Partager via

Protection contre les rançongiciels dans Microsoft 365

  • Article

Microsoft a intégré des défenses et des contrôles qu’il utilise pour atténuer les risques d’une attaque par rançongiciel contre votre organisation et ses ressources. Les ressources peuvent être organisées par domaine, chaque domaine ayant son propre ensemble d’atténuations des risques.

Domaine 1 : contrôles au niveau du locataire

Le premier domaine est les personnes qui composent votre organisation, ainsi que l’infrastructure et les services détenus et contrôlés par votre organisation. Les fonctionnalités suivantes de Microsoft 365 sont activées par défaut, ou peuvent être configurées, pour aider à atténuer le risque et à récupérer après une compromission réussie des ressources dans ce domaine.

Exchange Online

  • Avec la récupération d’un seul élément et la rétention de boîte aux lettres, les clients peuvent récupérer des éléments dans une boîte aux lettres en cas de suppression prématurée par inadvertance ou malveillante. Les clients peuvent restaurer les messages supprimés dans les 14 jours par défaut, configurables jusqu’à 30 jours.

  • Les configurations client supplémentaires de ces stratégies de rétention dans le service Exchange Online permettent :

    • conservation configurable à appliquer (1 an/10 ans et plus)
    • copier sur la protection en écriture à appliquer
    • la possibilité pour la stratégie de rétention d’être verrouillée de telle sorte que l’immuabilité puisse être atteinte

  • Exchange Online Protection analyse les e-mails entrants et les pièces jointes en temps réel à l’entrée et à la sortie du système. Cette option est activée par défaut et dispose de personnalisations de filtrage disponibles. Les messages contenant des rançongiciels ou d’autres programmes malveillants connus ou suspects sont supprimés. Vous pouvez configurer les administrateurs pour recevoir des notifications lorsque cela se produit.

Protection SharePoint et OneDrive

SharePoint et OneDrive Protection disposent de fonctionnalités intégrées qui permettent de se protéger contre les attaques par ransomware.

Contrôle de version : comme le contrôle de version conserve un minimum de 500 versions d’un fichier par défaut et peut être configuré pour en conserver davantage, si le ransomware modifie et chiffre un fichier, une version précédente du fichier peut être récupérée.

Corbeille : si le ransomware crée une nouvelle copie chiffrée du fichier et supprime l’ancien fichier, les clients disposent de 93 jours pour le restaurer à partir de la corbeille.

Bibliothèque de conservation de préservation : les fichiers stockés dans les sites SharePoint ou OneDrive peuvent être conservés en appliquant des paramètres de rétention. Lorsqu’un document avec des versions est soumis à des paramètres de rétention, les versions sont copiées dans la bibliothèque de conservation de préservation et existent en tant qu’élément distinct. Si un utilisateur soupçonne que ses fichiers ont été compromis, il peut examiner les modifications apportées aux fichiers en examinant la copie conservée. La restauration de fichiers peut ensuite être utilisée pour récupérer des fichiers au cours des 30 derniers jours.

Teams

Les conversations Teams sont stockées dans les boîtes aux lettres des utilisateurs Exchange Online et les fichiers sont stockés dans SharePoint ou OneDrive. Les données Microsoft Teams sont protégées par les contrôles et les mécanismes de récupération disponibles dans ces services.

Domaine 2 : contrôles de niveau de service

Le deuxième domaine est les personnes qui composent Microsoft l’organisation et l’infrastructure d’entreprise détenue et contrôlée par Microsoft pour exécuter les fonctions organisationnelles d’une entreprise.

L’approche de Microsoft pour sécuriser son patrimoine d’entreprise est la Confiance Zéro, implémentée à l’aide de nos propres produits et services avec des défenses au sein de notre patrimoine numérique. Vous trouverez plus d’informations sur les principes de la Confiance Zéro ici : Architecture confiance zéro.

Les fonctionnalités supplémentaires de Microsoft 365 étendent les atténuations des risques disponibles dans le domaine 1 pour protéger davantage les ressources de ce domaine.

Protection SharePoint et OneDrive

Contrôle de version : si un ransomware a chiffré un fichier sur place, en tant que modification, le fichier peut être récupéré jusqu’à la date de création initiale du fichier à l’aide des fonctionnalités d’historique des versions gérées par Microsoft.

