NAKIVO > Blog

Protection contre les ransomwares et récupération dans Office 365 : aperçu complet

Publié le: octobre 11, 2021

Written by: NAKIVO Team

De nos jours, le ransomware est considéré comme l’une des plus grandes menaces pour les entreprises modernes, car il peut affecter tous les types de données, y compris les fichiers et documents Microsoft 365. En effet, plus de 304 millions d’attaques de ransomware ont eu lieu dans le monde en 2020, avec une rançon moyenne de 812 360 dollars pour chaque attaque. Et les méthodes d’infiltration deviennent chaque année plus sophistiquées.

Conformément à son modèle de responsabilité partagée, Microsoft fournit aux utilisateurs divers outils de protection contre les ransomwares pour Office 365. Cependant, les organisations qui utilisent Office 365 sont responsables de la configuration de ces outils afin de protéger leurs données contre les menaces, ainsi que de l’utilisation d’outils tiers pour garantir leur récupérabilité.

Cet article détaille les fonctionnalités intégrées de protection contre les ransomwares et de récupération qui vous permettent de sécuriser votre environnement et de restaurer vos données après une attaque par ransomware.

Backup for Microsoft 365 Data

Backup for Microsoft 365 Data

Use the NAKIVO solution to back up Microsoft 365 data in Exchange Online, Teams, OneDrive and SharePoint Online for uninterrupted workflows and zero downtime.

DISCOVER SOLUTION

Options natives de protection contre les ransomwares dans Office 365

Les abonnements Microsoft incluent plusieurs fonctionnalités intégrées qui vous permettent de protéger votre tenant et d’atténuer les risques en cas d’incident de sécurité. À l’aide des outils disponibles dans Exchange Online Protection (EOP) et Microsoft Defender, vous pouvez détecter, surveiller et dissuader les attaques avant qu’elles ne s’infiltrent et ne se propagent sur votre réseau.

Gardez à l’esprit que les fonctionnalités de protection contre les ransomwares de Microsoft ont leurs limites et n’offrent pas une immunité totale contre les infections, en particulier lorsqu’il s’agit de logiciels malveillants lancés par les utilisateurs, par exemple.

Microsoft 365 Defender

La plupart des outils de sécurité etd’usurpation d’identitédont vous avez besoin se trouvent dans Microsoft 365 Defender et Microsoft Defender pour Office 365, car ils combinent de nombreuses fonctionnalités de surveillance et de protection. De plus, vous pouvez utiliser Microsoft Defender for Identity et Microsoft Defender for Endpoint pour trouver les appliances compromis qui peuvent être à l’origine d’une violation.

Les fonctionnalités les plus importantes de protection contre les ransomwares d’Office 365 incluses dans Microsoft Defender sont répertoriées ci-dessous.

  • Enquête et réponse aux menaces

Il s’agit d’un ensemble de fonctionnalités qui aident les administrateurs à analyser leur environnement et à collecter des données sur les menaces potentielles. Le workflow d’investigation et de réponse aux menaces recueille des informations à l’aide de traqueurs de menaces provenant de différentes sources, telles que les ordinateurs infectés, les incidents précédents, l’activité des utilisateurs, etc. Les actions de réponse nécessaires sont ensuite mises en œuvre pour traiter les risques dans OneDrive for Business, SharePoint Online, Exchange Online et Microsoft Teams.

  • Protection anti-hameçonnage

Les techniques d’ingénierie sociale telles que les attaques par hameçonnage sont les principaux vecteurs d’attaques par ransomware. Microsoft Defender pour Office 365 utilise des algorithmes avancés et un ensemble de fonctionnalités pour réaliser une détection automatique des attaques par hameçonnage et protéger les données Office 365.
Informations sur l’usurpation d’identité: ces informations vous permettent de détecter et de restreindre automatiquement les expéditeurs usurpés dans les messages provenant de domaines internes ou externes. Vous pouvez également autoriser ou bloquer manuellement les expéditeurs identifiés dans la liste d’autorisation/de blocage des locataires.

Politiques anti-hameçonnage: Configurez divers paramètres tels que la protection contre l’usurpation d’identité, les informations sur les boîtes de messagerie et les seuils avancés de hameçonnage. De plus, vous pouvez spécifier l’action à entreprendre pour les expéditeurs usurpés bloqués.

Authentification implicite des e-mails: identifiez les expéditeurs frauduleux en vérifiant les e-mails entrants par des techniques avancées telles que la réputation de l’expéditeur, l’historique de l’expéditeur, l’analyse comportementale, etc.

Vues de campagne: Détectez et analysez les messages impliqués dans des campagnes de phishing coordonnées.

Formation à la simulation d’attaques: Les administrateurs peuvent créer de faux messages de phishing et les partager avec les utilisateurs de leur réseau afin de tester leur niveau de préparation et de mener des formations de sensibilisation au ransomware.

