momius - Fotolia

Comparaison des meilleures passerelles de sécurité pour l’e-mail

L’experte Karen Scarfone se penche sur les meilleures passerelles de sécurité pour messagerie électronique afin d’aider nos lecteurs à déterminer celles qui peuvent le mieux correspondre à leurs besoins.

Une passerelle de sécurité de la messagerie électronique surveille les courriels dits entrants, ceux qui ont été envoyés à une organisation, à la recherche de contenus indésirables afin d’en empêcher la délivrance. La plupart des passerelles de sécurité de messagerie offrent également des capacités de surveillance similaires pour les courriels sortants.

Le contenu indésirable dans les messages électroniques comprend les logiciels malveillants, les attaques de phishing (ou hameçonnage) et les spams (ou pourriels). Certaines passerelles de sécurité pour le courrier électronique sont également en mesure de détecter et de bloquer la transmission de données sensibles telles que les numéros de carte de crédit, les numéros de sécurité sociale et les dossiers médicaux.

Les passerelles de sécurité pour le courrier électronique se présentent sous plusieurs formes : service en cloud public, service en cloud hybride, appliance physique déployée en local, appliance virtuelle sur site, ou module pour serveur de messagerie.

Dans tous les cas, les fonctionnalités sont similaires. En fait, de nombreux produits de passerelle de sécurité pour le courrier électronique sont disponibles dans plusieurs de ces formes, généralement avec des capacités comparables. D’une forme à l’autre, il peut y avoir des différences de performances, notamment. Mais aucune forme n'est intrinsèquement supérieure à une autre. Chacune a ses avantages et ses inconvénients, et l'objectif est d'identifier la meilleure passerelle de sécurité pour la messagerie de son entreprise.

Cisco Email Security Appliance, Clearswift Secure Email Gateway, Fortinet FortiMail, McAfee Security pour serveurs de messagerie, Microsoft Exchange Online Protection, Proofpoint Email Protection, Sophos Email Appliance, Symantec Email Security.cloud, Symantec Messaging Gateway, Trend Micro InterScan Messaging Security, Trend Micro ScanMail Suite pour IBM Domino, Trend Micro ScanMail Suite pour Microsoft Exchange et Websense Email Security Gateway sont quelques-unes des offres importantes du marché de la sécurité de la messagerie électronique.

Chacun de ces produits a été évalué à partir de l'information publiquement disponible en fonction de cinq critères : la sophistication des fonctions de sécurité de base, les fonctions de sécurité supplémentaires, l'utilisabilité des fonctions d’administration et la personnalisation, les taux typiques de faux positifs et de faux négatifs, et la dépendance à des systèmes externes pour le traitement des courriels et le stockage. Ces critères ne sont pas exhaustifs ; ils sont destinés à être utilisés dans le cadre d'un processus plus général d'évaluation de produits d'une organisation.

Chaque organisation a des exigences, des besoins et des environnements uniques. Dès lors, les administrateurs doivent adapter le processus d'évaluation de produits pour déterminer la passerelle de sécurité pour courrier électronique la plus adaptée à leur propre entreprise.

Premier critère : à quel point les fonctions de base sont-elles avancées ?

Les fonctions de base offertes par chaque passerelle de sécurité de messagerie sont fondamentalement les mêmes : détection des logiciels malveillants, des pourriels, et des tentatives de hameçonnage. Mais cela ne signifie pas que toutes les passerelles sont également efficaces pour détecter et arrêter les menaces.

Les fonctionnalités traditionnelles antimalware, antiphishing et antispam sont moins efficaces qu'elles ne l'étaient par le passé, parce que les techniques d'attaque ont évolué pour échapper à la détection. Les fournisseurs de passerelles de sécurité pour le courrier électronique ont compensé cela en intégrant des techniques de détection plus avancées à leurs produits.

L'une de ces techniques est connue sous le nom de sandboxing, ou mise en bac à sable. Le sandboxing utilise un environnement isolé pour tester un fichier afin de voir comment il se comporte lorsqu'il est ouvert ou exécuté. L'utilisation d'un bac à sable augmente les chances de détection des logiciels malveillants.

