FAQ sur la protection contre les programmes malveillantsAnti-malware protection FAQ

Important

Bienvenue à Microsoft Defender for Office 365 , le nouveau nom Office 365 Advanced Threat Protection.Welcome to Microsoft Defender for Office 365 , the new name for Office 365 Advanced Threat Protection. Si vous souhaitez en savoir plus à ce sujet et sur les autres mises à jour, veuillez consulter la page Microsoft delivers unified SIEM and XDR to modernize security operations.Read more about this and other updates in Microsoft delivers unified SIEM and XDR to modernize security operations.

Cet article fournit des questions fréquemment posées et des réponses à propos de la protection anti-programme malveillant pour les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection (EOP) autonomes sans boîtes aux lettres Exchange Online.This article provides frequently asked questions and answers about anti-malware protection for Microsoft 365 organizations with mailboxes in Exchange Online, or standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes.

Pour accéder à des questions et des réponses sur la mise en quarantaine, voir FAQ sur la mise en quarantaine.For questions and answers about the quarantine, see Quarantine FAQ.

Pour obtenir des questions et des réponses sur la protection contre le courrier indésirable, consultez la rubrique protection contre le courrier indésirable.For questions and answers about anti-spam protection, see Anti-spam protection FAQ.

Pour obtenir des questions et des réponses sur la protection contre l’usurpation d’identité, consultez la rubrique anti-spoofing protection FAQ.For questions and answers about anti-spoofing protection, see Anti-spoofing protection FAQ.

Quelles sont les meilleures pratiques en matière de configuration et d’utilisation du service pour lutter contre les programmes malveillants ?What are best practice recommendations for configuring and using the service to combat malware?

Voir les paramètres de stratégie anti-programme malveillant EOP.See EOP anti-malware policy settings.

À quelle fréquence les définitions de logiciels malveillants sont-elles mises à jour ?How often are the malware definitions updated?

Chaque serveur vérifie la présence de nouvelles définitions de programmes malveillants provenant de nos partenaires de protection contre les programmes malveillants toutes les heures.Each server checks for new malware definitions from our anti-malware partners every hour.

Combien de partenaires de protection contre les programmes malveillants avez-vous ?How many anti-malware partners do you have? Puis-je choisir les moteurs de logiciels anti-programmes malveillants à utiliser ?Can I choose which malware engines we use?

Nous disposons de partenariats avec plusieurs fournisseurs de technologies anti-programme malveillant.We have partnerships with multiple anti-malware technology providers. Nos partenaires sont susceptibles d’être modifiés, mais EOP utilise toujours la protection contre les programmes malveillants de plusieurs partenaires.Our partners are subject to change, but EOP always uses anti-malware protection from multiple partners. Vous ne pouvez pas choisir un moteur anti-programme malveillant sur un autre.You can't choose one anti-malware engine over another.

À quel niveau la détection des programmes malveillants se produit-elle ?Where does malware scanning occur?

Nous analyseons les programmes malveillants dans les messages qui sont envoyés à ou envoyés à partir d’une boîte aux lettres (messages en transit).We scan for malware in messages that are sent to or sent from a mailbox (messages in transit). Pour les boîtes aux lettres Exchange Online, nous disposons également d' une purge automatique (supprimable) des programmes malveillants pour détecter des programmes malveillants dans les messages qui ont déjà été remis.For Exchange Online mailboxes, we also have malware zero-hour auto purge (ZAP) to scan for malware in messages that have already been delivered. Si vous renvoyez un message à partir d’une boîte aux lettres, il est à nouveau analysé (car il est en transit).If you resend a message from a mailbox, then it's scanned again (because it's in transit).

Si je modifie une stratégie anti-programme malveillant, combien de temps après l’enregistrement de mes changements ces derniers prennent-ils effet ?If I make a change to an anti-malware policy, how long does it take after I save my changes for them to take effect?

L’application des modifications peut prendre jusqu’à 1 heure.It might take up to 1 hour for the changes to take effect.

Le service analyse-t-il des messages internes à la recherche de programmes malveillants ?Does the service scan internal messages for malware?

Pour les organisations disposant d’une boîte aux lettres Exchange Online, le service analyse les programmes malveillants dans tous les messages entrants et sortants, y compris les messages échangés entre les destinataires internes.For organizations with Exchange Online mailbox, the service scans for malware in all inbound and outbound messages, including messages sent between internal recipients.

Un abonnement EOP autonome analyse les messages lorsqu’ils entrent ou sortent de votre organisation de messagerie locale.A standalone EOP subscription scans messages as they enter or leave your on-premises email organization. Les messages envoyés entre les utilisateurs internes ne sont pas analysés pour les programmes malveillants.Messages sent between internal users aren't scanned for malware. Toutefois, vous pouvez utiliser les fonctionnalités intégrées d’analyse anti-programme malveillant d’Exchange Server.However, you can use the built-in anti-malware scanning features of Exchange Server. Pour plus d’informations, consultez la rubrique protection contre les programmes malveillants dans Exchange Server.For more information, see Antimalware protection in Exchange Server.

