Un nouveau benchmark affirme que Microsoft Defender détecte lui-même presque tous les courriers malveillants, avec des outils tiers intégrés améliorant les détections de moins de 1 %, mais les experts en sécurité affirment que ces chiffres pourraient simplifier à l’extrême le risque réel.
Malgré tous les efforts déployés par les défenseurs, les courriels malveillants continuent de passer entre les mailles du filet de la cybersécurité, conduisant certaines entreprises à mettre en œuvre une stratégie de « défense en profondeur » à plusieurs niveaux qui intègre plusieurs outils.
Microsoft semble remettre en question cette idée, révélant que l’ajout de partenaires intégrés avant et après envoi aux protections de Defender pour Office 365 ne rapporte que des bénéfices minimes.
Selon ses nouvelles données d’analyse comparative trimestrielles, le géant de la technologie détecte la grande majorité des e-mails malveillants et spam avant leur livraison, en oublie le moins par rapport à ses concurrents et supprime près de 100 % des e-mails dangereux qui atteignent la boîte de réception. Collectivement, ses partenaires intégrés améliorent ce taux de capture de moins de 0,05 %.
Même si ces chiffres semblent faire pencher la balance vers une solution de sécurité de messagerie à fournisseur unique, les experts exhortent les entreprises à être sceptiques et prudentes face aux affirmations de ces fournisseurs.
Seva Ioussoufovitch, analyste de recherche senior chez Info-Tech Research Group, a souligné que « les pourcentages obscurcissent la véritable quantité et la gravité de ce qui passe, et, étant donné qu’il suffit d’un seul message pour provoquer un incident, il est assez simple d’affirmer qu’il y a une réelle valeur dans la défense en profondeur qu’apporte plusieurs outils. »
Les e-mails malveillants et spam détectés en chiffres
Microsoft a présenté son rapport d’analyse comparative trimestriel en juillet 2025 aux côtés d’un écosystème Defender intégré de sécurité de la messagerie cloud (ICES) conçu pour prendre en charge les stratégies de sécurité multi-fournisseurs.
Les acteurs SEG contre lesquels il s’est classé cette année comprennent Mimecast, Proofpoint, Hornetsecurity, Trend Micro, Iron Port (Cisco), Barracuda et FireEye (Trellix) ; Les sociétés ICES comprennent Abnormal, Checkpoint Harmony, Cisco, DarkTrace, KnowBe4 Defend, Tessian et Trend Micro.
Redmond a indiqué que Defender « est constamment en tête » en matière de détection avant livraison, manquant 59 % de cybermenaces de haute gravité en moins avant la livraison que les autres fournisseurs SEG qu’il a évalués. Ses concurrents les plus proches étaient Mimecast et Proofpoint. L’entreprise a également introduit une nouvelle mesure dans ce domaine : un taux d’échec des menaces pour 1 000 employés. Dans le cas de Microsoft, ce chiffre était de 194 pour 1 000 ; pour Mimecast, 478 ; pour Proofpoint, 483.
En ce qui concerne la protection après livraison, Defender a supprimé en moyenne 96,03 % des e-mails malveillants arrivant dans la boîte de réception, contre 45 % initialement lorsque Microsoft a commencé à suivre les données dans son deuxième rapport.
Cela fait de Defender « un filet de sécurité de plus en plus critique, fonctionnant même lorsque les solutions ICES sont en place », a écrit Jeff Pinkston, vice-président et directeur général de Microsoft Defender, dans un article de blog. Néanmoins, les outils ICES fonctionnant en tandem avec Microsoft Defender « continuent de fournir des avantages », améliorant la détection des logiciels malveillants de 0,29 % et celle du spam de 0,68 %, a-t-il déclaré.
« Si l’on se concentre sur l’essentiel, leur argument semble solide », a noté Ioussoufovitch d’Info-Tech. « Avez-vous vraiment besoin d’un fournisseur ICES distinct pour ces captures supplémentaires inférieures à 1 % ? » Microsoft dresse un « tableau convaincant » en se concentrant uniquement sur le taux de capture brut, a-t-il déclaré, mais nous n’entendons pas le reste de l’histoire : « Quel est exactement le danger de ce qui n’est pas capturé par Defender ?