  • Protection anti-malware

La protection multicouche contre les logiciels malveillants d’EOP effectue une détection automatique de différents types de logiciels malveillants entrants et sortants, notamment les virus, les logiciels espions et les ransomwares. Pour ce faire, elle utilise les fonctionnalités suivantes :
Défenses multicouches contre les logiciels malveillants: plusieurs moteurs d’analyse anti-malware protègent votre organisation contre les menaces connues et inconnues. Ces moteurs assurent la protection contre les ransomwares d’Office 365, même dès les premiers stades d’une attaque.

Réponse en temps réel aux menaces: Votre équipe de sécurité peut recueillir suffisamment d’informations sur un virus ou un logiciel malveillant pour créer des règles de politique spécifiques et les publier immédiatement sur le réseau.

Déploiement rapide des définitions anti-malware: Les moteurs anti-malware sont constamment mis à jour pour inclure les nouveaux correctifs et les nouvelles définitions de logiciels malveillants.

  • Accès contrôlé aux dossiers

En activant la protection en temps réel dans Microsoft Defender Antivirus, vous pouvez gérer les paramètres d’accès contrôlé aux dossiers afin de protéger les fichiers et les données Office 365 contre les applications malveillantes et les ransomwares. Cette fonctionnalité vérifie les applications par rapport à une liste d’applications connues et n’autorise que les applications de confiance à accéder aux dossiers protégés. En cas d’activités malveillantes, vous recevez une notification vous indiquant quelle application a tenté d’apporter des modifications indésirables à un document protégé.

  • Microsoft Defender pour les applications cloud

Le passage au cloud introduit de nouveaux risques de sécurité qui pourraient mettre en danger vos données pendant leur stockage ou leur transfert. Microsoft Defender pour les applications cloud offre aux plans Microsoft Enterprise un contrôle avancé, une visibilité puissante et une détection robuste des cybermenaces sur les services cloud Microsoft et tiers.

Les principales fonctionnalités qui garantissent la protection contre les ransomwares dans Office 365 sont les suivantes :
Découvrez et contrôlez l’utilisation du Shadow IT: Identifiez les applications et services cloud utilisés par votre organisation, étudiez les modèles d’utilisation et évaluez la préparation de votre entreprise face à de multiples risques.

Protégez les informations sensibles dans le cloud: Mettez en œuvre des politiques et des processus automatisés pour contrôler et protéger les données sensibles en temps réel dans toutes les applications cloud.

Dissuadez les cybermenaces et les anomalies: Détectez les comportements inhabituels, les ransomwares, les ordinateurs compromis et les applications malveillantes. Analysez les modèles d’utilisation à haut risque et remédiez automatiquement aux menaces.

Évaluez la conformité des applications cloud: Assurez-vous que vos applications respectent les normes réglementaires et industrielles requises.

  • Microsoft Defender SmartScreen

Microsoft Defender SmartScreen offre une protection contre les logiciels malveillants ou les applications et sites web de phishing. Les fichiers potentiellement malveillants sont automatiquement bloqués et l’utilisateur en est informé. Les pages web visitées sont analysées et comparées à une liste de sites de phishing et malveillants signalés. Les applications téléchargées ou les programmes d’installation d’applications sont quant à eux comparés à une liste de programmes malveillants signalés et connus pour être dangereux.

Microsoft Purview Information Protection

La protection contre les ransomwares d’Office 365 ne se limite pas à la prévention des attaques. Des processus optimaux de gouvernance des données peuvent également réduire la menace de perte de données via les ransomwares. Grâce aux différentes fonctionnalités de Microsoft Purview Information Protection, vous pouvez identifier, classer et protéger les données sensibles, en transit ou au repos.

  • Prévention des pertes de données (DLP)

La définition et l’application de politiques DLP empêchent les utilisateurs de partager de manière inappropriée des données sensibles avec du personnel non autorisé et limitent le risque de perte de données. Plus important encore, la DLP vous permet de surveiller les activités des utilisateurs sur les éléments sensibles. Ces éléments peuvent également être déplacés et verrouillés dans un emplacement de quarantaine sécurisé afin d’empêcher les infections par ransomware de les atteindre.

  • Étiquettes de sensibilité

Configurez et appliquez des étiquettes de sensibilité aux données que vous jugez potentiellement susceptibles d’être rançonnables, telles que les adresses e-mail ou les documents sensibles. Protégez les fichiers Office 365 en marquant le contenu ou en effectuant le chiffrement des données afin de vous assurer que seuls les utilisateurs autorisés peuvent y accéder.

