Protection de votre organisation contre les ransomwaresProtecting your organization from ransomware

Dans la dernière attaque massive par un ransomware, WannaCry a fortement frappé le cybermonde en infectant un nombre estimé de 200 000 ordinateurs dans 150 pays.In latest massive ransomware attack, WannaCry hit the cyber world hard, infecting an estimated 200,000 computers across 150 countries. Avec l’augmentation des attaques de ransomwares ces dernières années, en moyenne 25 000 attaques par mois en 2015 et 56 000 en 2016, il devient nécessaire de mettre en place une cybersécurité proactive pour garantir que votre réseau et votre cloud ne sont pas exposés.With the increase of ransomware attacks over the last few years, an average of 25,000 attacks per month in 2015 and 56,000 in 2016, it's becoming a cybersecurity necessity to be proactive about making sure your network and your cloud aren't at risk. Cet article explique comment vous pouvez utiliser Cloud App Security pour surveiller votre cloud, détecter et atténuer les menaces, et appliquer les bonnes pratiques pour protéger votre environnement contre les ransomwares.This article explains how you can use Cloud App Security to monitor your cloud, detect and mitigate threats and apply best practices for protecting your environment against ransomware.

Qu’est-ce qu’un ransomware ?What is ransomware?

Un ransomware est une cyberattaque dans laquelle l’attaquant vous envoie un fichier capable de vous empêcher d’accéder à votre ordinateur et de chiffrer vos fichiers personnels.Ransomware is a cyber attack in which the attacker sends you a file that can block you from accessing your computer and encrypt your own files. Les fichiers sont parfois retenus contre une rançon et ne sont pas déchiffrés tant que vous ne payez pas l’attaquant pour qu’il restaure l’accès à votre ordinateur, vos fichiers ou vos applications métier critiques.The files are sometimes held for ransom and aren't decrypted until you pay the attacker to restore access to your computer, files or critical LOB apps. Les attaques de ransomware peuvent affecter n’importe quel ordinateur, domicile, bureau, réseau ou serveur.Ransomware attacks can affect any computer, home, office, network or server. En fait, parce que les grandes organisations emploient de nombreux utilisateurs susceptibles d’ouvrir par inadvertance un fichier qui libère un ransomware sur votre réseau, elles sont encore plus exposées au risque de devoir payer une rançon pour arrêter le ransomware et restaurer l’accès aux ordinateurs ou fichiers.In fact, because large organizations are made up of many users who may inadvertently open a file that unleashes ransomware across your network, organizations are at even greater risk of being forced to pay the attacker to stop the ransomware and restore access to computers or files.

Note

Ce cas d’utilisation s’applique à Office 365, G Suite, Box et Dropbox.This use case applies to Office 365, G Suite, Box and Dropbox.

LA MENACETHE THREAT

Un utilisateur de votre organisation est la cible d’une attaque de ransomware.A user in your organization is the target of a ransomware attack. L’utilisateur peut ouvrir involontairement un e-mail infecté et exécuter un ransomware qui infecte la totalité de ses fichiers, y compris les fichiers synchronisés dans le cloud.The user might unknowingly open an email infected and run ransomware which infects the all of his files, including the files synced to the cloud.

LA SOLUTIONTHE SOLUTION

Détectez les ransomwares potentiels dans votre environnement cloud en créant une stratégie qui vous alerte quand une activité suspecte est détectée, et configurez des actions automatiques pour empêcher les fichiers infectés par le ransomware d’être enregistrés dans votre cloud.Detect potential ransomware on your cloud environment by creating a policy to update you when suspicious activity is detected, and set up automated actions to prevent ransomware files from being saved to your cloud.

Conditions préalablesPrerequisites

Connectez au moins une application cloud (Office 365, G Suite, Box et Dropbox) à Cloud App Security.Connect at least one cloud app (Office 365, G Suite, Box and Dropbox) to Cloud App Security.