Plusieurs produits avancent des fonctionnalités de sandboxing, dont Cisco Email Security Appliance, Fortinet FortiMail et Websense Email Security Gateway. Les produits Trend Micro prennent également en charge le sandboxing via un complément optionnel appelé Deep Discovery Analyzer, et Sophos Email Appliance prend en charge le sandboxing avec l'ajout de Sophos Sandstorm.

Une autre technique de détection avancée consiste à utiliser le renseignement sur les menaces. La plupart des produits évoqués ici l’utilisent pour améliorer leurs capacités de détection. Et si ce n’est pas le cas, ils offrent des extensions qui fournissent des informations sur les menaces. Il n’y a bien que pour Clearswift SECURE Email Gateway et Microsoft Exchange Online Protection que le recours au renseignement sur les menaces n’est pas explicitement mentionné.

Pour les produits qui utilisent le renseignement sur les menaces, il est important de connaître non seulement la qualité globale des renseignements – et cela passe notamment par la question des sources mises à profit –, mais aussi la fréquence de mise à jour par le fournisseur, et de transfert à la passerelle. Idéalement, les mises à jour devraient être assurées en temps quasi réel, toutes les quelques minutes par exemple.

Certains produits affirment qu'ils prennent en charge d'autres techniques de détection avancées en plus du renseignement sur les menaces et du sandboxing, mais ces autres techniques ne sont habituellement pas décrites en détail. Là, il convient, lors de l'évaluation d'un produit, de demander plus d'informations sur ce qui se cache véritablement derrière les désignations forcément alléchantes retenues.

Second critère : quelles sont les fonctionnalités de sécurité supplémentaires ?

Comme mentionné plus haut, les meilleures passerelles de sécurité pour le courrier électronique offrent des fonctionnalités d’antimalware, antiphishing et antispam. La plupart des passerelles fournissent des fonctionnalités de sécurité supplémentaires, généralement de prévention des fuites de données (DLP) ou de chiffrement des courriers électroniques.

Les organisations qui possèdent déjà des solutions de DLP et de chiffrement du courrier électronique peuvent ignorer ce critère dans leurs évaluations : leurs solutions dédiées sont susceptibles d'être plus robustes que les capacités fournies par la passerelle de sécurité du courrier électronique.

Les technologies DLP analysent les courriers électroniques sortants pour s’assurer qu’ils ne contiennent pas d’informations sensibles ne devant pas être transférées par courrier électronique. Il peut s’agir de données financières internes, de dossiers médicaux ou encore d’éléments de propriété intellectuelle.

Tous les produits de passerelle de sécurité de messagerie, autres que Microsoft Exchange Online Protection et Proofpoint Email Protection, intègrent un support natif ou optionnel du DLP. Un support optionnel pour Trend Micro InterScan Messaging Security est fourni par son module Data Privacy and Encryption.

Les technologies de chiffrement du courrier électronique sont le plus couramment là pour protéger le contenu des courriels sortants d'une organisation, bien que certains autorisent également les courriels entre leurs propres comptes de messagerie à être chiffrés.

Les produits embarquant des technologies de chiffrement des courriels sont notamment Cisco Email Security Appliance, Clearswift SECURE Email Gateway, Fortinet FortiMail, Sophos Email Appliance et Symantec Email Security.cloud. Des modules optionnels sont disponibles pour Symantec Messaging Gateway (Symantec Content Encryption ou Symantec Gateway Email Encryption) et Trend Micro InterScan Messaging Security (Data Privacy and Encryption Module).

Les acheteurs devraient évaluer de près chaque fonctionnalité DLP ou fonctionnalité de chiffrement du courrier électronique avant de sélectionner un produit. Certains offrent des implémentations robustes de ces fonctionnalités, semblables à ce que proposent les produits dédiés, tandis que d'autres ne fournissent que des implémentations limitées qui souffrent de nombreuses lacunes.

