NAKIVO > Blog

Stratégies pour protéger OneDrive contre les ransomwares

Publié le: août 3, 2021

Written by: NAKIVO Team

& De nombreux utilisateurs considèrent OneDrive comme un espace de stockage pour sauvegarder les données dans le cloud. Ils ont tendance à penser que les fichiers stockés dans OneDrive sont à l’abri de toute perte ou corruption. En d’autres termes, certains pensent que les fichiers stockés dans un cloud public ne peuvent pas être endommagés par un ransomware, contrairement aux fichiers stockés sur les disques durs des ordinateurs locaux et des serveurs sur site. Ce n’est pas tout à fait vrai ! Les fichiers stockés dans OneDrive peuvent être attaqués par un ransomware, cryptés et perdus.

La popularité des attaques par ransomware augmente chaque année. Cependant, si vous suivez les recommandations et respectez les politiques de sécurité, vous pouvez protéger vos données même lorsque vous les stockez dans OneDrive. Cet article de blog présente des stratégies pour protéger les données dans OneDrive et explique comment se protéger contre les attaques par ransomware.

Backup for Microsoft 365 Data

Backup for Microsoft 365 Data

Use the NAKIVO solution to back up Microsoft 365 data in Exchange Online, Teams, OneDrive and SharePoint Online for uninterrupted workflows and zero downtime.

DISCOVER SOLUTION

À propos de OneDrive et des ransomwares

Les ransomwares peuvent-ils infecter OneDrive ? Oui, les fichiers stockés sur OneDrive peuvent être infectés et chiffrés par un ransomware dans les cas suivants :

  • OneDrive est monté sur un dossier local sur un ordinateur local, et les fichiers stockés dans OneDrive sont synchronisés avec le dossier local associé. Si un ordinateur local est infecté par un ransomware, celui-ci effectue le chiffrement de tous les fichiers accessibles, y compris les fichiers stockés dans le dossier synchronisé avec OneDrive. Par conséquent, si vous accédez à OneDrive via une interface Web, vous verrez des fichiers cryptés (autrement dit, corrompus). Le ransomware peut commencer à crypter One Drive, puis crypter d’autres disques et tous les emplacements de stockage accessibles.
  • Si un pirate obtient vos identifiants de connexion, les fichiers accessibles depuis votre compte utilisateur peuvent être cryptés par un ransomware.
  • Cliquer sur des liens de phishing entraîne le téléchargement et l’exécution de virus, de logiciels malveillants et de ransomwares sur l’ordinateur de la victime. Les ransomwares corrompent les fichiers auxquels ils ont accès.
  • Les modules complémentaires et extensions malveillants qui vous demandent d’accorder des autorisations pour accéder à OneDrive sont dangereux et peuvent constituer des points d’entrée pour une infection par ransomware. Lisez attentivement la description des modules complémentaires et extensions, et vérifiez le fournisseur avant de les installer.

OneDrive est-il sûr ? OneDrive est-il sécurisé ? Quel est le niveau de sécurité de OneDrive ? Ces questions sont fréquentes chez les nouveaux utilisateurs de Microsoft 365. OneDrive est suffisamment sûr et sécurisé. Cependant, vous devez savoir comment vous protéger contre les attaques de ransomware, suivre les recommandations de sécurité et savoir quoi faire si vous constatez que OneDrive a été piraté. Microsoft a présenté une nouvelle fonctionnalité intégrée de détection des ransomwares, qui détecte les activités suspectes telles que les suppressions massives ou le chiffrement des fichiers stockés dans OneDrive. L’utilisateur est averti par un message d’alerte sur son appareil et par adresse e-mail. Une liste de recommandations s’affiche également. Mais ce que vous voulez, c’est éviter que le ransomware OneDrive ne corrompe vos fichiers. Découvrez comment protéger vos dossiers contre les ransomwares dans la section suivante de cet article de blog.

Comment protéger OneDrive contre une attaque de ransomware

Dans cette section, j’explique comment se protéger contre les ransomwares et je définis des stratégies de protection contre les ransomwares pour OneDrive. Le respect de ces recommandations réduit le risque d’infection par un ransomware et de perte de données.

