Pièces jointes sécurisées dans Defender pour Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Pièces jointes sécurisées dans Microsoft Defender pour Office 365 fournit une couche supplémentaire de protection pour les pièces jointes de courrier électronique qui ont déjà été analysées par la protection anti-programme malveillant dans Exchange Online Protection (EOP). Plus précisément, les pièces jointes sécurisées utilisent un environnement virtuel pour case activée les pièces jointes dans les e-mails avant qu’elles ne soient remises aux destinataires (processus appelé détonation).

La protection des pièces jointes fiables pour les messages électroniques est contrôlée par des stratégies de pièces jointes fiables. Bien qu’il n’existe aucune stratégie de pièces jointes fiables par défaut, la stratégie de sécurité prédéfinie de protection intégrée fournit une protection des pièces jointes fiables à tous les destinataires (utilisateurs qui ne sont pas définis dans les stratégies de sécurité prédéfinies Standard ou Strict ou dans les stratégies de pièces jointes fiables personnalisées). Pour plus d’informations, consultez Stratégies de sécurité prédéfinies dans EOP et Microsoft Defender pour Office 365. Vous pouvez également créer des stratégies de pièces jointes fiables qui s’appliquent à des utilisateurs, groupes ou domaines spécifiques. Pour obtenir des instructions, consultez Configurer des stratégies de pièces jointes fiables dans Microsoft Defender pour Office 365.

Le tableau suivant décrit des scénarios pour les pièces jointes fiables dans Microsoft 365 et les organisations Office 365 qui incluent des Microsoft Defender pour Office 365 (en d’autres termes, l’absence de licence n’est jamais un problème dans les exemples).

Scénario Résultat
Aucune stratégie de pièces jointes fiables n’est configurée pour l’organisation Microsoft 365 E5 de Pat. Pat est protégé par des pièces jointes fiables en raison de la stratégie de sécurité prédéfinie de protection intégrée qui s’applique à tous les destinataires qui ne sont pas autrement définis dans les stratégies pièces jointes fiables.
L’organisation de Lee a une stratégie de pièces jointes fiables qui s’applique uniquement aux employés financiers. Lee est membre du service commercial. Lee et le reste du service commercial sont protégés par des pièces jointes sécurisées en raison de la stratégie de sécurité prédéfinie de protection intégrée qui s’applique à tous les destinataires qui ne sont pas autrement définis dans les stratégies pièces jointes sécurisées.
Hier, un administrateur de l’organisation de Jean a créé une stratégie de pièces jointes fiables qui s’applique à tous les employés. Plus tôt aujourd’hui, Jean a reçu un e-mail contenant une pièce jointe. Jean est protégé par des pièces jointes fiables en raison de cette stratégie de pièces jointes fiables personnalisée.

En règle générale, l’application d’une nouvelle stratégie prend environ 30 minutes.
L’organisation de Chris a des stratégies de pièces jointes fiables de longue date pour tous les membres de l’organisation. Chris reçoit un e-mail contenant une pièce jointe, puis transfère le message aux destinataires externes. Chris est protégé par des pièces jointes sécurisées.

Si les destinataires externes sont dans une organisation Microsoft 365, les messages transférés sont également protégés par des pièces jointes fiables.

L’analyse des pièces jointes fiables a lieu dans la même région que l’emplacement de vos données Microsoft 365. Pour plus d’informations sur la géographie du centre de données, consultez Où se trouvent vos données ?

Remarque

Les fonctionnalités suivantes se trouvent dans les paramètres globaux des stratégies de pièces jointes fiables dans le portail Microsoft Defender. Toutefois, ces paramètres sont activés ou désactivés globalement et ne nécessitent pas de stratégies de pièces jointes fiables :

Paramètres de stratégie pièces jointes fiables

Cette section décrit les paramètres des stratégies de pièces jointes fiables :

  • Filtres de destinataires : vous devez spécifier les conditions et exceptions de destinataire qui déterminent à qui la stratégie s’applique. Vous pouvez utiliser ces propriétés pour les conditions et les exceptions :

    • Utilisateurs
    • Groupes
    • Domaines

    Vous ne pouvez utiliser une condition ou une exception qu'une seule fois, mais la condition ou l'exception peut contenir plusieurs valeurs. Plusieurs valeurs de la même condition ou exception utilisent la logique OU (par exemple, <destinataire1> ou <destinataire2>). Des conditions ou des exceptions différentes utilisent la logique ET (par exemple, <destinataire1> et <membre du groupe 1>).