Troisième critère : administration et personnalisation

L'utilisabilité et les possibilités de personnalisation sont des caractéristiques des passerelles de sécurité du courrier électronique qui sont difficiles à quantifier. Mais elles n’en sont pas moins importantes. Ces deux caractéristiques sont souvent opposées l'une à l'autre. Les produits plus utilisables sont souvent moins personnalisables et vice-versa.

Les petites et moyennes entreprises ont généralement une forte préférence pour l'utilisabilité, au détriment de la personnalisation. A l’inverse, pour les grandes organisations, la personnalisation peut être plus importante, afin d’assurer une efficacité maximale dans la détection et le blocage des menaces.

Toutefois, la fonctionnalité la plus importante en termes d'utilisabilité, c’est une console unique pour gérer toutes les instances de la passerelle. Idéalement, cela devrait être vrai même lorsque les passerelles sont déployées dans différents environnements, y compris en cloud hybride.

La personnalisation est le plus souvent notée en termes de tableaux de bord, de politiques de sécurité et de rapports. Une organisation devrait examiner séparément ses besoins de personnalisation dans chacun de ces domaines. Par exemple, une organisation peut vouloir personnaliser fortement un tableau de bord précis du produit, sans avoir besoin de personnaliser ses capacités de reporting.

Chaque organisation a ses propres besoins de convivialité et de personnalisation. Il convient donc de consulter les démonstrations et d’effectuer ses propres tests de produits candidats, dans le cadre du processus d'évaluation, afin de trouver le produit de sécurité de la messagerie le plus adapté à ses besoins.

Quatrième critère : faux positifs et faux négatifs

Dans un monde idéal, chaque fournisseur de passerelle de sécurité pour le courrier électronique publierait des statistiques détaillées sur les taux typiques de faux positifs et de faux négatifs de leurs produits pour chaque type de menace transmise par courrier électronique. En réalité, les fournisseurs publient une ou deux statistiques sur leurs taux de détection, ce qui peut rendre difficile la comparaison des produits.

La plupart des statistiques publiées touchent à la détection des spams. Les produits tels que Cisco Email Security Appliance, Microsoft Exchange Online Protection, Proofpoint Email Protection (implémentation en nuage), Symantec Messaging Gateway et Symantec Email Security.cloud offrent des taux de détection des pourriels d'au moins 99 %, tandis que Clearswift SECURE Email Gateway revendique 99,9 %. Sur la base de ces chiffres, il est raisonnable de s'attendre à ce qu'une passerelle de sécurité de la messagerie puisse obtenir au moins 99% de détection de spam.

Quelques produits déclarent leurs taux de détection pour les virus connus, généralement à 100 %. Une organisation devrait s'attendre à ce que toute passerelle de sécurité du courrier électronique ait un taux de détection de 100 % pour les logiciels malveillants connus.

Enfin, quelques fournisseurs fournissent des statistiques sur les faux positifs. Malheureusement, il est rarement clair si ces faux positifs concernent uniquement le spam ou d'autres catégories de courrier électronique. Mais la précision revendiquée par certains produits est impressionnante. Par exemple, Clearswift revendique pour sa passerelle de sécurité un faux positif sur 300 000. Cisco et Symantec vont jusqu’à revendique un taux inférieur à un sur un million.

Cinquième critère : des besoins de ressources externes ?

Ce critère peut ne pas préoccuper de nombreuses organisations car leurs courriels et pièces jointes peuvent déjà être traités par des services de courrier électronique en mode cloud. Pourtant, il est important pour toute organisation de savoir où un tiers peut traiter ou stocker ses courriels. Cela ne concerne pas tellement les passerelles de sécurité du courrier électronique en mode cloud, car il est évident qu'elles assurent le traitement des courriels dans le cloud. Mais qu’en est-il des produits déployés sur site ?

De tels produits peuvent, pour des situations particulières, transférer des messages électroniques ou des pièces jointes à un service cloud qui fournira une analyse plus approfondie pour déterminer si le contenu est malveillant. Cela peut impliquer un bac à sable basé en mode Cloud pour l’exécution d'un fichier suspect.

