Filtres hébergés : la tranquillité à petit prix

26/02/2007 à 07h00

Face à la recrudescence de spams, les entreprises recourent à des filtres hébergés par des sociétés extérieures. Reste à bien gérer les faux positifs.

L'envoi de courriers électroniques non sollicités ?" ' spams ' ?" est illégal en Europe depuis 2002, et en France depuis 2004. Sans accord préalable de l'internaute, il est absolument interdit de lui envoyer une publicité par e-mail. Cette approche dite 'bopt-in ' s'oppose à celle dite ' opt-out ' où l'internaute doit demander à chaque émetteur d'arrêter de lui envoyer des publicités. Malgré ce cadre juridique strict, le spam est passé de cinq e-mails sur dix mi-2003 à neuf e-mails sur dix fin 2006. Le coût de ce fléau est estimé à 39 milliards d'euros, ' essentiellement supporté par les entreprises et les internautes ', souligne Raphaël Marichez, expert en sécurité informatique chez HSC Consultants.Pour éviter de perdre des centaines d'heures à séparer le bon grain de l'ivraie, les entreprises doivent acheter ou louer des outils de filtrage. Sans cette dépense, on estime qu'un salarié perd en moyenne vingt heures par an à cause du spam. Soit, plus de 800 jours par an pour une PME de 250 salariés. Sans compter, en plus de la baisse de productivité, l'introduction de virus, la perte d'e-mails importants, etc. ' Avant de mettre en place un filtre antispam, il me fallait plus d'une heure par jour pour les trier. La perte de temps était considérable et nous perdions des messages importants ', illustre Emmanuel Corcessin, DAF de Lys Nettoyage Services (service de nettoyage ?" 86 employés) qui a déployé le service hébergé EasyMail Center de Nemeos. Et ce n'est qu'un début... La proportion de spams par rapport aux e-mails légitimes a plus que doublé en 2006. A l'image de Dell, HP, AchatVIP, Tekora, et de l'annuaire 118012, de plus en plus d'entreprises, qui ont pignon sur rue, spamment ' à leur insu ' les internautes et les entreprises en chargeant des ' routeurs ' d'envoyer leurs publicités à partir de fichiers d'adresses fournis par des spécialistes des bases de données marketing qui ne respectent pas tout le temps la loi.Elles déchargent ainsi leur responsabilité sur un prestataire. Le phénomène est tel en France, que la patrie de Voltaire est le quatrième pays émetteur de spams dans le monde, juste après les Etats-Unis, la Chine et la Corée du Sud. Cette situation est en partie due aux autorités françaises qui ne mettent rien de concret en ?"uvre pour lutter contre ce fléau. Chaque entreprise doit donc se protéger par ses propres moyens. Les filtres antispam hébergés sont bien adaptés aux contraintes des PME : loyer pour étaler la charge financière, pas de compétences techniques requises, simplicité et rapidité de mise en ?"uvre, peu de ressources nécessaires au quotidien, etc.' Ces services ne nécessitent aucune installation logicielle et matérielle. Ils proposent un portail d'administration en ligne, accessible à chaque client ', explique Hervé Jannin, administrateur systèmes, réseaux et télécoms à la communauté d'agglomération de Saint-Quentin-en-Yvelines, qui a retenu la solution e-securemail de Secuserve. Cette architecture est d'autant plus intéressante pour une PME que les ' spammeurs ' s'adaptent en permanence. Le spam image vient, par exemple, de faire un bond spectaculaire de 421 % en l'espace d'un an et représente désormais 50 % du spam global estime l'éditeur Marshall. Cette nouvelle pratique consiste à remplacer le message au format texte (facilement filtrable) par une grosse image bien plus difficile à filtrer. Face à ce durcissement, le mode hébergé permet de déporter les coûts de bande passante et d'évolution (ajout de machines, de nouveaux filtres, paramétrages, etc.), ainsi que l'expertise, chez le prestataire.

