Protection contre les programmes malveillants et les rançongiciels dans Microsoft 365

Protection des données client contre les programmes malveillants

Les programmes malveillants se composent de virus, de logiciels espions et d’autres logiciels malveillants. Microsoft 365 inclut des mécanismes de protection pour empêcher l’introduction de programmes malveillants dans Microsoft 365 par un client ou par un serveur Microsoft 365. L’utilisation de logiciels anti-programme malveillant est un mécanisme principal de protection des ressources Microsoft 365 contre les logiciels malveillants. Le logiciel anti-programme malveillant détecte et empêche l’introduction de virus informatiques, de programmes malveillants, de rootkits, de vers et d’autres logiciels malveillants dans tous les systèmes de service. Les logiciels anti-programme malveillant fournissent un contrôle préventif et détective sur les logiciels malveillants.

Chaque solution anti-programme malveillant en place effectue le suivi de la version du logiciel et des signatures en cours d’exécution. Le téléchargement automatique et l’application des mises à jour de signature au moins quotidiennement à partir du site de définition de virus du fournisseur sont gérés de manière centralisée par l’outil anti-programme malveillant approprié pour chaque équipe de service. Les fonctions suivantes sont gérées de manière centralisée par l’outil anti-programme malveillant approprié sur chaque point de terminaison pour chaque équipe de service :

• Analyses automatiques de l’environnement
• Analyses périodiques du système de fichiers (au moins une fois par semaine)
• Analyses en temps réel des fichiers à mesure qu’ils sont téléchargés, ouverts ou exécutés
• Téléchargement et application automatiques des mises à jour de signature au moins quotidiennement à partir du site de définition de virus du fournisseur
• Alertes, nettoyage et atténuation des programmes malveillants détectés

Lorsque les outils anti-programme malveillant détectent des programmes malveillants, ils bloquent les programmes malveillants et génèrent une alerte au personnel de l’équipe de service Microsoft 365, à la sécurité Microsoft 365 et/ou à l’équipe de sécurité et de conformité du organization Microsoft qui exploite nos centres de données. Le personnel destinataire lance le processus de réponse aux incidents. Les incidents sont suivis et résolus, et une analyse post-mortem est effectuée.

Exchange Online Protection contre les programmes malveillants

Tous les messages électroniques pour les Exchange Online transitent par Exchange Online Protection (EOP), qui met en quarantaine et analyse en temps réel tous les e-mails et pièces jointes à la fois entrant et sortant du système à la recherche de virus et d’autres programmes malveillants. Les administrateurs n’ont pas besoin de configurer ou de gérer les technologies de filtrage ; ils sont activés par défaut. Toutefois, les administrateurs peuvent effectuer des personnalisations de filtrage spécifiques à l’entreprise à l’aide du Centre d’administration Exchange.

Doté de nombreux moteurs anti-programmes malveillants, EOP offre une protection sur plusieurs niveaux qui est conçue pour intercepter l'ensemble des programmes malveillants connus. Les messages transportés via le service sont analysés à la recherche de programmes malveillants (y compris les virus et les logiciels espions). Si un programme malveillant est détecté, le message est supprimé. Des notifications peuvent également être envoyées aux expéditeurs ou administrateurs lorsqu'un message infecté est supprimé et n'est pas remis. Vous pouvez également choisir de remplacer les pièces jointes infectées par des messages par défaut ou personnalisés qui informent les destinataires de la détection de programmes malveillants.

Les éléments suivants permettent de fournir une protection contre les programmes malveillants :