L'analyse heuristique est-elle activée pour tous les moteurs de logiciels anti-programme malveillant utilisés par le service ?Do all anti-malware engines used by the service have heuristic scanning enabled?

Oui.Yes. L’analyse heuristique analyse les programmes malveillants connus (correspondance de signature) et inconnus.Heuristic scanning scans for both known (signature match) and unknown (suspicious) malware.

Le service peut-il analyser les fichiers compressés (les fichiers .zip, par exemple) ?Can the service scan compressed files (such as .zip files)?

Oui.Yes. Les moteurs anti-programme malveillant peuvent explorer les fichiers compressés (Archive).The anti-malware engines can drill into compressed (archive) files.

La prise en charge de l'analyse des pièces jointes compressées est-elle récursive (fichier .zip dans un fichier .zip dans un fichier .zip) et, le cas échéant, jusqu'à quel niveau ?Is the compressed attachment scanning support recursive (.zip within a .zip within a .zip) and if so, how deep does it go?

Oui, l’analyse récursive des fichiers compressés analyse plusieurs couches.Yes, recursive scanning of compressed files scans many layers deep.

Le service fonctionne-t-il avec les versions antérieures d’Exchange et les environnements non-Exchange ?Does the service work with legacy Exchange versions and non-Exchange environments?

Oui, le service est indépendant du type de serveur.Yes, the service is server agnostic.

Qu’est-ce qu’un virus « jour zéro » et comment est-il géré par le service ?What's a zero-day virus and how is it handled by the service?

Un virus « jour zéro » est une première génération, une variante précédemment inconnue de programmes malveillants qui n’a jamais été capturée ou analysée.A zero-day virus is a first generation, previously unknown variant of malware that's never been captured or analyzed.

Une fois qu’un échantillon de virus « jour zéro » a été capturé et analysé par nos moteurs anti-programme malveillant, une définition et une signature unique sont créées pour détecter le programme malveillant.After a zero-day virus sample is captured and analyzed by our anti-malware engines, a definition and unique signature is created to detect the malware.

Lorsqu’une définition ou une signature existe pour le programme malveillant, elle n’est plus considérée comme étant égale à zéro jour.When a definition or signature exists for the malware, it's no longer considered zero-day.

Comment puis-je configurer le service de sorte qu’il bloque des fichiers exécutables spécifiques (par exemple, * . exe) que je craint contenir des programmes malveillants ?How can I configure the service to block specific executable files (such as *.exe) that I fear may contain malware?

Vous pouvez activer le filtre des types de pièces jointes courants (également appelé blocage des pièces jointes courantes), comme décrit dans la rubrique anti-malware Policies.You can enable the Common Attachment Types Filter (also known as common attachment blocking) as described in Anti-malware policies.

Vous pouvez également créer une règle de flux de messagerie Exchange (également appelée règle de transport) qui bloque toute pièce jointe de courrier électronique dont le contenu est exécutable.You can also create an Exchange mail flow rule (also known as transport rule) that blocks any email attachment that has executable content.

Suivez les étapes de réduction des menaces de programmes malveillants via le blocage des pièces jointes dans Exchange Online Protection pour bloquer les types de fichiers mentionnés dans types de fichiers pris en charge pour l’inspection du contenu des règles de flux de messagerie dans Exchange Online.Follow the steps in How to reduce malware threats through file attachment blocking in Exchange Online Protection to block the file types listed in Supported file types for mail flow rule content inspection in Exchange Online.

Pour une meilleure protection, nous vous recommandons également d’utiliser la condition toute extension de fichier de pièce jointe inclut ces mots dans les règles de flux de messagerie pour bloquer une partie ou l’ensemble des extensions suivantes : ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh .For increased protection, we also recommend using the Any attachment file extension includes these words condition in mail flow rules to block some or all of the following extensions: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.

Pourquoi un programme malveillant spécifique a-t-il passé les filtres ?Why did a specific malware get past the filters?

Il existe deux raisons possibles pour lesquelles vous pouvez recevoir des programmes malveillants :There are two possible reasons why you might have received malware:

  1. La pièce jointe ne contient probablement pas de code malveillant.Most likely, the attachment does not actually contain malicious code. Certains moteurs anti-programme malveillant exécutés sur les ordinateurs peuvent être plus agressifs et bloquer les messages avec des charges utiles tronquées.Some anti-malware engines that run on computers might be more aggressive and could stop messages with truncated payloads.

  2. Le programme malveillant que vous avez reçu est une nouvelle variante (voir qu’est-ce qu’un virus « jour zéro » et comment est-il géré par le service ?).The malware you received is a new variant (see What's a zero-day virus and how is it handled by the service?). Le temps nécessaire à la mise à jour des définitions de programmes malveillants dépend de nos partenaires anti-programme malveillant.The time it takes for a malware definition update is dependent on our anti-malware partners.

Comment puis-je soumettre un programme malveillant qui a passé les filtres à Microsoft ?How can I submit malware that made it past the filters to Microsoft? Par ailleurs, comment envoyer un fichier qui, selon moi, a été détecté de manière erronée comme un programme malveillant ?Also, how can I submit a file that I believe was incorrectly detected as malware?