L'utilisation : bien gérer les quarantaines

Les filtres approchent 99 % d'efficacité. Les quelques erreurs restantes sont constituées de spams qui passent à travers les mailles du filet ou de faux positifs (un e-mail légitime que le filtre bloque parce qu'il le considère comme un spam). Pour éviter tout malentendu, les filtres sont en effet paramétrés pour placer un faux positif potentiel en quarantaine et laisser l'utilisateur décider de la suite.Comme le service est hébergé, l'utilisateur y accède via une interface Web. ' La gestion des faux positifs et de la quarantaine associée sont les points les plus importants dans l'utilisation de ce genre d'outils. Il y a en effet des e-mails que l'entreprise ne peut pas perdre ', estime Benoît Jollet au service informatique de Futur Telecom (opérateur télécoms, cinquante BAL ?" boîtes aux lettres ?" protégées) qui utilise le service MailinBlack. Les services en ligne proposent la plupart du temps deux types de quarantaines : une quarantaine administrateur et une quarantaine utilisateur.En général, les entreprises couplent les deux pour fixer les règles générales et incontournables ?" domaine ' sex.com ' interdit à tout le monde, par exemple ?" tout en s'adaptant aux spécificités de chacun. ' Les filtres doivent être personnels car mes propres règles de filtrage en tant que directeur administratif ne conviendront jamais à mon collègue qui, lui, s'occupe de l'activité commerciale ', explique Emmanuel Corcessin, chez Lys Nettoyage Services. Au-delà du prix et du taux de faux positifs annoncés par l'éditeur, ' une bonne ergonomie est également très importante ', estime Séverine Iltis, administrateur sécurité chez Beauté Prestige International (parfumerie et cosmétique ?" 550 comptes). Elle évite, en effet, d'avoir à former les utilisateurs sur l'interface Web de quarantaine.Il convient aussi d'ajouter à ces critères la prise en compte des dimensions métier de l'entreprise. A l'IPC, les médecins envoient des mails contenant des mots comme vagin et pénis. ' Nous ne pouvions pas nous permettre de choisir une solution ordinaire qui empêcherait ces mails de passer ', explique Hélène Cros-Le Gloan, directrice des systèmes d'information et d'organisation de l'institut Paoli-Calmettes (centre régional de lutte contre le cancer ?" 400 comptes).

La mise en ?"uvre : de quelques minutes à quelques jours

Une fois l'outil sélectionné, la durée de la mise en ?"uvre initiale est fonction du nombre de BAL à protéger, du choix du mode de quarantaine, et de la personnalisation ou non du paramétrage par défaut des filtres. Le service antispam se positionne devant le serveur de messagerie de l'entreprise. Il faut donc rediriger le trafic SMTP vers le filtre du prestataire en modifiant le routage. Cette manipulation est rapide. Si l'entreprise exploite une seule quarantaine centralisée, il ne lui reste qu'à paramétrer son filtre. En revanche, si elle exploite des quarantaines par utilisateur, elle doit injecter tous ses comptes utilisateurs dans le système du prestataire (adresses, protocoles autorisés, etc.). C'est ensuite le filtre hébergé qui stocke le paramétrage antispam spécifique de chaque compte.Alors qu'ils ressemblaient, au début, à de véritables boîtes noires, les filtres sont de plus en plus flexibles. Ils s'appuient sur un ensemble de modules ?" listes noires en temps réel (RBL), listes blanches, base de données de mots-clés, en-têtes du message, analyse OCR, filtres bayésiens, etc. ?" que l'administrateur peut parfois chaîner à sa guise. Toute l'expertise du prestataire repose sur le chaînage et le paramétrage de ces modules qui doivent être le plus efficaces possible.Certaines entreprises comme TVRL (télévision lausannoise ?" vingt-cinq BAL) ne touchent pas au paramétrage d'origine. ' Nous utilisons les filtres par défaut ?" RBL publique, bayésienne, mots-clés, en-têtes, etc. ?" de notre prestataire, et cela fonctionne ', illustre François Vittoz, responsable technique chez TVRL, qui a retenu MailCleaner de Fastnet. Même approche chez BPI. ' En couplant des RBL avec le moteur heuristique de Postini, nous avons presque réduit à zéro notre taux de faux positifs ',, précise Séverine Iltis, chez BPI.Futur Telecom a, dès le début, ' paramétré les noms de domaine et les adresses des contacts à ne pas filtrer ', explique Benoît Jollet. Son prestataire, MailinBlack, se distingue en effet par une approche très restrictive dite de liste blanche. Lorsque l'émetteur de l'e-mail est inconnu, il doit s'authentifier (une fois) en entrant un code pour prouver qu'il n'est pas un robot.

