Pour contrer le mail bombing, Microsoft intègre une nouvelle protection automatique dans Defender for Office 365. Objectif : restaurer un peu d’ordre dans les boîtes de réception et soulager les équipes de sécurité.
- Microsoft introduit une protection automatique dans Defender pour Office 365 contre le mail bombing, ciblant les entreprises.
- La fonction "Mail Bombing Detection" utilise l'apprentissage automatique pour isoler les campagnes malveillantes, sans fausses alertes.
- Les équipes de sécurité doivent ajuster leurs processus pour intégrer cette nouvelle fonctionnalité, active par défaut.
Ça ressemble à du spam, ça se comporte comme du spam, mais ce n’est pas tout à fait du spam. Les campagnes de mail bombing se multiplient, ciblant principalement les entreprises pour inonder les boîtes de réception de messages inutiles. Le but, ici, n’est pas tant d’infecter les infrastructures que de déstabiliser les équipes IT surcharger les serveurs, noyer les notifications de sécurité dans le flot et détourner l’attention pendant que d’autres attaques parallèles passent inaperçues. Microsoft compte désormais mieux encadrer ce type de menace avec une nouvelle fonction de détection intégrée à sa solution Defender for Office 365.
Une protection intégrée contre les campagnes de mail bombing
Derrière cette nouvelle option baptisée « Mail Bombing Detection », Microsoft déploie un système automatisé capable d’isoler les campagnes malveillantes sans générer de fausses alertes. Le dispositif s’appuie sur des algorithmes d’apprentissage automatique entraînés à repérer les signes caractéristiques de ce type d’attaque : envois massifs sur une courte période, contenus très similaires, réputation douteuse des expéditeurs. Le tout sans confondre ces assauts ciblés avec des campagnes d’emailing classiques.
Concrètement, lorsque le système repère un afflux inhabituel de messages, Microsoft 365 Defender déclenche un module de protection complémentaire conçu pour rediriger automatiquement les mails concernés vers le dossier des indésirables. La fonctionnalité est activée par défaut, sans configuration manuelle requise, et ne modifie pas le traitement habituel des expéditeurs de confiance, qui restent épargnés.
Côté supervision, les équipes de sécurité auront accès à un nouveau type d’alerte dans les interfaces habituelles du portail Defender. Les détections liées au mail bombing seront visibles dans l’Explorer de menaces, la page d’entité Email, le panneau de résumé Email, et pourront également être interrogées via l’outil de chasse avancée. L’intégration se veut transparente, pour ne pas bousculer les workflows existants, tout en renforçant la visibilité sur un type d’attaque encore peu encadré.
Des ajustements à prévoir côté conformité et supervision
Même si la protection est activée par défaut, Microsoft recommande aux organisations de s’y préparer. L’introduction de cette fonction peut modifier la façon dont certains messages sont traités, et donc entraîner des effets en cascade sur les règles internes ou les processus de conformité.
Il est donc conseillé de mettre à jour la documentation de sécurité de l’entreprise, de vérifier que la gestion du dossier spam reste cohérente avec les politiques internes, et d’informer les équipes SOC que ce nouvel outil de détection sera désormais visible dans leurs tableaux de bord.
Autre point à anticiper : l’impact sur la journalisation. En modifiant la classification et le routage des mails, Mail Bombing Detection pourrait aussi réduire la visibilité sur certains événements dans les outils d’audit ou d’eDiscovery. Pour les structures soumises à des exigences réglementaires fortes, un point de contrôle préalable avec les équipes conformité peut donc s’avérer utile, notamment pour ajuster les rapports ou les règles de surveillance automatisée.
Le déploiement commencera fin juin et s’étalera sur plusieurs semaines, jusqu’à fin juillet.
Source : Cyber Security News