Outils supplémentaires de protection contre les ransomwares pour Office 365

Microsoft propose d’autres fonctionnalités qui atténuent le risque de ransomware et limitent la perte de données :

  • Paramètres des e-mails d’Exchange: Les e-mails de phishing sont la principale méthode utilisée dans les attaques par ransomware. La configuration des paramètres des e-mails Exchange réduit la vulnérabilité de votre organisation face à une attaque par e-mail en bloquant l’accès initial à votre tenant.
  • Authentification multifacteur: L’activation de l’authentification moderne dans Office 365 ajoute une deuxième couche de protection au processus de connexion et réduit considérablement le risque de compromission des identifiants de connexion.
  • Microsoft Secure Score: Cet outil mesure en permanence le niveau de sécurité de votre organisation et suggère des améliorations pour vous aider à protéger les données Office 365.
  • Règles de réduction de la surface d’attaque: Réduisez votre vulnérabilité aux cyberattaques en configurant les paramètres nécessaires. Bloquez les activités suspectes avant qu’elles n’infectent l’ensemble de votre réseau.

Méthodes de récupération après une attaque par ransomware Microsoft

Il arrive parfois que toutes les options de protection échouent et que vous soyez victime d’une attaque par ransomware. Dans ce cas, vous devez immédiatement arrêter la synchronisation OneDrive sur toutes les appliances connectées et déconnecter les appliances infectées du réseau. Si vous le faites à temps, il y a de fortes chances que les fichiers infectés aient encore des copies non cryptées stockées sur d’autres disques.

Gestion des versions

Lorsqu’elle est activée, la gestion des versions vous permet d’enregistrer automatiquement plusieurs versions d’un même document dans SharePoint Online, Exchange Online et OneDrive for Business. Par défaut, le nombre de versions est limité à 500, mais vous pouvez l’augmenter jusqu’à 50 000.

Vous pouvez revenir aux versions précédentes créées avant l’attaque par ransomware et les restaurer lorsque vous en avez besoin. Gardez à l’esprit que le contrôle de version n’offre pas une protection complète contre les ransomwares, car certaines infections peuvent également appliquer le chiffrement à toutes les versions d’un document.

Remarque: le stockage de plusieurs versions nécessite un espace de stockage supplémentaire.

Corbeille

Dans certains cas, les attaques de ransomware suppriment le fichier d’origine et créent une nouvelle version cryptée que vous ne pouvez pas utiliser. La corbeille peut être utilisée comme outil de récupération des ransomwares Microsoft, car elle vous aide à restaurer les fichiers supprimés dans un délai de 93 jours.

Même après l’expiration de ce délai et la suppression de l’élément des deux étapes de la corbeille, vous disposez d’un délai de 14 jours pour contacter le support Microsoft afin de demander la récupération des données. Après que ce délai soit écoulé, les données sont définitivement supprimées.

Politiques de conservation pour la conformité

Créez des règles qui définissent la durée de conservation des fichiers et documents Office 365. Cela vous permet de configurer les données qui peuvent être supprimées et à quel moment. Vous pouvez automatiser ce processus en définissant des politiques de conservation pour des types de contenu spécifiques.

Remarque: Les politiques de conservation de conformité sont uniquement disponibles pour les abonnements Microsoft 365 E5, A5 et G5.

Bibliothèque de conservation

En appliquant des paramètres de conservation, les données synchronisées vers OneDrive ou SharePoint peuvent être stockées pendant une période spécifiée dans la bibliothèque de conservation. La fonctionnalité In-Place Hold garantit que une copie reste inchangée et n’est pas affectée par une infection par un ransomware. Après une attaque, l’utilisateur peut accéder à la bibliothèque et exporter les fichiers nécessaires.

Solutions de sauvegarde tierces

Il existe différentes méthodes de récupération des ransomwares Office 365 que vous pouvez utiliser pour restaurer vos données infectées. Gardez à l’esprit que, tout comme les fonctionnalités de protection contre les ransomwares de Microsoft, ces outils ont leurs limites et ne garantissent pas nécessairement la récupération des données.

Microsoft ne sauvergarde pas les données Office 365, mais propose à la place des politiques de conservation pour Exchange Online, SharePoint Online et OneDrive for Business. D’autre part, les solutions de sauvegarde modernes pour Saas offrent une protection et une sécurité optimales des données en cas de cyberattaque. Vos données peuvent être stockées dans des référentiels sécurisés et rapidement récupérées après une attaque.

Conclusion

De nos jours, les attaques par ransomware constituent la menace la plus dangereuse pour les organisations, car elles peuvent affecter tout type de données, y compris les documents et fichiers Office 365. Heureusement, Microsoft fournit des outils intégrés de protection contre les ransomwares et de récupération pour Office 365 qui surveillent et protègent en permanence votre environnement.

Cependant, ces outils natifs ont leurs limites et une solution de sauvegarde tierce est nécessaire pour récupérer vos données en toute sécurité après une infection. Téléchargez NAKIVO Backup for Office 365 Édition gratuite pour découvrir tous les outils et fonctionnalités avancés qui vous aident à garantir la récupérabilité des données.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Les gens qui ont consulté cet article ont également lu

Picture
Rapatriement vers le cloud : avantages et défis
Picture
Localisation des VMs VMware par adresse IP ou MAC
Picture
Au-delà de la panne liée à CrowdStrike : comment NAKIVO vous aide à maintenir vos opérations sans interruption