Le produit Fortinet FortiMail permet à une organisation de partager des informations sur ses menaces détectées avec le fournisseur. Cela peut être bénéfique pour la communauté de la sécurité dans son ensemble, en augmentant la connaissance du fournisseur des dernières menaces.

D'autres produits peuvent transférer des métadonnées. Par exemple, McAfee Security for Email Servers effectue d'abord une analyse locale des courriels et, s'il détecte un fichier suspect, envoie une empreinte numérique du fichier – et non le fichier lui-même – à McAfee Labs pour une analyse supplémentaire. Cela aide à améliorer la précision des capacités de détection, tant pour l'organisation ciblée que pour les autres clients de McAfee, sans pour autant révéler le contenu des messages électroniques et des pièces jointes à McAfee.

Les autres fournisseurs de passerelles de sécurité pour le courrier électronique ne fournissent pas d'informations publiquement sur la façon dont les courriels de leurs clients peuvent être traités ou stockés. Toute organisation qui se préoccupe de révéler par inadvertance le contenu des courriels à un tiers devrait examiner attentivement ce critère lors de son évaluation.

Trouver la passerelle adaptée à ses besoins

Déterminer la passerelle de sécurité du courrier électronique la plus adaptée à ses besoins peut être plus difficile que la plupart des autres types de produits de sécurité, car les fournisseurs ont tendance à fournir relativement peu de détails sur les caractéristiques de leurs produits.

Par exemple, les fournisseurs indiquent si leurs produits offrent des fonctionnalités DLP ou de chiffrement du courrier électronique, mais ils ne communiquent généralement que de détails sur la robustesse de ces fonctionnalités, quand encore ils en fournissent.

En outre, les faux positifs et les faux négatifs sont déclarés de façon incomplète, et rien ne garantit que les chiffres sont vraiment comparables. Au mieux, ils sont basés sur une certaine mesure des taux moyens, qui peuvent être très différents des taux qu'une organisation individuelle observera.

Les organisations devraient rechercher des produits qui offrent des fonctionnalités bac à sable et de gestion du renseignement sur les menaces, et qui affichent un taux de détection des pourriels d'au moins 99 %. Seuls deux produits réclament ces critères : Cisco Email Security Appliance et Symantec Email Security.cloud. Cela ne signifie pas que d'autres produits ne présentent pas ces capacités ou ne doivent pas être évalués, mais plutôt qu'il est plus difficile d'obtenir les informations nécessaires à une étude préliminaire.

Les produits Cisco et Proofpoint sont les deux seuls évalués ici qui prennent en charge tous les modèles de déploiement, du cloud public à l’appliance locale physique. Le déploiement rattaché au serveur de messagerie n'est disponible que pour McAfee Security for Email Servers (Microsoft Exchange et IBM Domino), Trend Micro ScanMail Suite pour IBM Domino et Trend Micro ScanMail Suite pour Microsoft Exchange.

De même, le produit Microsoft Exchange Online Protection en nuage ne prend en charge que Microsoft Exchange. Les organisations avec les implémentations Microsoft Exchange ou IBM Domino existantes peuvent souhaiter considérer ces produits, tandis que d'autres organisations peuvent les exclure automatiquement de leur considération en raison de leur support de plateformes limité.

Parmi les produits restants, tous supportent le DLP, et presqu’autant prennent en charge le chiffrement des messages (à l’exception de Proofpoint Email Protection et de Websense Email Security Gateway). Seule la solution de Clearswift ne prend pas en charge le renseignement sur les menaces. Les produits Fortinet FortiMail, Sophos Email Appliance, Trend Micro InterScan Messaging Security et Websense Email Security Gateway, intègrent des capacités de bac à sable.

Pour résumer, les produits Fortinet FortiMail, Symantec Email Security.cloud et Trend Micro InterScan Messaging Security prennent en charge les quatre capacités de sécurité mentionnées ici (DLP, chiffrement des courriels, renseignement sur menaces et sandboxing). Les autres produits souffrent de l’absence d’une ou plusieurs de ces capacités. 

Pour approfondir sur Protection du terminal et EDR