• Défenses en couches contre les programmes malveillants : plusieurs moteurs d’analyse anti-programme malveillant utilisés dans EOP vous protègent contre les menaces connues et inconnues. Ces moteurs fournissent une détection heuristique puissante offrant une protection y compris lors des premiers stades de l'apparition d'un programme malveillant. Il a été démontré que cette approche à plusieurs moteurs offre une bien meilleure protection que l'utilisation d'un seul moteur de logiciels anti-programme malveillant.
• Réponse aux menaces en temps réel : pendant certaines épidémies, l’équipe anti-programme malveillant peut avoir suffisamment d’informations sur un virus ou une autre forme de programme malveillant pour écrire des règles de stratégie sophistiquées qui détectent la menace avant même qu’une définition ne soit disponible à partir de l’un des moteurs utilisés par le service. Ces règles sont publiées sur le réseau global toutes les 2 heures afin d'offrir à votre organisation un niveau de protection supplémentaire contre les attaques.
• Déploiement rapide de définitions anti-programme malveillant : l’équipe anti-programme malveillant entretient des relations étroites avec les partenaires qui développent des moteurs anti-programme malveillant. Par conséquent, le service peut recevoir et intégrer des définitions de programmes malveillants et des correctifs avant qu'ils ne soient publiés. De plus, notre relation avec ces partenaires nous permet souvent de développer nos propres solutions. Le service vérifie la présence de définitions mises à jour pour tous les moteurs de logiciels anti-programme malveillant toutes les heures.

Microsoft Defender pour Office 365

Microsoft Defender pour Office 365 est un service de filtrage de courrier électronique qui fournit une protection supplémentaire contre des types spécifiques de menaces avancées, notamment les logiciels malveillants et les virus. Exchange Online Protection utilise actuellement une protection antivirus robuste et en couches alimentée par plusieurs moteurs contre les programmes malveillants et les virus connus. Microsoft Defender pour Office 365 étend cette protection par le biais d’une fonctionnalité appelée Pièces jointes sécurisées, qui protège contre les programmes malveillants et les virus inconnus, et fournit une meilleure protection zero-day pour protéger votre système de messagerie. Tous les messages et pièces jointes qui n’ont pas de signature de virus/programme malveillant connu sont routés vers un environnement d’hyperviseur spécial, où une analyse du comportement est effectuée à l’aide de diverses techniques d’analyse et d’apprentissage automatique pour détecter les intentions malveillantes. Si aucune activité suspecte n'est détectée, le message est libéré et remis à la boîte aux lettres.

Exchange Online Protection analyse également chaque message en transit dans Microsoft 365 et fournit une protection contre la date de remise, bloquant les liens hypertexte malveillants dans un message. Les attaquants tentent parfois de masquer les URL malveillantes avec des liens apparemment sécurisés qui sont redirigés vers des sites non sécurisés par un service de transfert après la réception du message. Les liens sécurisés protègent de manière proactive vos utilisateurs s’ils sélectionnent un tel lien. Cette protection reste chaque fois qu’ils sélectionnent le lien, et les liens malveillants sont bloqués dynamiquement tandis que les liens appropriés sont accessibles.

Microsoft Defender pour Office 365 offre également de riches fonctionnalités de création de rapports et de suivi, ce qui vous permet d’obtenir des informations critiques sur les personnes ciblées dans votre organization et la catégorie des attaques auxquelles vous êtes confronté. Les rapports et le suivi des messages vous permettent d’examiner les messages qui ont été bloqués en raison d’un virus ou d’un programme malveillant inconnu, tandis que la fonctionnalité de suivi d’URL vous permet de suivre des liens malveillants individuels dans les messages sur lesquels on a cliqué.

Pour plus d’informations sur Microsoft Defender pour Office 365, consultez Exchange Online Protection et Microsoft Defender pour Office 365.

SharePoint Online et protection OneDrive Entreprise contre les rançongiciels

Il existe de nombreuses formes d’attaques par rançongiciel, mais l’une des formes les plus courantes consiste à chiffrer les fichiers importants d’un utilisateur, puis à demander quelque chose à l’utilisateur, comme de l’argent ou des informations, en échange de la clé pour les déchiffrer. Les attaques par ransomware sont en hausse, en particulier celles qui chiffrent les fichiers stockés dans le stockage cloud de l’utilisateur. Pour plus d’informations sur les rançongiciels, consultez le site Microsoft Defender Security Intelligence.

Le contrôle de version permet de protéger les listes SharePoint Online et les bibliothèques SharePoint Online et OneDrive Entreprise contre certains de ces types d’attaques par rançongiciel, mais pas tous. Le contrôle de version est activé par défaut dans OneDrive Entreprise et SharePoint Online. Étant donné que le contrôle de version est activé dans les listes de sites SharePoint Online, vous pouvez examiner les versions antérieures et les récupérer, si nécessaire. Cela vous permet de récupérer les versions des éléments qui datent d’avant leur chiffrement par le ransomware. Certaines organisations conservent également plusieurs versions d’éléments dans leurs listes pour des raisons juridiques ou à des fins d’audit.

