Le Cybersecurity Tech Accord et la Global Cyber Alliance soutiennent DMARC
Un événement récent à Washington D.C. a réuni la Global Cyber Alliance (GCA), le Cybersecurity Tech Accord (CTA), le Department of Homeland Security (DHS) et le Department of Justice (DoJ) pour reconnaître l'importance de l'authentification des e-mails dans la sécurisation du monde en ligne. L'événement a coïncidé avec le premier anniversaire de la directive opérationnelle contraignante (BoD) 1801 du DHS, qui enjoint au gouvernement fédéral d'adopter des normes de sécurité pour les e-mails et le web, y compris DMARC.
Tim Draegen, fondateur de dmarcian et l'un des principaux auteurs de la spécification DMARC, a été invité à prendre la parole lors d'un panel sur l'importance de DMARC dans la sécurisation des e-mails. Vous trouverez ci-dessous ses commentaires et réponses aux questions posées lors de l'événement.
Pourquoi DMARC est-il important pour assurer la sécurité des e-mails ?
TD: Concernant l'importance de DMARC : il résout un problème qui a toujours existé avec l'e-mail : l'identité de base. Avant DMARC, il n'y avait pas de moyen cohérent de déterminer si un e-mail était authentique ou non.
Il m'est difficile d'imaginer un modèle de sécurité qui n'aurait pas en son cœur la capacité de déterminer si quelque chose est légitime ou non. En raison de mon manque d'imagination, je pense que DMARC – ou une capacité à dire si un e-mail est réel ou non – est nécessaire pour même pouvoir parler de sécurité des e-mails.
Important ? Oui. Mais c'est étrange à dire. Comme dire que les ailes sont importantes pour un avion. C'est étrange, n'est-ce pas ?
D'accord. Pourquoi DMARC est-il un élément important de la sécurisation des e-mails ? Sans DMARC, le monde de l'e-mail est bloqué à essayer de filtrer les mauvaises choses. Non seulement il manque une base solide sur laquelle construire, mais en grande partie, le filtrage ne supprime que les éléments les plus nocifs. Le reste – les éléments les plus nocifs – est laissé aux personnes normales pour qu'elles essaient de déterminer si c'est réel ou non. C'est une situation terrible !
Avec DMARC, le modèle est inversé. Au lieu de filtrer les mauvaises choses, commencez par extraire les e-mails connus et souhaités, puis n'hésitez pas à examiner minutieusement ce qui reste. Au fil du temps, à mesure que l'adoption de DMARC se poursuit, le tas restant contient de moins en moins d'e-mails souhaités jusqu'à ce que – à un certain moment dans le futur – tout le tas puisse être jeté.
J'ai une dernière chose à ajouter : en tant que contrôle, DMARC est basé sur le domaine de messagerie – tout ce qui suit le signe @. Le domaine de messagerie est généralement utilisé dans toute une organisation, ce qui signifie que l'étendue du travail peut concerner l'ensemble de l'organisation.
Pour mettre en place DMARC, les organisations doivent s'assurer que tous les e-mails légitimes utilisant le domaine sont conformes à DMARC. Selon notre expérience, le processus de déploiement de DMARC offre une excellente opportunité de renforcer la posture de sécurité d'une organisation. Le processus de déploiement en lui-même n'est même pas vraiment technique. Outre un tas de mauvaises informations sur Internet concernant le fonctionnement de DMARC et de la technologie sur laquelle il repose, il existe des moyens clairs de gérer cette technologie qui ne nécessitent pas de dépenser de grandes sommes d'argent dans des logiciels d'automatisation « boîte noire ».
Lorsqu'il est bien mené, le déploiement de DMARC est en grande partie un processus de nettoyage commercial et opérationnel qui met en place un ensemble de très bonnes choses : la conformité DMARC, une meilleure gestion des fournisseurs et de l'infrastructure, des contrôles internes sur la manière dont les e-mails sont envoyés au nom de l'organisation, des chemins d'escalade bien définis, un cadre pour gérer les actifs en ligne comme les domaines Internet, et des outils pour gérer les risques liés à l'exploitation d'une présence en ligne. Ce sont toutes des choses qui sont mises en œuvre comme de « heureux accidents » en cours de route.
Un collègue de l'industrie m'a dit la semaine dernière que DMARC a un impact bien plus important qu'il ne le devrait, compte tenu de ce qui est écrit dans la spécification technique. Je pense que c'est vrai, car DMARC se situe à une intersection intéressante entre l'e-mail, les domaines Internet, la conformité, la gestion des risques et la sécurité. On peut examiner une tranche spécifique de données – comme celles publiées aujourd'hui par la GCA – et voir les avantages de DMARC. Mais s'il est déployé d'une manière spécifique, toutes les différentes tranches d'avantages s'additionnent pour aboutir à une posture de sécurité considérablement améliorée. Pour cette raison, à mon avis, DMARC est très important pour la sécurité des e-mails.
