Partager via


Déployer la protection contre les rançongiciels pour votre client Microsoft 365

Le rançongiciel est un type d’attaque malveillante qui détruit ou chiffre des fichiers et des dossiers, empêchant ainsi l’accès aux données critiques. Les rançongiciels de produits se propagent généralement comme un virus qui infecte les appareils et nécessite uniquement une correction des programmes malveillants. Un rançongiciel géré par des personnes est le résultat d’une attaque active par des cybercriminels qui infiltrent l’infrastructure informatique locale ou cloud d’une organisation, élèvent leurs privilèges et déploient des rançongiciels sur des données critiques.

Une fois l’attaque terminée, un attaquant demande de l’argent aux personnes malveillantes en échange des fichiers supprimés, des clés de déchiffrement pour les fichiers chiffrés ou une promesse de ne pas libérer les données sensibles sur le site web sombre ou sur Internet public. Les rançongiciels contrôlés par l’homme peuvent également être utilisés pour arrêter des ordinateurs ou des processus critiques, tels que ceux nécessaires à la production industrielle, ce qui interrompt les opérations commerciales normales jusqu’à ce que la rançon soit payée et que les dommages soient corrigés, ou que l’organisation corrige les dommages elle-mêmes.

Une attaque par un rançongiciel contrôlé par l’homme peut être catastrophique pour les entreprises de toutes tailles et est difficile à nettoyer, nécessitant une défense totale de l’adversaire pour se protéger contre les attaques futures. Contrairement aux rançongiciels de produits, les rançongiciels gérés par l’homme peuvent continuer à menacer les opérations des entreprises après la demande de rançon initiale.

Remarque

Une attaque par rançongiciel sur un client Microsoft 365 suppose que l’attaquant dispose d’informations d’identification de compte d’utilisateur valides pour un client et qu’il a accès à tous les fichiers et ressources qui sont autorisés pour le compte d’utilisateur. Une personne malveillante sans informations d’identification de compte d’utilisateur valides doit déchiffrer les données au repos qui ont été chiffrées par Microsoft 365 par défaut et le chiffrement amélioré. Pour plus d’informations, voir La vue d’ensemble du chiffrement et de la gestion des clés.

Pour plus d’informations sur la protection contre les rançongiciels parmi les produits Microsoft, consultez ces ressources supplémentaires sur les rançongiciels.

La sécurité dans le cloud est un partenariat

La sécurité de vos services de cloud computing Microsoft est un partenariat entre vous et Microsoft :

  • Les services de cloud computing Microsoft reposent sur la confiance et la sécurité. Microsoft met à votre disposition des contrôles de sécurité et des fonctionnalités pour vous permettre de protéger vos données et applications.
  • Il est de votre responsabilité de protéger vos données et votre identité, ainsi que d’assurer la sécurité de vos ressources locales et des composants cloud que vous contrôlez.

En combinant ces fonctionnalités et responsabilités, nous pouvons fournir la meilleure protection contre une attaque par rançongiciel.

Fonctionnalités d’atténuation et de récupération de rançongiciel fournies avec Microsoft 365

Un pirate par rançongiciel qui a infiltré un client Microsoft 365 peut exiger une rançon auprès de votre organisation en:

  • Suppression de fichiers ou de messages électroniques
  • Chiffrement des fichiers en place
  • Copie de fichiers en dehors de votre client (exfiltration de données)

Toutefois, les services en ligne Microsoft 365 ont de nombreuses fonctionnalités et contrôles intégrés pour protéger les données client contre les attaques par rançongiciel. Les sections suivantes fournissent un résumé. Pour plus d’informations sur la façon dont Microsoft protège les données client, la Protection contre les programmes malveillants et les rançongiciels dans Microsoft 365.

Remarque

Une attaque par rançongiciel sur un client Microsoft 365 suppose que l’attaquant dispose d’informations d’identification de compte d’utilisateur valides pour un client et qu’il a accès à tous les fichiers et ressources qui sont autorisés pour le compte d’utilisateur. Une personne malveillante sans informations d’identification de compte d’utilisateur valides doit déchiffrer les données au repos qui ont été chiffrées par Microsoft 365 par défaut et le chiffrement amélioré. Pour plus d’informations, voir La vue d’ensemble du chiffrement et de la gestion des clés.

Suppression de fichiers ou de messages électroniques

Les fichiers SharePoint et OneDrive Entreprise sont protégés par :

  • Gestion des versions

    Microsoft 365 conserve un minimum de 500 versions d’un fichier par défaut et peut être configuré pour en conserver davantage.