Corbeille : si le ransomware a créé une nouvelle copie chiffrée du fichier et supprimé l’ancien fichier, les clients ont 93 jours pour le restaurer à partir de la Corbeille. Après 93 jours, il existe une fenêtre de 14 jours où Microsoft peut toujours récupérer les données. Après cette fenêtre, les données sont définitivement supprimées.

Teams

Les atténuations des risques pour Teams décrites dans Domaine 1 s’appliquent également au domaine 2.

Domaine 3 : Développeurs & infrastructure de service

Le troisième domaine concerne les personnes qui développent et exploitent le service Microsoft 365, le code et l’infrastructure qui fournit le service, ainsi que le stockage et le traitement de vos données.

Les investissements Microsoft qui sécurisent la plateforme Microsoft 365 et atténuent les risques dans ce domaine se concentrent sur les domaines suivants :

  • Évaluation et validation continues de la posture de sécurité du service
  • Création d’outils et d’architecture qui protègent le service contre toute compromission
  • Création de la capacité à détecter les menaces et à y répondre si une attaque se produit

Évaluation et validation continues de la posture de sécurité

  • Microsoft atténue les risques associés aux personnes qui développent et exploitent le service Microsoft 365 en utilisant le principe des privilèges minimum. Cela signifie que l’accès et les autorisations aux ressources sont limités à ce qui est nécessaire pour effectuer une tâche nécessaire.
    • Un modèle juste-à-temps (JIT), just-enough-access (JEA) est utilisé pour fournir aux ingénieurs Microsoft des privilèges temporaires.
    • Les ingénieurs doivent soumettre une demande pour une tâche spécifique afin d’acquérir des privilèges élevés.
    • Les demandes sont gérées via Lockbox, qui utilise le contrôle d’accès en fonction du rôle (RBAC) Azure pour limiter les types de demandes d’élévation JIT que les ingénieurs peuvent effectuer.
  • En plus de ce qui précède, tous les candidats Microsoft sont présélectionnés avant de commencer à travailler chez Microsoft. Les employés qui gèrent des services en ligne Microsoft aux États-Unis doivent faire l’objet d’une vérification des antécédents microsoft cloud comme condition préalable à l’accès aux systèmes de services en ligne.
  • Tous les employés de Microsoft doivent suivre une formation de sensibilisation à la sécurité de base, ainsi qu’une formation sur les normes de conduite commerciale.

Outils et architecture qui protègent le service

  • Le cycle de vie du développement de la sécurité (SDL) de Microsoft se concentre sur le développement de logiciels sécurisés pour améliorer la sécurité des applications et réduire les vulnérabilités. Pour plus d’informations, consultez Vue d’ensemble du développement et des opérations de sécurité et de sécurité.
  • Microsoft 365 limite la communication entre les différentes parties de l’infrastructure de service à ce qui est nécessaire pour fonctionner.
  • Le trafic réseau est sécurisé à l’aide de pare-feu réseau supplémentaires aux points limites pour faciliter la détection, la prévention et l’atténuation des attaques réseau.
  • Les services Microsoft 365 sont conçus pour fonctionner sans que les ingénieurs n’ont besoin d’accéder aux données client, sauf demande et approbation explicites par le client. Pour plus d’informations, consultez Comment Microsoft collecte et traite-t-il les données client.

Fonctionnalités de détection et de réponse

  • Microsoft 365 est engagé dans la surveillance continue de la sécurité de ses systèmes pour détecter les menaces contre les services Microsoft 365 et y répondre.
  • La journalisation centralisée collecte et analyse les événements de journal pour les activités susceptibles d’indiquer un incident de sécurité. Les données de journal sont analysées à mesure qu’elles sont chargées dans notre système d’alerte et génèrent des alertes en quasi-temps réel.
  • Les outils basés sur le cloud nous permettent de répondre rapidement aux menaces détectées. Ces outils permettent la correction à l’aide d’actions déclenchées automatiquement.
  • Lorsque la correction automatique n’est pas possible, des alertes sont envoyées aux ingénieurs d’appel appropriés, qui sont équipés d’un ensemble d’outils qui leur permettent d’agir en temps réel pour atténuer les menaces détectées.

Récupérer après une attaque par rançongiciel

Pour connaître les étapes de récupération d’une attaque par ransomware dans Microsoft 365, consultez Récupérer après une attaque par rançongiciel dans Microsoft 365.