Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Tous les comptes d’utilisateur n’ont pas accès aux mêmes informations d’entreprise. Certains comptes ont accès à des informations sensibles, telles que les données financières, les informations de développement de produits, l’accès des partenaires aux systèmes de génération critiques, etc. En cas de compromission, les comptes qui ont accès à des informations hautement confidentielles constituent une menace sérieuse. Nous appelons ces types de comptes prioritaires. Les comptes prioritaires incluent (mais ne sont pas limités à) les directeurs généraux, les directeurs des services financiers, les comptes d’administrateur d’infrastructure, les comptes système de build et bien plus encore.
Pour les attaquants, les attaques par hameçonnage ordinaires qui mettent en place un réseau aléatoire pour des utilisateurs ordinaires ou inconnus sont inefficaces. D’autre part, les attaques de harponnage ou de chasse à la baleine qui ciblent des comptes prioritaires sont très gratifiantes pour les attaquants. Par conséquent, les comptes prioritaires nécessitent une protection plus forte qu’ordinaire pour empêcher la compromission des comptes.
Microsoft 365 et Microsoft Defender pour Office 365 contiennent plusieurs fonctionnalités clés qui fournissent des couches de sécurité supplémentaires pour vos comptes prioritaires. Cet article décrit ces fonctionnalités et comment les utiliser.
Pour plus d’informations sur la sécurisation des comptes privilégiés (comptes d’administrateur), consultez cette rubrique.
Augmenter la sécurité de la connexion pour les comptes prioritaires
Les comptes prioritaires nécessitent une sécurité de connexion accrue. Vous pouvez augmenter leur sécurité de connexion en exigeant l’authentification multifacteur (MFA) et en désactivant les protocoles d’authentification hérités.
Remarque : nous vous recommandons vivement de désactiver globalement les protocoles d’authentification hérités pour tous les utilisateurs prioritaires, comme décrit dans l’article précédent. Si les exigences de votre entreprise vous empêchent de le faire, Exchange Online propose les contrôles suivants pour limiter l’étendue des protocoles d’authentification hérités :
Vous pouvez (jusqu’en octobre 2023) utiliser les règles d’accès client dans Exchange Online pour bloquer ou autoriser l’authentification de base et les protocoles d’authentification hérités tels que POP3, IMAP4 et SMTP authentifiés pour des utilisateurs spécifiques.
Vous pouvez désactiver l’accès POP3 et IMAP4 sur des boîtes aux lettres individuelles. Vous pouvez désactiver smtp authentifié au niveau de l’organisation et l’activer sur des boîtes aux lettres spécifiques qui en ont encore besoin. Pour obtenir des instructions, consultez les articles suivants :
Il est également important de noter que l’authentification de base est en cours de dépréciation dans Exchange Online pour les services Web Exchange (EWS), Exchange ActiveSync, POP3, IMAP4 et PowerShell distant. Pour plus d’informations, consultez ce billet de blog.
Utiliser des stratégies de sécurité prédéfinies Strict pour les comptes prioritaires
Les utilisateurs prioritaires ont besoin d’actions plus strictes pour les différentes protections disponibles dans Exchange Online Protection (EOP) et Defender for Office 365.
Par exemple, au lieu de remettre des messages classifiés comme courrier indésirable dans le dossier Email indésirables, vous devez mettre ces mêmes messages en quarantaine s’ils sont destinés à des comptes prioritaires.
Vous pouvez implémenter cette approche stricte pour les comptes prioritaires en utilisant le profil Strict dans les stratégies de sécurité prédéfinies.
Les stratégies de sécurité prédéfinies sont un emplacement pratique et central pour appliquer nos paramètres de stratégie Strict recommandés pour toutes les protections dans EOP et Defender for Office 365. Pour plus d’informations, consultez Stratégies de sécurité prédéfinies dans EOP et Microsoft Defender pour Office 365.
Appliquer des étiquettes utilisateur aux comptes prioritaires
Les balises utilisateur dans Microsoft Defender pour Office 365 Plan 2 (dans le cadre d’Microsoft 365 E5 ou d’un abonnement complémentaire) permettent d’identifier et de classifier rapidement des utilisateurs ou des groupes d’utilisateurs spécifiques dans les rapports et les enquêtes sur les incidents.
Les comptes prioritaires sont un type de balise utilisateur intégrée (appelée balise système) que vous pouvez utiliser pour identifier les incidents et les alertes impliquant des comptes de priorité. Pour plus d’informations sur les comptes prioritaires, consultez Gérer et surveiller les comptes prioritaires.
Vous pouvez également créer des étiquettes personnalisées pour mieux identifier et classifier vos comptes prioritaires. Pour plus d’informations, consultez Balises utilisateur. Vous pouvez gérer les comptes prioritaires (balises système) dans la même interface que les balises utilisateur personnalisées.
Surveiller les comptes prioritaires dans les alertes, les rapports et les détections
Après avoir sécurisé et étiqueté vos utilisateurs prioritaires, vous pouvez utiliser les rapports, alertes et investigations disponibles dans EOP et Defender for Office 365 pour identifier rapidement les incidents ou les détections impliquant des comptes prioritaires. Les fonctionnalités qui prennent en charge les balises utilisateur sont décrites dans le tableau suivant.
