Sur l’une des listes de diffusion de sécurité que je suis, quelqu’un avait une énigme intéressante. Sa direction veut une solution d’arrêt des pourriels 100% efficace.
Mes patrons exigent une prévention des pourriels à 100%, et j’aimerais trouver des journaux de l’industrie, des articles, etc… Cela explique pourquoi ce n’est pas conseillé (si possible). Je crois comprendre que l’objectif est d’atténuer les pourriels, de limiter les pourriels jusqu’à ce qu’ils ne soient pas une distraction de l’entreprise.
Ce que nous avons ici, c’est une situation où une direction non technique voudrait une solution parfaite de filtrage des pourriels.
Il est impossible d’atteindre un filtrage des pourriels à 100% en utilisant les moyens traditionnels à moins d’être prêt à vivre avec un grand nombre de faux positifs. Vous pouvez vous en approcher. De nombreuses solutions revendiquent des taux de capture de 99%+ avec peu ou pas de faux positifs. Cependant, atteindre la perfection est impossible. Il n’y a pas de système basé sur la réputation ou basé sur l’apprentissage automatique qui soit parfait.
Le courriel a un modèle de sécurité ouvert par défaut
Normalement, vous mettez en place des couches de filtrage entre l’expéditeur et le destinataire : des mesures de blocage au niveau de la connexion (DNSBLs, vérification SPF, DKIM, systèmes de réputation, etc…) complétées par des couches de filtrage de contenu.
Plus les mesures sont agressives; les taux de faux positifs seront plus élevés.
Il y a aussi une « zone grise » inhérente : le spam d’un gars peut être le jambon d’un autre gars. Par exemple, vous avez des opérateurs de listes d’envoi qui distribuent des listes d’envoi confirmées pour des entreprises très légitimes. Même si je pourrais les considérer comme des pourriels si je ne les sollicitais pas directement pour m’envoyer des choses, le gars assis à côté de moi pourrait l’aimer.
Cette solution n’est pas parfaite, mais vous pouvez bloquer à peu près 99% des déchets qui circulent avec peu de faux positifs si vous trouvez le bon équilibre.
Solution de rechange, utiliser un modèle de sécurité fermé par défaut
Je ne connais qu’une seule méthode qui est proche de 100% efficace, c’est d’utiliser un « modèle de sécurité fermé par défaut » c’est moins traditionnel. Essentiellement, vous utilisez essentiellement un filtre anti-pourriel qui bloque tout ce qui arrive SAUF le courrier provenant d’expéditeurs de confiance.
Cela implique ce qui suit :
- Vous devez obtenir la liste des expéditeurs de confiance auprès de la direction (en utilisant leurs carnets d’adresses par exemple).
- Vous devez l’implémenter en tant que liste de confiance dans n’importe quel filtre anti-pourriel que vous utilisez.
- Vous avez besoin d’un mécanisme qui permet aux utilisateurs finaux d’ajouter facilement des expéditeurs de confiance à leur liste (via un rapport de quarantaine ou un plugiciel client de messagerie avec accès direct à la quarantaine). Certains serveurs permettent d’envoyer des courriels de confirmation à l’expéditeur avant d’accepter des courriels de sa part.
- Votre filtre anti-pourriel a besoin d’un moyen de faire automatiquement confiance au trafic sortant. Si quelqu’un envoie un courriel à une adresse externe à l’interne, cette adresse externe doit être ajoutée à la liste de confiance des expéditeurs.
C’est la seule façon d’atteindre des taux de capture presque parfaits. Le hic, c’est que c’est beaucoup plus de travail à la fois pour l’administrateur et les utilisateurs finaux.
Un système fermé par défaut peut fonctionner, mais en vaut-il vraiment la peine d’énergie, de temps et d’argent supplémentaires?
En supposant un taux de capture de 99%, si les utilisateurs finaux ont une poignée de pourriels chaque jour au lieu de centaines, vous avez déjà réduit les frais généraux de 99%. Pour obtenir ce 1% supplémentaire, il peut falloir de sérieux efforts et des inconvénients qui rendent un modèle fermé par défaut tout simplement pas rentable.