Configurer la surveillanceSetting up monitoring

  1. Par défaut, Cloud App Security analyse votre réseau pour établir une base de référence, où il découvre ce que font généralement les utilisateurs dans votre cloud et à quel moment.By default, Cloud App Security scans your network to establish a baseline, wherein it learns patterns of what your users ordinarily do in your cloud, when they do it and what they commonly do.

  2. Il est également important de commencer à surveiller vos applications cloud en configurant une stratégie qui détecte les téléchargements en masse et vous alerte si une activité inhabituelle se produit :In addition, it is important to start monitoring your cloud apps by setting up a policy that will watch your cloud apps for massive downloads and alert you if something out of the ordinary happens:

    1. Sous l’onglet Contrôle, cliquez sur Modèles.On the Control tab, click Templates.

    2. Dans la liste Modèle de stratégie, choisissez Activité de ransomware potentielle.From the Policy template list, choose Potential ransomware activity. modèle pour ransomwaretemplate ransomware

    3. Ce modèle est prêt à l’emploi pour rechercher des activités typiques d’attaques de ransomware, ainsi que les fichiers et dossiers associés aux ransomwares connus.This template is designed out-of-the-box to search for activity typical of ransomware attacks, and files and folders associated with known ransomware. Vous pouvez aussi définir le type d’alerte que vous recevez (e-mails et SMS) quand la stratégie trouve une correspondance.Optionally, you can set the type of alert you receive (email and text message) when the policy is matched. modèle pour ransomware template ransomware
    4. Cliquez sur Créer.Click Create.
  3. Étudier les correspondancesInvestigating your matches

    1. Dans la page Stratégies, cliquez sur le nom de la stratégie pour atteindre le Rapport de stratégie, puis passez en revue les correspondances qui ont été déclenchées.In the Policies page, click on the policy name to go to the Policy report and review the matches that were triggered for the policy.

    2. Pour examiner une correspondance, cliquez sur celle-ci et ouvrez le tiroir d’activité.You can investigate the match by clicking on a specific match to open the activity drawer. Dans le tiroir, vous pouvez voir les autres stratégies correspondant à cette activité.In the drawer, you can see the other policies that this activity matched.

Valider votre stratégieValidating your policy

  1. Pour simuler une alerte, remplacez l’extension de 30 fichiers par .wncry et chargez-les dans votre site SharePoint.To simulate an alert, change the extension of 30 files to .wncry and upload them to your SharePoint site.
  2. Accédez au rapport de stratégie.Go to the policy report. Une correspondance de stratégie d’activité devrait apparaître sous peu.An activity policy match should appear shortly.
  3. Vous pouvez cliquer sur la correspondance pour voir quels fichiers ont été téléchargés.You can click on the match to see which files were downloaded. La correspondance elle-même est masquée pour protéger les données sensibles.The match itself will be masked to protect the sensitive data.

Correction des attaques et prévention des risquesRemediating attacks and preventing risk

Après avoir validé et affiné la stratégie, supprimez les faux positifs possibles qui peuvent avoir correspondu à votre stratégie.After you've validated it and fine-tuned the policy, remove possible false positives that may have matched your policy. Effectuez ensuite les opérations suivantes :Then, do the following:

  1. Quand une stratégie de ransomware trouve une correspondance, vous pouvez y remédier en définissant des actions de gouvernance automatiques.When a ransomware policy is matched, you can remediate it by setting automated governance actions.

  2. Pour empêcher les attaques futures, définissez la stratégie pour effectuer des actions de gouvernance automatiques.To prevent future attacks, setting the policy to perform automatic governance actions. Par exemple, dans SharePoint et OneDrive, vous pouvez définir la stratégie pour automatiquement Interrompre la synchronisation de l’utilisateur.For example, in SharePoint and OneDrive you can set the policy to automatically Suspend user.

    Voir aussiSee Also

    Activités quotidiennes pour protéger votre environnement cloud Daily activities to protect your cloud environment
    Pour obtenir un support technique, visitez la page de support assisté Cloud App Security. For technical support, please visit the Cloud App Security assisted support page.
    Les clients Premier peuvent également choisir Cloud App Security directement depuis le portail Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.