Fonctionnalité
Description
Alertes
Les étiquettes utilisateur des utilisateurs concernés sont visibles et disponibles en tant que filtres sur la page Alertes du portail Microsoft Defender. Pour plus d’informations, consultez Stratégies d’alerte dans le portail Microsoft Defender.
Incidents
Les étiquettes utilisateur de toutes les alertes corrélées sont visibles dans la page Incidents du portail Microsoft Defender. Pour plus d’informations, consultez Gérer les incidents et les alertes.
Dans Explorer (Defender for Office 365 Plan 2) ou les détections en temps réel (Defender for Office 365 Plan 1), les étiquettes utilisateur sont visibles dans la grille Email et dans le menu volant des détails Email. Les balises utilisateur sont également disponibles en tant que propriété filtrable. Pour plus d’informations, consultez Balises dans threat Explorer.
Page de l’entité d’e-mail
Vous pouvez filtrer les e-mails en fonction des étiquettes utilisateur appliquées dans Microsoft 365 E5 et dans Defender for Office 365 Plan 1 et Plan 2. Pour plus d’informations, consultez Email page d’entité.
Vues de campagne
Les balises utilisateur sont l’une des nombreuses propriétés filtrables dans les affichages campagne dans Microsoft Defender pour Office 365 Plan 2. Pour plus d’informations, consultez Affichages des campagnes.
Rapport sur l’état de la protection contre les menaces
Dans pratiquement toutes les vues et tables détaillées du rapport de status protection contre les menaces, vous pouvez filtrer les résultats par comptes prioritaires. Pour plus d’informations, consultez Rapport sur la protection contre les menaces status.
Rapport sur les principaux expéditeurs et destinataires
Les comptes d’utilisateur marqués comme suspects ou restreints dans les organisations Microsoft 365 avec Exchange Online boîtes aux lettres s’affichent dans ce rapport. Pour plus d’informations, consultez Rapport utilisateur compromis.
Administration soumissions et messages signalés par l’utilisateur
Utilisez la page Soumissions du portail Microsoft Defender pour envoyer des messages électroniques, des URL et des pièces jointes à Microsoft à des fins d’analyse. Pour plus d’informations, consultez Administration soumissions et messages signalés par l’utilisateur.
Quarantaine
La mise en quarantaine est disponible pour contenir des messages potentiellement dangereux ou indésirables dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) pour les comptes prioritaires. Pour plus d’informations, consultez Mettre en quarantaine les messages électroniques.
Simulation d’attaque
Pour tester vos stratégies et pratiques de sécurité, exécutez une simulation de cyberattaque sans gravité pour vos utilisateurs cibles. Pour plus d’informations, consultez Simulation d’attaque.
Email rapport sur les comptes prioritaires
Le rapport problèmes Email pour les comptes prioritaires dans le Centre d’administration Exchange (EAC) contient des informations sur les messages non remis et retardés pour les comptes prioritaires. Pour plus d’informations, consultez Email rapport sur les problèmes liés aux comptes prioritaires.
Former les utilisateurs
La formation des utilisateurs avec des comptes prioritaires peut aider à économiser beaucoup de temps et de frustration pour ces utilisateurs et votre équipe des opérations de sécurité. Les utilisateurs avisés sont moins susceptibles d’ouvrir des pièces jointes ou de cliquer sur des liens dans des messages électroniques douteux, et ils sont plus susceptibles d’éviter les sites web suspects.
Le Manuel de campagne de cybersécurité de l’École Harvard Kennedy fournit d’excellents conseils pour établir une forte culture de sensibilisation à la sécurité au sein de votre organization, y compris la formation des utilisateurs à identifier les attaques par hameçonnage.
Microsoft 365 fournit les ressources suivantes pour informer les utilisateurs de votre organization :
Ce module vous permet de décrire comment les fonctionnalités de sécurité Microsoft 365 fonctionnent ensemble et d’expliquer les avantages de ces fonctionnalités de sécurité.
Exercice de simulation d’attaque dans Microsoft Defender pour Office 365 Plan 2 permet à l’administrateur de configurer, lancer et suivre les attaques par hameçonnage simulées contre des groupes spécifiques d’utilisateurs.
L’authentification multifacteur permet de sécuriser votre environnement et vos ressources en exigeant que vos utilisateurs confirment leur identité à l’aide de plusieurs méthodes d’authentification, telles qu’un appel téléphonique, un SMS, une notification d’application mobile ou un mot de passe unique. Vous pouvez utiliser l’authentification multifacteur localement et dans le cloud pour ajouter la sécurité à l’accès à Microsoft services en ligne, aux applications d’accès à distance, etc. Ce parcours d’appr
Expliquez les principes de base de la sécurité des données, de la gestion de cycle de vie, de la sécurité des informations et de la conformité pour protéger un déploiement Microsoft 365.
