SECURITE

La messagerie électronique a pris ces dix dernières années une place critique au sein des systèmes d'information. 93 % des entreprises interrogées lui accordent ainsi une place majeure, devant le téléphone (étude Novamétrie). Un succès qui connaît ses revers de médaille : 50 % des e-mails reçus en entreprise sont des spams et un e-mail sur 51 est porteur de virus. Ce problème de sécurité est d'autant plus préoccupant que 60 % des informations stratégiques véhiculées par les entreprises le sont via la messagerie électronique et les pièces jointes.

De nouveaux défis

"La messagerie électronique pose de nouveaux défis aux entreprises en termes de sécurité", souligne Pascal Brier, le directeur marketing de Microsoft France. Aux côtés des infections virales, les PME se trouvent aujourd'hui confrontées à un autre type d'attaque, plus polluante mais non moins dangereuse et surtout beaucoup plus coûteuse : le spam. "Les e-mails non sollicités se propagent de manières très diverses. Notamment par la vente d'une liste d'adresses e-mails de la part d'un fournisseur d'accès Internet (FAI) peu scrupuleux, par l'attaque directe d'un dictionnaire, lors de l'inscription sur un site Web, pour peu que l'on n'ait pas pensé à cocher la case "Opt Out", qui précise que l'on ne souhaite pas recevoir de publicités d'un tiers, ou encore par le biais des aspirateurs d'adresses", explique Gordana Cindric, consultante avant-vente chez Sybari Software.

Si les spams évoluent aussi vite, c'est aussi que parce qu'ils sont utiles à certaines PME voulant promouvoir leurs produits à moindre coût. Une campagne d'e-mail marketing coûte bien évidemment moins cher qu'une opération classique par courrier. Scott Richter, PDG de la société OptInRealbig.com affiche des revenus de deux millions de dollars par mois, en ne prétendant utiliser que des listes de type "Opt In" (avec l'accord de l'internaute, donc). Selon Michel Lanaspèze, directeur marketing France et Europe du Sud de Sophos "100 euros suffisent pour une campagne marketing  touchant 10 millions d'adresses. Et 97 % des spams utilisent un lien URL pour l'acte d'achat". Il faut cependant veiller à faire la différence entre un spam, mail commercial non sollicité et un e-mail marketing envoyé dans le cadre d'une campagne ciblée.

Calculer le coût des spams

 Les spams représentent un vrai fléau pour les entreprises qui en sont victimes. "Les PME sont aujourd'hui des cibles très faciles à atteindre car moins bien informées et surtout ne disposant pas de charte de sécurité interne", souligne Sylvain Levy (photo), directeur des ventes France, Benelux et Suisse de CommTouch. Selon le cabinet Forrester Research, le traitement des spams représente un coût de 450 euros par an et par employé. Le cabinet Ferris indique pour sa part un coût mensuel de 8 euros par utilisateur. Des chiffres à prendre cependant avec beaucoup de précautions car les modes de calcul diffèrent selon les analystes. Certains y intègrent les coûts de support technique et la consommation de ressources informatiques, d'autres y ajoutent le coût de la bande passante (0,12 euro par message) et celui du stockage, ou encore celui, moins tangible, de la perte de productivité des utilisateurs. De son côté, la société israélienne CommTouch, inventeur de l'outil RPD (Recurrent Pattern Detection), propose sur son site Internet un calculateur du coût des spams dans votre entreprise. Il suffit d'indiquer le nombre d'employés, le salaire moyen annuel par employé, le nombre moyen d'e-mails reçus par jour et la proportion connue de spams. Le calculateur en ligne vous indiquera approximativement les coûts de votre spam en termes de connectivité, de support, de stockage ainsi que le coût global annuel.

Pour Sophos, la première conséquence économique du spamming, c'est le risque de saturation du serveur de messagerie, des espaces de stockage mais aussi de la bande passante, à l'image de la société Earthlink qui a dû dépenser la modique somme d'un million d'euros pour redimensionner son réseau. Deuxième impact : la baisse de productivité des utilisateurs, mais aussi le risque croissant d'infection virale (13 % des spams sont porteurs de virus). Sans compter le risque de laisser passer un message critique pour l'entreprise. Le spam introduit enfin un risque juridique supplémentaire, celui, pour les employés offensés par des textes et des images, de porter plainte contre leur entreprise.   

Comment lutter et à quel prix ?

RBL (Real Time Black List), filtrage de contenu, Checksum, filtrage Bayesien, analyse heuristique... Il existe aujourd'hui plusieurs techniques permettant de lutter contre les spams. Elles ont toutes leurs qualités et leurs défauts. Seule la combinaison séquentielle de l'ensemble permet d'arriver à un taux de blocage satisfaisant, mais sans garantie de réduction des "faux positifs" (messages légitimes considérés à tort comme du spam). "Le seul moyen efficace de lutter contre le spam, c'est de définir une vraie politique de sécurité, d'éduquer les utilisateurs sur les usages de la messagerie et de mettre en oeuvre une solution anti-spam temps réel le plus en amont possible de l'infrastructure pour éviter les fenêtres de vulnérabilité. Il faut également éviter de choisir une solution dépendante de la langue et du format d'encodage", souligne Gordana Cindric (photo ci-dessus).

L'arrivée de l'outil RPD (Recurrent Pattern Detection) sur le marché pourrait bien changer la donne. Proposée par CommTouch, cette technologie permet de détecter le composant récurrent d'une attaque en masse. Le spam est détecté grâce à la mise en corrélation des caractères identiques des messages non sollicités. En plus de la recherche de similarité, il procède également à la vérification de l'émetteur, de la ligne d'objet, etc. Ces signatures sont ensuite vérifiées au sein d'un Service Center. Facile d'installation (en moins de 30 minutes) et très abordable - 16 euros par licence et par an pour une configuration de 250 postes - cette solution est actuellement la seule du marché totalement indépendante du contenu et des langues. Selon l'analyse du cabinet d'études IDC, la technologie RPD permettrait de bloquer 97 % des spams existants avec un taux de détection de faux positifs de 1 sur 27 900 (d'apres Netopus, étude réalisée en septembre 2004).