Les écueils : exiger 99,9 % de disponibilité

La mise en ?"uvre des filtres antispam hébergés, maintenant bien rodée, pose peu de problèmes lors du déploiement. En revanche, si l'entreprise possède un grand nombre d'utilisateurs, il est important qu'elle puisse synchroniser automatiquement son annuaire (LDAP, Active Directory, etc.) avec celui du filtre antispam distant, à la fois pour une meilleure productivité et pour des raisons de sécurité. Tous les outils ne proposent pas ce type d'option. Mais le plus important est qu'il n'y ait pas d'interruption de service. ' Même si la solution présente un dysfonctionnement, elle ne doit en aucun cas bloquer la réception des e-mails ', ajoute Benoît Jollet. En effet, il faut parfois libérer les faux positifs très vite via le portail.L'amélioration continue du filtrage n'est pas toujours optimale. Tous les outils ne permettent pas de savoir pourquoi ils ont généré un faux positif ou laissé passer un spam. Or, c'est en analysant les dysfonctionnements que l'entreprise peut réduire le nombre d'erreurs de filtrage. Des statistiques sur les filtres ?" voire, idéalement, les chaînages ?" les plus utilisés sont intéressantes pour optimiser le temps de traitement des e-mails. Des données encore rares. Dans ce contexte, ' nous apprécions particulièrement le reporting du service e-securemail qui nous donne une visibilité sur les flux de messagerie et les menaces e-mails pour nos domaines ', renchérit Hervé Jannin.

Les gains : des milliers d'heures de travail

Outre des gains évidents en termes de sécurité ?" 15 % des spams contiennent un virus, 30 % sont expédiés depuis des PC zombies exposant l'entreprise à des risques de poursuites ?", les entreprises apprécient surtout de ne plus perdre des centaines, voire des milliers d'heures de travail par an. ' Et nous sommes enfin certains de ne pas effacer un message pris pour un spam alors qu'il est légitime. Bref, le tri du courrier est plus rapide ', indique François Vittoz à la TVRL.Enfin, contrairement à un outil installé en interne, l'entreprise n'a presque rien à faire. ' Les gains sont énormes car nous n'avons pas à mettre à jour l'outil et les utilisateurs gèrent eux-mêmes leur quarantaine ', conclut Séverine Iltis, de BPI. Sans compter la bande passante économisée.

Les principaux outils antispam hébergés

Concrètement...

Les filtres hébergés reposent sur les mêmes logiciels que ceux déployés en entreprise. Ils sont donc surtout intéressants pour leur rapidité de mise en ?"uvre et l'expertise en filtrage fournie par le prestataire de services. Ils évitent d'avoir à investir dans de nouvelles machines et de nouveaux logiciels, pour traiter le spam image, par exemple.

En couplant différentes approches ?" listes noires, listes blanches, bayésiennes, en-têtes, etc. ?", les prestataires de services accélèrent le traitement des e-mails tout en réduisant le risque de faux positifs. Le chaînage et le paramétrage des filtres nécessitent cependant une réelle expertise. Après une inévitable période de rodage, le taux de faux positifs est souvent très faible, compris entre 0,5 et 1 % du trafic.

Mis à part la gestion des faux positifs et des spams litigieux mis en quarantaine, la plupart des filtres hébergés requièrent peu d'interventions de la part du service informatique. La charge est souvent déportée sur chaque utilisateur qui gère sa propre quarantaine et personnalise son filtrage en fonction de son profil.

Parce que l'entreprise fait transiter l'ensemble de son trafic par un tiers, elle doit absolument s'assurer que le prestataire a prévu un plan de continuité en cas de dysfonctionnement de ses filtres ou d'accident plus grave. Ce qui n'est pas toujours le cas.