Alors, quel est le défi ? DMARC est en augmentation et largement déployé, avec une grande marge de croissance. Est-ce simplement une question de temps ?
TD: Avec suffisamment de temps, les bonnes idées ont tendance à être mises en œuvre. Cependant, l'adoption de DMARC a toujours été une combinaison de : minimiser l'investissement et augmenter le retour sur investissement. L'amélioration de chacun devrait entraîner une augmentation de l'adoption de DMARC, et de nombreuses activités sont en cours pour y parvenir. Lors de la préparation de ce panel, un élément clé s'est démarqué :
La GCA propose d'excellents outils pour aider les gens à démarrer. Une fois activé et que les données commencent à circuler, les gens reçoivent ensuite très peu de conseils. Sans orientation, les gens finissent par passer beaucoup trop de temps à faire des recherches, à discuter avec des fournisseurs et à essayer de trier des montagnes de « bric-à-brac » juste pour comprendre ce qui doit être fait.
Tout le monde veut juste que le travail soit fait.
Malheureusement, certains fournisseurs utilisent DMARC comme un tremplin pour vendre d'autres choses qui ne sont pas exactement liées à DMARC. D'autres fournisseurs gonflent certains aspects du déploiement de DMARC pour vendre un produit qui enferme les gens dans une solution propriétaire – tout cela pour augmenter les valorisations des fournisseurs en vue d'un événement de sortie glorieux. D'autres encore sont plus comme des consultants qui facturent à l'heure et ne veulent pas simplifier le travail.
Si vous essayez de déterminer le travail à accomplir, au mieux vous passez énormément de temps à apprendre DMARC ; au pire, vous vous laissez berner par un discours et payez trop cher pour un travail qui n'est pas dans votre meilleur intérêt.
Je pense que c'est un défi majeur. Le relever contribuerait grandement à réduire la partie « Investissement » de l'équation. Des conseils appropriés dispensés par la bonne organisation pourraient augmenter considérablement la partie « Retour » de l'équation. Moins d'investissement pour un bien meilleur retour. Cela signifie une adoption accélérée, n'est-ce pas ?
Comment pouvons-nous tous aider DMARC à se développer ? Les gouvernements en exigeant l'utilisation ? Plus d'assistance ?
TD: Une exigence gouvernementale accélère certainement les choses. Cependant, une exigence sans support est un peu comme inventer une technologie ingénieuse sans prendre la peine de la promouvoir. On peut soutenir que la partie difficile est le long travail de plaidoyer et d'attente que les choses se mettent en place. Cette partie est agaçante.
Dernière chose, j'ai parlé du défi majeur plus tôt. La publication de directives sur ce à quoi s'attendre après l'activation des données DMARC est nécessaire. Avec des directives partagées ou communes, des communautés de personnes pourraient alors se réunir pour travailler sur leurs propres déploiements tout en s'aidant mutuellement à surmonter certaines difficultés.
Quel est l'avenir de DMARC et de la sécurité des e-mails ? Pourrons-nous un jour ouvrir des pièces jointes ? Quelles pièces du puzzle ne font pas partie de DMARC ?
TD: L'avenir de DMARC ? Une adoption mondiale. Intégré à Internet.
L'avenir de la sécurité des e-mails… Je ne pense pas que cela devienne très intéressant tant que les clients de messagerie – les outils que les gens utilisent pour lire leurs e-mails – ne seront pas développés de manière intelligente. Ce que je veux dire, c'est que les navigateurs web ont le W3C. Le monde de l'e-mail n'a pas de forum similaire où les gens se réunissent pour améliorer les clients de messagerie de manière générale. Ces éléments ne font pas partie de DMARC, mais tant que les utilisateurs finaux n'auront pas de meilleurs outils pour travailler avec les e-mails, il n'y a qu'un certain nombre de choses qui peuvent être faites. Au moins, DMARC offre aux clients de messagerie une base sur laquelle s'appuyer.
Je tiens à remercier la GCA pour le travail qu'elle accomplit en sensibilisant aux initiatives et technologies qui améliorent un peu la vie en ligne. Des choses comme DMARC ne sont pas des produits et n'ont pas le soutien des équipes de relations publiques et de marketing des entreprises pour les promouvoir. Certaines entreprises diffusent l'information, mais ces entreprises sont soit des anomalies, soit, beaucoup plus couramment, elles racontent l'histoire de DMARC d'une manière spécifique pour mettre en lumière le produit qu'elles vendent. Comme je l'ai mentionné plus tôt, cela brouille les pistes. En revanche, la GCA a raconté une histoire très claire à travers le monde sur ce qui est possible. De mon point de vue, l'impact de leur travail est évident, d'autant plus une fois que l'on sort des États-Unis. Alors, merci Global Cyber Alliance !
– Tim Draegen