SharePoint Online et corbeilles OneDrive Entreprise

Les administrateurs SharePoint Online peuvent restaurer une collection de sites supprimée à l’aide du Centre d’administration SharePoint Online. Les utilisateurs SharePoint Online disposent d’une Corbeille où le contenu supprimé est stocké. Ils peuvent y accéder pour récupérer des documents et listes supprimés en cas de besoin. Les éléments de la Corbeille sont conservés pendant 93 jours. Les types de données capturés dans la Corbeille sont les suivants :

• Collections de sites
• Sites
• Listes
• Bibliothèques
• Dossiers
• Éléments de liste
• Documents
• Pages de composant WebPart

Les personnalisations de site effectuées via SharePoint Designer ne sont pas capturées par la Corbeille. Pour plus d’informations, consultez Restaurer des éléments supprimés de la corbeille de la collection de sites. Voir aussi Restaurer une collection de sites supprimée.

Le contrôle de version ne protège pas contre les attaques par ransomware qui copient des fichiers, les chiffrent, puis suppriment les fichiers d’origine. Toutefois, les utilisateurs finaux peuvent tirer parti de la Corbeille pour récupérer OneDrive Entreprise fichiers après une attaque par rançongiciel.

La section suivante décrit plus en détail les défenses et les contrôles que Microsoft utilise pour atténuer le risque de cyberattaque contre votre organization et ses ressources.

Comment Microsoft atténue les risques d’une attaque par ransomware

Microsoft a intégré des défenses et des contrôles qu’il utilise pour atténuer les risques d’une attaque par rançongiciel contre votre organization et ses ressources. Les ressources peuvent être organisées par domaine, chaque domaine ayant son propre ensemble d’atténuations des risques.

Domaine 1 : contrôles au niveau du locataire

Le premier domaine est les personnes qui composent votre organization et l’infrastructure et les services détenus et contrôlés par votre organization. Les fonctionnalités suivantes de Microsoft 365 sont activées par défaut, ou peuvent être configurées, pour aider à atténuer le risque et à récupérer après une compromission réussie des ressources dans ce domaine.

Exchange Online

• Avec la récupération d’un seul élément et la rétention de boîte aux lettres, les clients peuvent récupérer des éléments dans une boîte aux lettres en cas de suppression prématurée par inadvertance ou malveillante. Les clients peuvent restaurer les messages supprimés dans les 14 jours par défaut, configurables jusqu’à 30 jours.

• Les configurations client supplémentaires de ces stratégies de rétention au sein du service Exchange Online permettent :

  • conservation configurable à appliquer (1 an/10 ans et plus)
  • copier sur la protection en écriture à appliquer
  • la possibilité pour la stratégie de rétention d’être verrouillée de telle sorte que l’immuabilité puisse être atteinte

• Exchange Online Protection analyse les e-mails entrants et les pièces jointes en temps réel à l’entrée et à la sortie du système. Cette option est activée par défaut et dispose de personnalisations de filtrage disponibles. Les messages contenant des rançongiciels ou d’autres programmes malveillants connus ou suspects sont supprimés. Vous pouvez configurer les administrateurs pour recevoir des notifications lorsque cela se produit.

SharePoint Online et OneDrive Entreprise Protection

SharePoint Online et OneDrive Entreprise Protection disposent de fonctionnalités intégrées qui vous aident à vous protéger contre les attaques par rançongiciel.

Contrôle de version : comme le contrôle de version conserve un minimum de 500 versions d’un fichier par défaut et peut être configuré pour en conserver davantage, si le ransomware modifie et chiffre un fichier, une version précédente du fichier peut être récupérée.

Corbeille : si le ransomware crée une nouvelle copie chiffrée du fichier et supprime l’ancien fichier, les clients disposent de 93 jours pour le restaurer à partir de la corbeille.