Paramétrage : Hélène Cros-Le Gloan , directrice des systèmes d'information et d'organisation (Institut Paoli-calmettes) : 'Il ne faut pas sous-estimer la dimension métier '

L'institut Paoli-Calmettes est le centre régional de lutte contre le cancer de la région Paca. Cette structure de 1 200 collaborateurs effectue 45 000 consultations et 10 000 hospitalisations par an. L'institut avait des problèmes de spams récurrents, avec un pic en 2005.

' Même si nous ne pouvons pas quantifier leur nombre par jour, le ressenti était très fort par rapport à cette invasion de mails non sollicités ', explique Hélène Cros-Le Gloan, DSIO. Or, les utilisateurs de l'institut étant en majorité des médecins, ' nous devions trouver une solution qui respecte le vocabulaire médical. Les médecins utilisent des mots comme sexe, vagin, pénis, et nous ne pouvions nous permettre de choisir une solution ordinaire qui empêcherait ces mails de passer ', note-t-elle.

C'est pour cette raison que l'institut a retenu MailinBlack-PRO. ' Grâce à son principe basé sur l'authentification de l'expéditeur, il m'a paru le mieux adapté à ce contexte ', explique Hélène Cros-Le Gloan. Tout nouveau correspondant inconnu doit en effet s'identifier lors de l'envoi de son premier e-mail. ' Grâce à cette approche, nous n'avons pas de faux positif, donc pas non plus besoin de les gérer ', conclut-elle.

Institut Paoli-Calmettes

Mise en ?"uvre : Séverine Iltis, administrateur (BPI) : ' Le mode hébergé nécessite très peu de ressources '

Appartenant à un secteur où tout ne devrait être que luxe, beauté et volupté, BPI s'est abonnée au service antispam Postini e:scan V3 en juin 2006. ' Nos utilisateurs ne supportaient plus d'être harcelés toute la journée ', résume Séverine Iltis, administrateur sécurité. Ses 550 boîtes aux lettres génèrent un flux quotidien d'environ 10 000 e-mails dont 72 % sont des spams.

L'entreprise a retenu Postini e:scan V3 pour sa simplicité de mise en ?"uvre, son administration flexible, et parce que cette solution a déjà fait largement ses preuves. ' Integralis nous a accompagnés dans la mise en ?"uvre qui n'a posé aucune difficulté ', explique Séverine Iltis. Comme la passerelle est gérée par Postini, BPI ne gère que la partie fonctionnelle (utilisateur, cas particulier de filtrage). ' C'est le point fort du mode hébergé : il requiert très peu de ressources, en temps surtout. L'administration de la messagerie est allégée. Les utilisateurs gèrent eux-mêmes les quarantaines via une interface Web. Ils sont prévenus par le filtre directement via un mail de notification. '

Beauté Prestige International (BPI)

Avis d'intégrateur : Raphaël Marichez, expert en sécurité (HSC) : ' Il ne faut surtout pas répondre à un spam '

Décision informatique : Comment le spam est-il défini ?

Raphaël Marichez : La loi française repose sur le consentement préalable en matière de prospection commerciale par courrier électronique. C'est l'opt-in : sans accord préalable de l'intéressé, il est interdit de lui envoyer une publicité par e-mail.

Pourtant certaines entreprises le font quand même !

Il existe des dérogations. La prospection sur une adresse e-mail professionnelle dans le cadre de la fonction exercée ou lors d'une prospection concernant des produits ou services similaires à ceux déjà fournis lors d'une prestation antérieure. De tels messages peuvent être considérés comme des spams par le destinataire alors qu'ils sont licites.

Comment réagir face au spam ?

S'il s'agit d'un émetteur douteux, il ne faut pas lui répondre car il validerait ainsi l'adresse dans sa base. Si le spam provient d'une personne physique ou morale clairement identifiable en France ou dans l'UE, le destinataire peut demander à être informé sans frais du moyen de collecte de son adresse et à être retiré de toute liste informatisée. Sans réponse, il peut porter plainte et saisir la Cnil. Le destinataire doit conserver l'intégralité du spam reçu, message et en-tête.

Hervé Schauer Consultants (HSC)

Frédéric Bordage

Votre opinion