Voir Signaler des messages et des fichiers à Microsoft.See Report messages and files to Microsoft.

J’ai reçu un message électronique contenant une pièce jointe inhabituelle.I received an email message with an unfamiliar attachment. S'agit-il d'un programme malveillant ou puis-je ignorer cette pièce jointe ?Is this malware or can I disregard this attachment?

Nous vous conseillons vivement de ne pas ouvrir les pièces jointes que vous ne connaissez pas.We strongly advise that you do not open any attachments that you do not recognize. Si vous souhaitez que nous analysions la pièce jointe, accédez au Centre de protection contre les programmes malveillants et envoyez-nous le programme potentiellement malveillant tel que décrit plus haut.If you would like us to investigate the attachment, go to the Malware Protection Center and submit the possible malware to us as described previously.

Où puis-je récupérer les messages qui ont été supprimés par les filtres anti-programme malveillant ?Where can I get the messages that have been deleted by the malware filters?

Les messages contiennent du code nuisible et, de ce fait, nous ne vous autorisons pas à y accéder.The messages contain active malicious code and therefore we do not allow access to these messages. Elles sont supprimées unceremoniously.They are unceremoniously deleted.

Je ne parviens pas à recevoir une pièce jointe, car elle a été détectée de manière erronée comme un programme malveillant par les filtres.I am not able to receive a specific attachment because it is being falsely filtered by the malware filters. Puis-je autoriser cette pièce jointe via les règles de flux de messagerie ?Can I allow this attachment through via mail flow rules?

Non.No. Vous ne pouvez pas utiliser les règles de flux de messagerie Exchange pour ignorer le filtrage des programmes malveillants.You can't use Exchange mail flow rules to skip malware filtering.

Puis-je obtenir des données de rapport sur les détections de programmes malveillants ?Can I get reporting data about malware detections?

Oui, vous pouvez accéder à des rapports dans le centre d’administration.Yes, you can access reports in the admin center. Pour plus d'informations sur les rapports, consultez les liens suivants :For more information about reporting, see the following links:

Clients Exchange Online : surveillance, création de rapports et suivi des messages dans Exchange OnlineExchange Online customers: Monitoring, Reporting, and Message Tracing in Exchange Online

Clients Exchange Online Protection : création de rapports et suivi des messages dans Exchange Online ProtectionExchange Online Protection customers: Reporting and message trace in Exchange Online Protection

Existe-t-il un outil permettant de suivre un message détecté comme programme malveillant à travers le service ?Is there a tool that I can use to follow a malware-detected message through the service?

Oui, l'outil de suivi des messages vous permet de suivre les messages électroniques quand ils sont acheminés via le service.Yes, the message trace tool enables you to follow email messages as they pass through the service. Pour plus d’informations sur l’utilisation de l’outil de suivi des messages afin de déterminer pourquoi un message a été détecté pour contenir des programmes malveillants, consultez la rubrique suivi des messages dans le centre de sécurité & Compliance Center.For more information about how to use the message trace tool to find out why a message was detected to contain malware, see Message trace in the Security & Compliance Center.

Puis-je utiliser un fournisseur tiers de blocage de courrier indésirable et de programme malveillant en association avec Exchange Online ?Can I use a third-party anti-spam and anti-malware provider in conjunction with Exchange Online?

Oui.Yes. Dans la plupart des cas, nous vous recommandons de faire pointer vos enregistrements MX vers (c’est-à-dire, de transmettre directement les messages électroniques à) EOP.In most cases, we recommend that you point your MX records to (that is, deliver email directly to) EOP. Si vous avez besoin d’acheminer votre courrier électronique ailleurs, vous devez activer le filtrage amélioré pour les connecteurs afin que EOP puisse utiliser la véritable source de message dans les décisions de filtrage.If you need to route your email somewhere else first, you need to enable Enhanced Filtering for Connectors so EOP can use the true message source in filtering decisions.

Le courrier indésirable et les messages malveillants font-ils l’objet d’une enquête pour savoir qui les a envoyés, ou sont-ils transférés à des services chargés de l’application de la loi ?Are spam and malware messages being investigated as to who sent them, or being transferred to law enforcement entities?

Le service se concentre sur la détection et la suppression de courrier indésirable et de programmes malveillants, bien que nous puissions parfois enquêter sur des campagnes de courrier indésirable ou d’attaque malveillants ou nuisibles et poursuivre les auteursThe service focuses on spam and malware detection and removal, though we may occasionally investigate especially dangerous or damaging spam or attack campaigns and pursue the perpetrators.

Nous avons souvent recours à nos appareils juridiques et de crime numérique pour effectuer les actions suivantes :We often with our legal and digital crime units to take the following actions:

  • Désactivez un botnet de courrier indésirable.Take down a spam botnet.
  • Empêcher un agresseur d’utiliser le service.Block an attacker from using the service.
  • Transmettre les informations à l’application de la loi en matière de poursuites pénales.Pass the information on to law enforcement for criminal prosecution.

Pour plus d'informationsFor more information

Configurer des stratégies anti-programme malveillantConfigure anti-malware policies

Protection contre les programmes malveillantsAnti-malware protection