Bibliothèque de conservation de préservation : les fichiers stockés dans les sites SharePoint ou OneDrive peuvent être conservés en appliquant des paramètres de rétention. Lorsqu’un document avec des versions est soumis à des paramètres de rétention, les versions sont copiées dans la bibliothèque de conservation de préservation et existent en tant qu’élément distinct. Si un utilisateur soupçonne que ses fichiers ont été compromis, il peut examiner les modifications apportées aux fichiers en examinant la copie conservée. La restauration de fichiers peut ensuite être utilisée pour récupérer des fichiers au cours des 30 derniers jours.

Teams

Les conversations Teams sont stockées dans Exchange Online boîtes aux lettres des utilisateurs et les fichiers sont stockés dans SharePoint Online ou OneDrive Entreprise. Les données Microsoft Teams sont protégées par les contrôles et les mécanismes de récupération disponibles dans ces services.

Domaine 2 : contrôles de niveau de service

Le deuxième domaine est les personnes qui composent Microsoft le organization et l’infrastructure d’entreprise détenue et contrôlée par Microsoft pour exécuter les fonctions organisationnelles d’une entreprise.

L’approche de Microsoft pour sécuriser son patrimoine d’entreprise est Confiance nulle, implémentée à l’aide de nos propres produits et services avec des défenses au sein de notre patrimoine numérique. Vous trouverez plus d’informations sur les principes de Confiance nulle ici : architecture Confiance nulle.

Les fonctionnalités supplémentaires de Microsoft 365 étendent les atténuations des risques disponibles dans le domaine 1 pour protéger davantage les ressources de ce domaine.

SharePoint Online et OneDrive Entreprise Protection

Contrôle de version : si un ransomware a chiffré un fichier sur place, en tant que modification, le fichier peut être récupéré jusqu’à la date de création initiale du fichier à l’aide des fonctionnalités d’historique des versions gérées par Microsoft.

Corbeille : si le ransomware a créé une nouvelle copie chiffrée du fichier et supprimé l’ancien fichier, les clients ont 93 jours pour le restaurer à partir de la Corbeille. Après 93 jours, il existe une fenêtre de 14 jours où Microsoft peut toujours récupérer les données. Après cette fenêtre, les données sont définitivement supprimées.

Teams

Les atténuations des risques pour Teams décrites dans Domaine 1 s’appliquent également au domaine 2.

Domaine 3 : Développeurs & infrastructure de service

Le troisième domaine concerne les personnes qui développent et exploitent le service Microsoft 365, le code et l’infrastructure qui fournit le service, ainsi que le stockage et le traitement de vos données.

Les investissements Microsoft qui sécurisent la plateforme Microsoft 365 et atténuent les risques dans ce domaine se concentrent sur les domaines suivants :

• Évaluation et validation continues de la posture de sécurité du service
• Création d’outils et d’architecture qui protègent le service contre toute compromission
• Création de la capacité à détecter les menaces et à y répondre si une attaque se produit

Évaluation et validation continues de la posture de sécurité

• Microsoft atténue les risques associés aux personnes qui développent et exploitent le service Microsoft 365 en utilisant le principe des privilèges minimum. Cela signifie que l’accès et les autorisations aux ressources sont limités à ce qui est nécessaire pour effectuer une tâche nécessaire.
  • Un modèle juste-à-temps (JIT), just-enough-access (JEA) est utilisé pour fournir aux ingénieurs Microsoft des privilèges temporaires.
  • Les ingénieurs doivent soumettre une demande pour une tâche spécifique afin d’acquérir des privilèges élevés.
  • Les demandes sont gérées via Lockbox, qui utilise le contrôle d’accès en fonction du rôle (RBAC) Azure pour limiter les types de demandes d’élévation JIT que les ingénieurs peuvent effectuer.
• En plus de ce qui précède, tous les candidats Microsoft sont présélectionnés avant de commencer à travailler chez Microsoft. Les employés qui gèrent Microsoft services en ligne dans le États-Unis doivent faire l’objet d’une vérification des antécédents Microsoft Cloud comme condition préalable à l’accès aux systèmes services en ligne.
• Tous les employés de Microsoft doivent suivre une formation de sensibilisation à la sécurité de base, ainsi qu’une formation sur les normes de conduite commerciale.