    Important

    Plusieurs types de conditions ou exceptions différentes ne sont pas cumulatives ; elles sont inclusives. La stratégie est appliquée uniquement aux destinataires qui correspondent à tous les filtres de destinataires spécifiés. Par exemple, vous configurez une condition de filtre de destinataire dans la stratégie avec les valeurs suivantes :

    • Utilisateurs: romain@contoso.com
    • Groupes : Cadres

    La stratégie s’applique uniquement s’il romain@contoso.com est également membre du groupe Cadres. S’il n’est pas membre du groupe, la stratégie ne lui est pas appliquée.

    De même, si vous utilisez le même filtre de destinataires comme exception à la stratégie, la stratégie n’est pas appliquée uniquement s’il romain@contoso.com est également membre du groupe Cadres. S’il n’est pas membre du groupe, la stratégie s’applique toujours à lui.

  • Réponse aux programmes malveillants inconnus des pièces jointes fiables : ce paramètre contrôle l’action pour l’analyse des programmes malveillants des pièces jointes fiables dans les messages électroniques. Les options disponibles sont décrites dans le tableau suivant :

    Option Effet Utilisez-la lorsque vous voulez
    Désactivé Les pièces jointes ne sont pas analysées pour détecter les programmes malveillants par les pièces jointes fiables. Les messages sont toujours analysés pour rechercher des programmes malveillants par protection anti-programme malveillant dans EOP. Désactivez l’analyse des destinataires sélectionnés.

    Évitez les retards inutiles dans le routage du courrier interne.

    Cette option n’est pas recommandée pour la plupart des utilisateurs. Vous devez utiliser cette option uniquement pour désactiver l’analyse des pièces jointes fiables pour les destinataires qui reçoivent uniquement des messages d’expéditeurs approuvés. ZAP ne met pas en quarantaine les messages si les pièces jointes fiables sont désactivées et qu’un signal de programme malveillant n’est pas reçu. Pour plus d’informations, consultez Vidage automatique de zéro heure
    Moniteur Remet des messages avec des pièces jointes, puis effectue le suivi de ce qui se passe avec les programmes malveillants détectés.

    La remise des messages sécurisés peut être retardée en raison de l’analyse des pièces jointes fiables.
    Découvrez où les programmes malveillants détectés sont placés dans votre organisation.
    Bloquer Empêche la remise des messages avec des pièces jointes de programmes malveillants détectées.

    Les messages sont mis en quarantaine. Par défaut, seuls les administrateurs (pas les utilisateurs) peuvent examiner, publier ou supprimer les messages.¹

    Bloque automatiquement les instances futures des messages et pièces jointes.

    La remise des messages sécurisés peut être retardée en raison de l’analyse des pièces jointes fiables.
    Protège votre organisation contre les attaques répétées à l’aide des mêmes pièces jointes de programmes malveillants.

    Il s’agit de la valeur par défaut et de la valeur recommandée dans les stratégies de sécurité prédéfinies Standard et Strict.
    Remise dynamique Remet les messages immédiatement, mais remplace les pièces jointes par des espaces réservés jusqu’à ce que l’analyse des pièces jointes fiables soit terminée.

    Les messages contenant des pièces jointes malveillantes sont mis en quarantaine. Par défaut, seuls les administrateurs (pas les utilisateurs) peuvent examiner, publier ou supprimer les messages.¹

    Pour plus d’informations, consultez la section Dynamic Delivery in Safe Attachments policies plus loin dans cet article.
    Évitez les retards de message tout en protégeant les destinataires contre les fichiers malveillants.

    ¹ Les stratégies de mise en quarantaine définissent ce que les utilisateurs peuvent faire pour les messages mis en quarantaine et indiquent si les utilisateurs reçoivent des notifications de mise en quarantaine. Pour plus d’informations, consultez Anatomie d’une stratégie de mise en quarantaine. Les utilisateurs ne peuvent pas publier leurs propres messages qui ont été mis en quarantaine en tant que programmes malveillants par des pièces jointes fiables, quelle que soit la façon dont la stratégie de quarantaine est configurée. Si la stratégie permet aux utilisateurs de publier leurs propres messages mis en quarantaine, les utilisateurs sont autorisés à demander la publication de leurs messages de programmes malveillants mis en quarantaine.