    Pour réduire la charge sur votre sécurité et le personnel du service d’aide, formez vos utilisateurs sur la restauration des versions précédentes des fichiers.

  • Corbeille

    Si le rançongiciel crée une copie chiffrée du fichier et supprime l’ancien fichier, les clients ont 93 jours pour le restaurer à partir de la Corbeille. Après 93 jours, il existe une fenêtre de 14 jours dans laquelle Microsoft peut toujours récupérer les données.

    Pour réduire la charge sur votre sécurité et le personnel du service d’aide, formez vos utilisateurs sur la façon de restaurer des fichiers à partir de la Corbeille.

  • Restaurer des fichiers

    Solution de récupération en libre-service complète pour SharePoint et OneDrive qui permet aux administrateurs et aux utilisateurs finaux de restaurer des fichiers à partir de n’importe quel moment au cours des 30 derniers jours.

    Pour réduire la charge sur votre sécurité et le personnel du service informatique, formez vos utilisateurs sur la Restauration de fichiers.

Pour OneDrive fichiers SharePoint, Microsoft peut revenir à un point précédent dans le temps jusqu’à 14 jours si vous êtes atteint par une attaque de masse.

La messagerie électronique est protégée par :

  • Récupération d’élément unique et rétention de boîte aux lettres, dans lesquelles vous pouvez récupérer des éléments dans une boîte aux lettres en cas de suppression accidentelle ou malveillante prématuré. Par défaut, vous pouvez supprimer les messages électroniques supprimés dans les 14 jours, configurables jusqu’à 30 jours.

  • Les stratégies de rétention vous permettent de conserver des copies non permutables du courrier électronique pendant la période de rétention configurée.

Chiffrement des fichiers en place

Comme décrit précédemment, les fichiers SharePoint et OneDrive Entreprise sont protégés contre le chiffrement malveillant avec :

  • Gestion des versions
  • Corbeille
  • Bibliothèque de conservation et de préservation

Pour plus d’informations, consultez Traitement de l’altération des données dans Microsoft 365.

Copie de fichiers en dehors de votre client

Vous pouvez empêcher un pirate par rançongiciel de copier des fichiers en dehors de votre client avec :

Qu’y a-t-il dans cette solution ?

Cette solution vous guide pour déployer des fonctionnalités de protection et d’atténuation Microsoft 365, des configurations et des opérations en cours pour réduire la capacité d’une personne malveillante à utiliser les données critiques dans votre client Microsoft 365 et à détenir votre organisation contre un rançon.

Étapes de protection contre les rançongiciels avec Microsoft 365

Les étapes de cette solution sont les suivantes :

  1. Configurer les lignes de base de sécurité
  2. Déployer la détection et la réponse aux attaques
  3. Protéger les identités
  4. Protéger les appareils
  5. Protéger les informations

Voici les cinq étapes de la solution déployée pour votre client Microsoft 365.

Protection contre les rançongiciels pour un client Microsoft 365

Cette solution utilise les principes de confiance zéro:

  • Vérifiez explicitement : Toujours authentifier et autoriser en fonction de tous les points de données disponibles.
  • Utilisez l’accès selon le privilège minimum : Limitez l’accès des utilisateurs avec un accès juste-à-temps et juste-suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et la protection des données.
  • Supposons une violation : Réduisez le rayon d’explosion et l’accès aux segments. Vérifiez le chiffrement de bout en bout et utilisez l’analyse pour obtenir la visibilité, détecter les menaces et améliorer les défenses.

Contrairement à l’accès intranet classique, qui fait confiance à tous les éléments derrière le pare-feu d’une organisation, la confiance zéro traite chaque connexion et accès comme s’il provenait d’un réseau non contrôlé, qu’il se trouve derrière le pare-feu de l’organisation ou sur Internet. La confiance zéro nécessite une protection pour le réseau, l’infrastructure, les identités, les points de terminaison, les applications et les données.

Fonctionnalités de Microsoft 365

Pour protéger votre client Microsoft 365 contre une attaque par rançongiciel, utilisez ces fonctionnalités de Microsoft 365 pour ces étapes dans la solution.

