent généralement un certain effort et du temps pour être mises en place. Cependant, elles peuvent réduire considérablement le nombre d’e-mails de phishing Microsoft 365 dans les boîtes de messagerie de l’organisation.
Mettez régulièrement à jour et corrigez les logiciels
Les menaces de phishing ne cessant d’évoluer, votre sécurité pour Windows, Exchange Online, Windows Defender et les applications Office doit rester à jour. Cela peut également inclure les solutions de sécurité et les applications tierces que votre organisation utilise pour permettre la collaboration et soutenir la production. Des mises à jour régulières vous aident à rester protégé contre les dernières menaces et à corriger les vulnérabilités récemment révélées.
Sensibilisez vos employés
Quel que soit le type d’attaque, l’utilisateur est la cible principale des e-mails de phishing Microsoft 365. Un seul clic malencontreux de la part d’un employé peut réduire à néant l’efficacité des systèmes de protection les plus avancés (et les plus coûteux). Planifiez des sessions de formation à la sécurité de l’information afin de vous assurer que les utilisateurs de votre organisation connaissent suffisamment les tactiques de phishing et sont capables de distinguer les adresses e-mail légitimes des adresses e-mail frauduleuses. De plus, il est recommandé de ne pas limiter la formation à la cybersécurité aux services informatiques. Les dirigeants, les responsables des ressources humaines, les spécialistes du marketing et des ventes, les comptables et toute personne au sein d’une organisation peuvent être la cible d’une attaque. Chaque membre de l’équipe ayant accès à l’environnement informatique interne doit connaître les menaces et savoir comment détecter un e-mail de phishing Microsoft Office 365.
Organisez des exercices
En plus de la formation, des exercices réguliers peuvent aider les employés à rester vigilants et à contrôler l’efficacité de vos mesures de protection contre le phishing. De plus, vous pouvez facilement lancer un test de phishing Microsoft 365 grâce à la formation intégrée à la simulation d’attaque. Cette simulation est disponible avec Microsoft 365 E5 ou Microsoft Defender pour Office 365 Plan 2. Après avoir configuré la simulation, l’outil envoie un e-mail de phishing test aux utilisateurs sélectionnés. Vous pouvez ensuite observer la réaction de chaque utilisateur face à l’attaque et leur attribuer une formation supplémentaire et du contenu éducatif si nécessaire.
Sauvegardez et protégez vos données Office 365 avec NAKIVO
Avec l’évolution des techniques de phishing, les erreurs humaines conduisant à des failles de sécurité et à des pertes de données sont inévitables. Lorsque votre protection est compromise et que les données d’origine sont perdues ou corrompues, une sauvegarde à jour peut vous faire gagner du temps, des efforts et de l’argent. Une solution tout-en-un spécialisée telle que NAKIVO Backup & Replication vous permet de mettre en œuvre une sauvegarde et une récupération efficaces de Microsoft 365. Avec NAKIVO Backup & Replication, vous pouvez effectuer des sauvegardes incrémentielles rapides de vos données Microsoft 365 dans Exchange Online, Microsoft Teams, SharePoint Online et OneDrive for Business. La solution prend en charge plusieurs référentiels de sauvegarde, notamment les dossiers Windows et Linux locaux, les plateformes cloud (Amazon S3, Wasabi, Azure Blob, Amazon EC2 et autres stockages compatibles S3), les partages de fichiers SMB/NFS et les appliances de déduplication. Vous pouvez activer le chiffrement côté source et l’immuabilité pour protéger les données de sauvegarde contre l’accès par des tiers et la suppression accidentelle ou malveillante. Les sauvegardes immuables sont à l’abri de toute altération par un ransomware pendant la période définie. En cas d’échec des mesures de prévention, vous pouvez restaurer les données après une attaque par ransomware sans payer la rançon. Vous pouvez utiliser la fonctionnalité de recherche avancée pour trouver et restaurer les objets de données nécessaires dans les sauvegardes Microsoft 365. La récupération quasi instantanée vous aide à respecter les conditions à remplir pour la conformité réglementaire et à répondre aux demandes de découverte électronique. La planification et l’automatisation des sauvegardes, les politiques de conservation personnalisables, l’évolutivité de niveau entreprise et la multi-location avancée peuvent réduire les frais d’administration. NAKIVO Backup & Replication est disponible par abonnement, sous licence par utilisateur et comprend l’assistance technique 24 heures sur 24 et 7 jours sur 7.
Conclusion
Les attaques de phishing visant Microsoft Office 365 peuvent entraîner une faille de sécurité, conduisant au vol ou à la perte de données pour toute entreprise utilisant la suite. Pour renforcer la protection de votre organisation contre le phishing Microsoft 365, vous pouvez définir l’authentification multifactorielle (MFA), configurer des politiques anti-phishing, appliquer des normes d’authentification des e-mails et mettre à jour vos logiciels. La formation des employés et l’organisation régulière de sessions de formation à la cybersécurité peuvent renforcer la sensibilisation aux menaces et la prévention du phishing. L’utilisation de solutions de protection des données telles que NAKIVO Backup & Replication avec sauvegarde automatisée des données est le moyen le plus fiable d’atténuer les conséquences des incidents de perte de données qui surviennent généralement à la suite de failles de sécurité. 
