Le Cybersecurity Tech Accord et la Global Cyber Alliance approuvent DMARC
Un événement récent à Washington D.C. a réuni la Global Cyber Alliance (GCA), le Cybersecurity Tech Accord (CTA), le Department of Homeland Security (DHS) et le Department of Justice (DoJ) pour reconnaître l'importance de l'authentification des e-mails dans la sécurisation du monde en ligne. L'événement a coïncidé avec le premier anniversaire de la BoD 1801 du DHS - une directive opérationnelle contraignante ordonnant au gouvernement fédéral d'adopter des normes de sécurité pour le courrier électronique et le Web, y compris DMARC.
Le fondateur de dmarcian et l'un des principaux auteurs de la spécification DMARC, Tim Draegen, a été invité à prendre la parole lors d'une table ronde sur l'importance de DMARC dans la sécurisation du courrier électronique. Vous trouverez ci-dessous ses commentaires et ses réponses aux questions posées lors de l'événement.
Pourquoi DMARC est-il important pour assurer la sécurité du courrier électronique ?
TD : À propos de l'importance de DMARC : il résout un problème qui a toujours existé avec le courrier électronique : l'identité de base. Avant DMARC, il n'y avait pas de moyen cohérent de déterminer si un courriel était réel ou non.
Il m'est difficile d'imaginer un modèle de sécurité qui ne soit pas fondé sur la capacité à déterminer si quelque chose est légitime ou non. En raison de mon manque d'imagination, je pense que DMARC - ou une certaine capacité à dire si un e-mail est réel ou non - est nécessaire pour même parler de la sécurité des e-mails.
Important ? Oui. Mais ça fait bizarre à dire. Comme dire que les ailes sont importantes pour un avion. C'est bizarre, non ?
OK. Pourquoi DMARC est-il un élément important de la sécurisation du courrier électronique ? Sans DMARC, le monde du courrier électronique se retrouve coincé à essayer de filtrer les mauvaises choses. Non seulement il n'y a pas de bonnes choses sur lesquelles s'appuyer, mais en plus, le filtrage élimine tout sauf les éléments les plus dangereux. Ce qui reste - les éléments les plus dangereux - est conservé pour que les gens normaux puissent essayer de comprendre s'ils sont réels ou non. C'est une situation terrible !
Avec DMARC, le modèle est renversé. Au lieu de filtrer les messages indésirables, commencez par retirer les messages connus et souhaités, puis n'hésitez pas à examiner minutieusement ce qui reste. Au fil du temps, à mesure que l'adoption de DMARC se poursuit, la pile des restes contient de moins en moins d'e-mails souhaités, jusqu'à ce que - à un moment donné dans le futur - la pile entière puisse être jetée.
J'ai une dernière chose à dire : en tant que contrôle, DMARC est basé sur le domaine de messagerie - tout ce qui suit le signe @. Le domaine de messagerie est généralement utilisé par l'ensemble d'une organisation, ce qui signifie que la portée du travail peut toucher l'ensemble de l'organisation.
Pour mettre en place DMARC, les organisations doivent s'assurer que tous les courriels légitimes utilisant le domaine sont conformes à DMARC. D'après notre expérience, le processus de déploiement de DMARC est une excellente occasion de renforcer la sécurité d'une organisation. Le processus de déploiement lui-même n'est pas vraiment très technique. En dehors d'un tas de mauvaises informations sur Internet concernant le fonctionnement de DMARC et de la technologie sur laquelle il repose, il existe des moyens propres de gérer la technologie qui ne nécessitent pas de dépenser de grosses sommes d'argent dans un logiciel d'automatisation de type boîte noire.
Lorsqu'il est bien fait, le déploiement de DMARC est en grande partie un processus de nettoyage commercial et opérationnel qui met en place un tas de choses très intéressantes : La conformité DMARC, une meilleure gestion des fournisseurs et de l'infrastructure, des contrôles internes sur la façon dont les e-mails sont envoyés au nom de l'organisation, des voies d'escalade bien définies, un cadre pour gérer les actifs en ligne tels que les domaines Internet, et des outils pour gérer le risque lié à l'exploitation d'une présence en ligne. Ce sont toutes des choses qui sont mises en œuvre comme des accidents heureux en cours de route.
La semaine dernière, un collègue de l'industrie m'a dit que DMARC avait un impact bien plus important qu'il ne le devrait, compte tenu de ce qui est écrit dans les spécifications techniques. Je pense que c'est vrai, car DMARC se trouve à l'intersection parfaite du courrier électronique, des domaines Internet, de la conformité, de la gestion des risques et de la sécurité. On peut regarder une tranche spécifique de données - comme celle publiée aujourd'hui par la GCA - et voir les avantages de DMARC. Mais s'il est déployé d'une manière spécifique, toutes les différentes tranches d'avantages s'ajoutent à une posture de sécurité considérablement améliorée. C'est pourquoi, à mon avis, DMARC est très important pour la sécurité du courrier électronique.