1. Base de référence de sécurité

Fonctionnalité Description Aide... Gestion des licences
Niveau de sécurité Microsoft Mesure l’état de sécurité d’un client Microsoft 365. Évaluez votre configuration de la sécurité et proposez des améliorations. Microsoft 365 E3 ou Microsoft 365 E5
Règles de réduction de la surface d’attaque Réduit la vulnérabilité de votre organisation aux cyberattaques à l’aide de divers paramètres de configuration. Bloquer les activités suspectes et le contenu vulnérable. Microsoft 365 E3 ou Microsoft 365 E5
Paramètres de messagerie Exchange Active les services qui réduisent la vulnérabilité de votre organisation à une attaque basée sur le courrier. Empêcher l’accès initial à votre client via le hameçonnage et d’autres attaques basées sur la messagerie. Microsoft 365 E3 ou Microsoft 365 E5
Paramètres de Microsoft Windows, Microsoft Edge et Microsoft 365 Apps pour Enterprise Fournit des configurations de sécurité standard largement connues et testées. Empêcher les attaques par Windows, Edge et Microsoft 365 Apps pour Enterprise. Microsoft 365 E3 ou Microsoft 365 E5

2. Détection et réponse

Fonctionnalité Description Permet de détecter et de répondre à... Gestion des licences
Microsoft Defender XDR Combine les signaux et orchestre les fonctionnalités dans une solution unique.

Permet aux professionnels de la sécurité de combiner les signaux des menaces et de déterminer l’étendue et l’impact complets d’une menace.

Automatise les actions pour empêcher ou arrêter l’attaque et de réparer de manière spontanée les boîtes aux lettres, les points de terminaison et les identités des utilisateurs affectés.
Incidents, qui sont les alertes et données combinées qui font une attaque. Microsoft 365 E5 ou Microsoft 365 E3 avec le module Microsoft 365 E5 Sécurité
Microsoft Defender pour l’identité Identifie, détecte et examine les menaces avancées, les identités compromises et les actions malveillantes internes ciblant votre organisation via une interface de sécurité basée sur le cloud qui utilise vos signaux Active Directory Domain Services (AD DS) locaux. Compromission des informations d’identification pour les comptes AD DS. Microsoft 365 E5 ou Microsoft 365 E3 avec le module Microsoft 365 E5 Sécurité
Microsoft Defender pour Office 365 Protège votre organisation contre les menaces malveillantes liées aux courriers électroniques, aux liens (URL) et aux outils de collaboration.

Protège contre les programmes malveillants, le hameçonnage, l’usurpation et d’autres types d’attaques.
Attaques par hameçonnage. Microsoft 365 E5 ou Microsoft 365 E3 avec le module Microsoft 365 E5 Sécurité
Microsoft Defender pour point de terminaison Permet la détection et la réponse aux menaces avancées sur les points de terminaison (appareils). Installation de programmes malveillants et compromission de l’appareil. Microsoft 365 E5 ou Microsoft 365 E3 avec le module Microsoft 365 E5 Sécurité
Protection Microsoft Entra ID Automatise la détection et la correction des risques basés sur l’identité et l’examen de ces risques. Compromission des informations d’identification pour les comptes Microsoft Entra et l’escalade de privilèges. Microsoft 365 E5 ou Microsoft 365 E3 avec le module Microsoft 365 E5 Sécurité
Defender for Cloud Apps Courtier de sécurité d’accès au cloud pour la découverte, l’examen et la gouvernance au sein de tous vos services cloud Microsoft et tiers. Déplacement latéral et exfiltration des données. Microsoft 365 E5 ou Microsoft 365 E3 avec le module Microsoft 365 E5 Sécurité

3. Identités

Fonctionnalité Description Permet d’éviter... Gestion des licences
protection par mot de passe Microsoft Entra Bloquez les mots de passe à partir d’une liste commune et d’entrées personnalisées. Détermination du mot de passe du compte d’utilisateur local ou cloud. Microsoft 365 E3 ou Microsoft 365 E5
Authentification multifacteur appliquée avec accès conditionnel Requiert une authentification multifacteur sur la base des propriétés de la connexion avec les stratégies d’accès conditionnel. Compromission et accès aux informations d’identification. Microsoft 365 E3 ou Microsoft 365 E5
Authentification multifacteur appliquée avec accès conditionnel basé sur les risques Exiger l’authentification multifacteur en fonction du risque de connexions utilisateur avec Protection Microsoft Entra ID. Compromission et accès aux informations d’identification. Microsoft 365 E5 ou Microsoft 365 E3 avec le module Microsoft 365 E5 Sécurité