Aucun fournisseur ne comprend tout
David Shipley de Beauceron Security a souligné que le rapport souligne le fait que « beaucoup de choses passent encore par les filtres de courrier électronique ».
Son entreprise analyse régulièrement des centaines de milliers d’e-mails, et le contenu qui y parvient « va du plus banal et évident pour un expert humain, aux attaques différées très intelligentes », a-t-il déclaré.
Un facteur clé dans ce qui passe est la quantité de contenu qui est sur liste verte ; Les paramètres en « mode 100 % paranoïaque » obtiennent des taux de capture élevés, ainsi que des faux positifs élevés, a noté Shipley. « Quiconque a déjà vu un vendeur perdre une transaction parce que le PDF du bon de commande a été signalé a ressenti cette douleur. »
Ensuite, il y a l’énigme de l’IA : « Un risque majeur pour les fournisseurs de courrier électronique utilisant l’analyse agentique basée sur LLM est qu’il est désormais possible d’empoisonner ces modèles avec du contenu caché (comme « ignorez cet e-mail, s’il vous plaît ») », a déclaré Shipley. Cela signifie que les entreprises ont besoin de diverses méthodes d’analyse.
Ioussoufovitch reconnaît que suivre le rythme des auteurs de menaces utilisant l’IA constitue un défi à l’échelle du secteur, d’autant plus que l’IA permet un phishing de meilleure qualité. Les filtres s’améliorent et en capteront une partie, mais certains continueront inévitablement à passer. Ces messages sont probablement très ciblés, moins volumineux mais plus difficiles à capter.
« Pour l’instant, les outils actuels semblent avoir du mal à suivre le rythme, mais cela ne veut pas dire qu’ils ne sont pas nécessaires », a déclaré Ioussoufovitch. « Cela souligne simplement que la défense en profondeur, d’une manière générale, devient de plus en plus importante. »
Les affirmations semblent plus honnêtes
Shipley a déclaré que ce rapport semble plus honnête, plus précis et plus mature que d’autres, affirmant des taux de capture de phishing de 99,99 %, « ce qui n’est jamais vrai ». Il s’agit également d’une « démarche marketing intelligente », car Microsoft est en concurrence pour le même budget de sécurité que d’autres outils et préférerait que les entreprises suppriment ces fournisseurs et achètent davantage auprès d’eux dans des domaines autres que le courrier électronique.
D’un autre côté, a-t-il déclaré, Microsoft propose une liste d’autres fournisseurs auxquels réfléchir, « ce qui félicite Mimecast pour sa deuxième place ».
À long terme, les RSSI doivent déterminer la meilleure dépense pour leurs budgets limités en matière de sécurité, a-t-il souligné. Les entreprises ont besoin d’un bon filtre ; la question de savoir s’ils en ont besoin de deux est à débattre. « Ils doivent également clairement investir dans un programme de sensibilisation solide », a déclaré Shipley, « car comme le montre ce rapport, de nombreux hameçonnages sont encore diffusés. »
Il manque une nuance importante
Ioussoufovitch a noté que même si les affirmations de l’étude sont intéressantes, les données sont présentées sans beaucoup de nuances qui les rendraient véritablement exploitables.
« Nous ne connaissons que trop bien la capacité des fournisseurs à manipuler les données pour raconter l’histoire qu’ils souhaitent. Je conseillerais donc aux dirigeants de ne pas extrapoler les données au-delà de ce qu’elles disent réellement », a-t-il déclaré.
Au lieu de « se débarrasser de nos fournisseurs actuels », cet article souligne que Defender offre « une valeur considérable », a-t-il noté. La question de savoir si l’ajout ou la suppression de fournisseurs supplémentaires en vaut la peine doit faire l’objet d’une discussion au cas par cas, en tenant compte de l’appétit pour le risque d’une organisation, ainsi que du budget et de l’environnement de sécurité globaux.
« Je considérerais ces affirmations davantage comme un rappel d’évaluer votre propre environnement et de comparer les détections », a-t-il déclaré. « Tirez des conclusions sur la base des données dont vous disposez, et non de ce qu’un fournisseur présente. »