Outils et architecture qui protègent le service

• Le cycle de vie du développement de la sécurité (SDL) de Microsoft se concentre sur le développement de logiciels sécurisés pour améliorer la sécurité des applications et réduire les vulnérabilités. Pour plus d’informations, consultez Vue d’ensemble du développement et des opérations de sécurité et de sécurité.
• Microsoft 365 limite la communication entre les différentes parties de l’infrastructure de service à ce qui est nécessaire pour fonctionner.
• Le trafic réseau est sécurisé à l’aide de pare-feu réseau supplémentaires aux points limites pour faciliter la détection, la prévention et l’atténuation des attaques réseau.
• Les services Microsoft 365 sont conçus pour fonctionner sans que les ingénieurs n’ont besoin d’accéder aux données client, sauf demande et approbation explicites par le client. Pour plus d’informations, consultez Comment Microsoft collecte et traite-t-il les données client.

Fonctionnalités de détection et de réponse

• Microsoft 365 est engagé dans la surveillance continue de la sécurité de ses systèmes pour détecter les menaces contre les services Microsoft 365 et y répondre.
• La journalisation centralisée collecte et analyse les événements de journal pour les activités susceptibles d’indiquer un incident de sécurité. Les données de journal sont analysées à mesure qu’elles sont chargées dans notre système d’alerte et génèrent des alertes en quasi-temps réel.
• Les outils basés sur le cloud nous permettent de répondre rapidement aux menaces détectées. Ces outils permettent la correction à l’aide d’actions déclenchées automatiquement.
• Lorsque la correction automatique n’est pas possible, des alertes sont envoyées aux ingénieurs d’appel appropriés, qui sont équipés d’un ensemble d’outils qui leur permettent d’agir en temps réel pour atténuer les menaces détectées.

Récupérer après une attaque par rançongiciel

Pour connaître les étapes de récupération d’une attaque par ransomware dans Microsoft 365, consultez Récupérer après une attaque par rançongiciel dans Microsoft 365.

Ressources supplémentaires sur les rançongiciels

Informations clés de Microsoft

• Menace croissante des rançongiciels, billet de blog Microsoft On the Issues du 20 juillet 2021
• Rançongiciel géré par l’humain
• Se protéger rapidement contre les rançongiciels et les attaques
• Dernier rapport de la Veille de sécurité Microsoft (voir les pages 22 à 24)
• Ransomware : rapport de menaces omniprésent et continu dans le nœud Analyse des menaces du portail Microsoft Defender (consultez ces conditions de licence)

Microsoft 365

• Déployer la protection contre les rançongiciels pour votre client Microsoft 365
• Récupérer après une attaque par rançongiciel
• Protéger votre PC Windows 10 contre les rançongiciels
• Gérer les rançongiciels dans SharePoint Online

Microsoft Defender XDR

• Rechercher un rançongiciel avec la recherche avancée

Microsoft Azure

• Défenses Azure pour les attaques par rançongiciel
• Plan de sauvegarde et de restauration pour se protéger contre les rançongiciels
• Se protéger contre les rançongiciels avec la Sauvegarde Microsoft Azure (vidéo de 26 minutes)
• Récupération d’une compromission d’identité systémique
• Détection avancée d’attaques à plusieurs niveaux dans Azure Sentinel
• Détection de fusion pour les ransomware dans Azure Sentinel
• Protection contre les rançongiciels dans Azure
• Se préparer à une attaque par rançongiciel
• Détecter les attaques par ransomware et y répondre
• Fonctionnalités Azure & ressources qui vous aident à protéger, détecter et répondre
• Plan de sauvegarde et de restauration Azure pour se protéger contre les rançongiciels

Microsoft Defender for Cloud Apps

• Créer des stratégies de détection des anomalies dans Defender for Cloud Apps

Billets de blog de l’équipe sécurité Microsoft

• 3 étapes pour empêcher et récupérer à partir d’un rançongiciel (septembre 2021)

• Devenir résilient en comprenant les risques de cybersécurité : partie 4 : navigation avec les menaces actuelles (mai 2021)

  Consultez la section Rançongiciel.

• Attaques par rançongiciels contrôlés par l’homme : un sinistre pouvant être évité (mars 2020)

  Inclut des analyses de chaîne d’attaques des attaques réelles.

• Réponse au rançongiciel : payer ou ne pas payer ? (Décembre 2019)

• Norsk Hydro répond aux attaques par rançongiciel avec transparence (décembre 2019)