4. Appareils

Pour la gestion des appareils et des applications :

Fonctionnalité Description Permet d’éviter... Gestion des licences
Microsoft Intune Gérer les appareils et les applications qu’ils exécutent. Compromission et accès de l’appareil ou de l’application. Microsoft 365 E3 ou E5

Pour les appareils Windows 11 ou 10 :

Fonctionnalité Description Aide... Gestion des licences
Pare-feu Microsoft Defender Fournit un pare-feu basé sur l’hôte. Empêcher les attaques du trafic réseau entrant non sollicité. Microsoft 365 E3 ou Microsoft 365 E5
Antivirus Microsoft Defender Offre une protection contre les programmes malveillants des appareils (points de terminaison) à l’aide de l’apprentissage automatique, de l’analyse de big data, de la recherche approfondie de résistance aux menaces et de l’infrastructure cloud de Microsoft. Empêcher l’installation et l’exécution de programmes malveillants. Microsoft 365 E3 ou Microsoft 365 E5
Microsoft Defender SmartScreen Protège contre les sites web et applications de hameçonnage ou de programmes malveillants, ainsi que le téléchargement de fichiers potentiellement malveillants. Bloquez ou avertissez lors de la vérification de sites, de téléchargements, d’applications et de fichiers. Microsoft 365 E3 ou Microsoft 365 E5
Microsoft Defender pour point de terminaison Permet d’éviter, de détecter, d’examiner et de répondre aux menaces avancées sur les appareils (points de terminaison). Protégez-vous contre la falsification du réseau. Microsoft 365 E5 ou Microsoft 365 E3 avec le module Microsoft 365 E5 Sécurité

5. Informations

Fonctionnalité Description Aide... Gestion des licences
Accès contrôlé aux dossiers Protège vos données en vérifiant les applications par rapport à une liste d’applications connues et fiables. Empêcher les fichiers d’être modifiés ou chiffrés par un rançongiciel. Microsoft 365 E3 ou Microsoft 365 E5
Protection de l'information Microsoft Purview Permet d’appliquer des étiquettes de confidentialité à des informations pouvant être rançonnables Empêcher l’utilisation d’informations exfiltrées. Microsoft 365 E3 ou Microsoft 365 E5
Protection contre la perte de données (DLP) Protège les données sensibles et réduit les risques en empêchant les utilisateurs de les partager de manière inappropriée. Prévenir l'exfiltration des données. Microsoft 365 E3 ou Microsoft 365 E5
Defender for Cloud Apps Un courtier de sécurité d’accès au cloud pour la découverte, l’examen et la gouvernance. Détecter les mouvements latéraux et empêcher l’exfiltration des données. Microsoft 365 E5 ou Microsoft 365 E3 avec le module Microsoft 365 E5 Sécurité

Impact sur les utilisateurs et la gestion des changements

Le déploiement de fonctionnalités de sécurité supplémentaires et l’implémentation des exigences et des stratégies de sécurité pour Microsoft 365 client peuvent avoir un impact sur vos utilisateurs.

Par exemple, vous pouvez imposer une nouvelle stratégie de sécurité qui oblige les utilisateurs à créer des équipes pour des utilisations spécifiques avec une liste de comptes d’utilisateurs en tant que membres, au lieu de créer plus facilement une équipe pour tous les utilisateurs de l’organisation. Cela peut aider à empêcher un pirate par rançongiciel d’explorer les équipes qui ne sont pas disponibles pour le compte d’utilisateur compromis de l’attaquant et de cibler les ressources de cette équipe lors de l’attaque suivante.

Cette solution de base déterminera quand de nouvelles configurations ou stratégies de sécurité recommandées peuvent avoir un impact sur vos utilisateurs afin que vous pouvez effectuer la gestion des changements requise.

Étapes suivantes

Utilisez ces étapes pour déployer une protection complète pour votre client Microsoft 365 :

  1. Configurer les lignes de base de sécurité
  2. Déployer la détection et la réponse aux attaques
  3. Protéger les identités
  4. Protéger les appareils
  5. Protéger les informations

Étape 1 pour la protection contre les rançongiciels avec Microsoft 365

Ressources supplémentaires sur les rançongiciels

Informations clés de Microsoft :

Microsoft 365 :

Microsoft Defender XDR :

Microsoft Azure :

Microsoft Defender for Cloud Apps :

Billets de blog de l’équipe de sécurité Microsoft :