Quel est donc le défi ? DMARC se développe et est largement déployé, avec beaucoup de marge de progression. Est-ce simplement une question de temps ?
TD : Avec suffisamment de temps, les bonnes idées ont tendance à être mises en œuvre. Cependant, l'adoption de DMARC a toujours été une combinaison de : minimiser l'investissement et augmenter le retour. L'amélioration de l'un et de l'autre devrait entraîner une augmentation de l'adoption de DMARC, et de nombreuses activités sont en cours pour y parvenir. En préparant ce panel, un élément clé est ressorti :
La GCA dispose d'excellents outils pour aider les gens à démarrer. Une fois qu'ils sont activés et que les données commencent à circuler, les gens reçoivent très peu de conseils. Sans conseils, les gens finissent par passer beaucoup trop de temps à faire des recherches, à parler avec les fournisseurs et à essayer de passer au crible des montagnes de déchets juste pour comprendre ce qui doit être fait.
Tout le monde veut juste que le travail soit fait.
Malheureusement, certains fournisseurs se servent de DMARC comme d'un tremplin pour vendre d'autres produits qui ne sont pas exactement liés à DMARC. D'autres vendeurs gonflent les aspects du déploiement de DMARC pour vendre un produit qui enferme les gens dans une solution propriétaire - tout cela pour faire grimper la valeur des vendeurs en vue d'une sortie glorieuse. D'autres vendeurs encore sont plutôt des consultants qui facturent à l'heure et ne veulent pas simplifier le travail.
Si vous essayez de déterminer le travail à effectuer, au mieux, vous passerez un temps fou à vous renseigner sur DMARC ; au pire, vous finirez par vous laisser berner par une histoire et par payer trop cher un travail qui n'est pas dans votre intérêt.
Je pense que c'est un défi important. Le relever contribuerait grandement à réduire la partie "investissement" de l'équation. Des conseils judicieux de la part de la bonne organisation pourraient considérablement augmenter la partie "retour" de l'équation. Moins d'investissement avec un bien meilleur retour. Cela signifie une adoption accélérée, n'est-ce pas ?
Comment pouvons-nous tous aider DMARC à s'étendre ? Les gouvernements exigent-ils son utilisation ? Plus d'assistance ?
TD : Les exigences gouvernementales accélèrent définitivement les choses. Cependant, une exigence sans soutien, c'est un peu comme inventer une technologie intéressante sans se donner la peine de la défendre. On peut dire que la partie la plus difficile est le long travail de plaidoyer et l'attente de l'engrenage. Cette partie est ennuyeuse.
Dernière chose, j'ai parlé plus tôt du grand défi. Il est nécessaire de publier des conseils sur ce à quoi il faut s'attendre après l'activation des données DMARC. Avec des conseils partagés ou communs, des communautés de personnes pourraient alors se réunir pour travailler sur leurs propres déploiements tout en s'entraidant pour surmonter certaines difficultés.
Quel est l'avenir de DMARC et de la sécurité du courrier électronique ? Pourrons-nous un jour ouvrir les pièces jointes ? Quelles sont les pièces du puzzle qui ne font pas partie de DMARC ?
TD : L'avenir de DMARC ? Adoption mondiale. Intégré à l'Internet.
L'avenir de la sécurité des e-mails... Je ne pense pas que cela devienne très intéressant tant que les clients de messagerie - les choses que les gens utilisent pour lire les e-mails - ne sont pas travaillés de manière intelligente. Ce que je veux dire, c'est que les navigateurs web ont le W3C. Le monde de la messagerie n'a pas de forum similaire où les gens se réunissent pour améliorer les clients de messagerie dans leur ensemble. Ces éléments ne font pas partie de DMARC, mais tant que les utilisateurs finaux ne disposeront pas de meilleurs outils pour travailler avec le courrier électronique, il n'y aura pas grand-chose à faire. Au moins, DMARC donne aux clients de messagerie un point de départ.
J'aimerais remercier la GCA pour son travail de sensibilisation aux initiatives et aux technologies qui rendent la vie en ligne un peu meilleure. Des choses comme DMARC ne sont pas des produits et ne bénéficient pas du soutien des équipes de relations publiques et de marketing des entreprises pour les promouvoir. Certaines entreprises diffusent l'information, mais ces entreprises sont soit des anomalies, soit, bien plus souvent, elles ne racontent l'histoire de DMARC que d'une manière spécifique pour mettre en lumière le produit qu'elles vendent. Comme je l'ai dit précédemment, cela brouille les pistes. En revanche, la GCA a raconté une histoire très claire dans le monde entier sur ce qui est possible. De mon siège, l'impact de leur travail est évident, encore plus lorsqu'on sort des États-Unis. Alors, merci à la Global Cyber Alliance !
- Tim Draegen
Plus d'informations sur le panel sont disponibles ici :