  • Rediriger les messages avec des pièces jointes détectées : activez la redirection et Envoyez les messages contenant des pièces jointes analysées à l’adresse e-mail spécifiée : pour l’action Surveiller uniquement, envoyez les messages contenant des pièces jointes de programmes malveillants à l’adresse e-mail interne ou externe spécifiée à des fins d’analyse et d’investigation.

    La recommandation pour les paramètres de stratégie Standard et Strict est d'activer la redirection.du serveur d’accès client. Pour plus d'informations, voir Paramètres des pièces jointes approuvées.

  • Priorité : si vous créez plusieurs stratégies, vous pouvez spécifier l’ordre dans lequel elles sont appliquées. Deux stratégies ne peuvent pas avoir la même priorité, et le traitement de la stratégie s’arrête après l’application de la première stratégie (la stratégie de priorité la plus élevée pour ce destinataire).

    Pour plus d’informations sur l’ordre de priorité et l’évaluation et l’application de plusieurs stratégies, consultez Ordre et la priorité de la protection de la messagerie.

Livraison dynamique dans les stratégies de pièces jointes sécurisées

Remarque

La remise dynamique fonctionne uniquement pour les boîtes aux lettres Exchange Online.

L’action De remise dynamique dans les stratégies Pièces jointes sécurisées vise à éliminer les retards de remise des e-mails qui peuvent être causés par l’analyse des pièces jointes sécurisées. Le corps du message électronique est remis au destinataire avec un espace réservé pour chaque pièce jointe. L’espace réservé reste jusqu’à ce que la pièce jointe soit jugée sécurisée, puis que la pièce jointe soit disponible pour l’ouvrir ou la télécharger.

Si une pièce jointe est détectée comme malveillante, le message est mis en quarantaine.

La plupart des fichiers PDF et des documents Office peuvent être affichés en mode sans échec pendant que l’analyse des pièces jointes fiables est en cours. Si une pièce jointe n’est pas compatible avec l’aperçu de la remise dynamique, les destinataires voient un espace réservé pour la pièce jointe jusqu’à la fin de l’analyse des pièces jointes fiables.

Si vous utilisez un appareil mobile et que les fichiers PDF ne s’affichent pas dans l’aperçu De livraison dynamique sur votre appareil mobile, essayez d’ouvrir le message dans Outlook sur le web (anciennement Outlook Web App) à l’aide de votre navigateur mobile.

Voici quelques considérations relatives à la remise dynamique et aux messages transférés :

  • Si le destinataire transféré est protégé par une stratégie pièces jointes fiables qui utilise l’option De remise dynamique, le destinataire voit l’espace réservé, avec la possibilité d’afficher un aperçu des fichiers compatibles.
  • Si le destinataire transféré n’est pas protégé par une stratégie de pièces jointes sécurisées, le message et les pièces jointes sont remis sans analyse des pièces jointes fiables ni espaces réservés de pièce jointe.

Il existe des scénarios dans lesquels la remise dynamique ne peut pas remplacer les pièces jointes dans les messages. Ces différents cas de figure sont présentés ci-dessous :

  • Messages dans des dossiers publics.
  • Messages routés hors de, puis renvoyés dans la boîte aux lettres d’un utilisateur à l’aide de règles personnalisées.
  • Messages déplacés (automatiquement ou manuellement) hors des boîtes aux lettres cloud vers d’autres emplacements, y compris les dossiers d’archivage.
  • Les règles de boîte de réception déplacent le message hors de la boîte de réception vers un autre dossier.
  • Messages supprimés.
  • Le dossier de recherche de boîte aux lettres de l’utilisateur est dans un état d’erreur.
  • Exchange Online organisations où Exclaimer est activé. Pour résoudre ce problème, consultez KB4014438.
  • S/MIME) messages chiffrés.
  • Vous avez configuré l’action Livraison dynamique dans une stratégie Pièces jointes fiables, mais le destinataire ne prend pas en charge la remise dynamique (par exemple, le destinataire est une boîte aux lettres dans une organization Exchange locale). Toutefois, les liens fiables dans Microsoft Defender pour Office 365 peuvent analyser les pièces jointes Office qui contiennent des URL (si l’analyse des liens fiables des applications Office de prise en charge est activée dans la stratégie de liens fiables applicable).

Envoi de fichiers pour l’analyse des programmes malveillants