Protégez les identifiants de connexion

Protégez les identifiants de connexion du compte administrateur Microsoft 365. En volant les identifiants de connexion d’un administrateur, un attaquant peut voler et endommager toutes les données d’une organisation stockées dans le stockage OneDrive (y compris toutes les données de tous les utilisateurs de l’organisation).

Protégez les identifiants de connexion des utilisateurs. Le vol des comptes des utilisateurs permet aux attaquants d’accéder à leurs données personnelles et partagées, de distribuer du ransomware et d’infecter des fichiers. Lorsque des fichiers stockés dans le stockage OneDrive partagé sont infectés, les autres utilisateurs qui accèdent au stockage partagé peuvent également être infectés.

Activez l’Authentification à deux facteurs. Microsoft 365 prend en charge l’Authentification à deux facteurs. Cette mesure de sécurité supplémentaire peut aider les utilisateurs à protéger leurs comptes contre toute compromission et tout vol de leurs identifiants de connexion. Il est recommandé d’utiliser l’authentification multifacteur ou l’Authentification à deux facteurs pour protéger les comptes Microsoft 365 disposant d’autorisations d’administration. Voici un article de blog sur l’Authentification à deux facteurs pour Microsoft 365.

Protégez chaque ordinateur

Protégez les ordinateurs de votre organisation. Installez et configurez un logiciel antivirus et anti-malware. Le respect de cette recommandation réduit le risque d’infection par un ransomware des ordinateurs des utilisateurs et des fichiers stockés dans les dossiers OneDrive synchronisés sur ces ordinateurs (stockage OneDrive mappé à des dossiers locaux). N’oubliez pas les serveurs et les machines virtuelles.

Bloquez l’exécution des fichiers stockés dans %appdata%, %localappdata%. Par défaut, ces répertoires sont utilisés par les applications Windows pour stocker des données. Les fichiers temporaires et les données téléchargées peuvent s’y trouver. Lorsque des fichiers ransomware sont téléchargés, ils peuvent être masqués et cachés dans ces dossiers, puis exécutés.

Bloquez les macros dans les documents Microsoft Office. Les macros sont rarement utilisées pour les tâches professionnelles, mais elles sont à l’origine de problèmes graves. Une méthode d’infection largement utilisée consiste à distribuer des documents contenant des macros malveillantes, qui lancent une attaque ransomware pour infecter un ordinateur, puis se propagent sur un réseau pour infecter d’autres ordinateurs.

Mettez à jour les logiciels et installez les correctifs de sécurité pour corriger les vulnérabilités logicielles connues qui peuvent être utilisées par le ransomware pour pénétrer et infecter un système. Vous pouvez activer les mises à jour automatiques du logiciel pour Windows et les applications. Si votre configuration de sécurité est imparfaite, les attaquants peuvent utiliser les vulnérabilités logicielles non corrigées pour lancer une attaque par ransomware. C’est pourquoi il est important d’installer les correctifs.

Sensibilisez les utilisateurs

Sensibilisez les utilisateurs à la reconnaissance des attaques de phishing. Les attaquants partent souvent du principe que les utilisateurs sont inexpérimentés et qu’ils téléchargent toutes les pièces jointes aux e-mails, ouvrent tous les fichiers et cliquent sur tous les liens. Notre tâche consiste à informer les utilisateurs des menaces et à leur apprendre à identifier le contenu suspect.

Le vecteur d’attaque par ransomware le plus populaire consiste à envoyer des e-mails de phishing aux utilisateurs. Un lien malveillant est conçu pour ressembler à un lien légitime, mais redirige l’utilisateur vers le téléchargement et l’installation d’un ransomware. Passez la souris sur le lien et vérifiez l’orthographe dans l’adresse URL. Si un seul caractère est incorrect, évitez de cliquer sur le lien. L’adresse e-mail d’un expéditeur, tout comme les liens, peut être usurpée. Si vous ne connaissez pas l’expéditeur et ne souhaitez recevoir aucun message de sa part, il est préférable d’ignorer ou de rejeter l’e-mail provenant de cet expéditeur. Ne téléchargez pas et n’ouvrez pas les pièces jointes aux e-mails. N’oubliez pas le danger que représente l’ouverture de documents Word/Excel contenant des macros.

Les liens malveillants dans les e-mails et les fausses pages web sont dangereux. Les pirates peuvent créer de fausses pages et envoyer des liens vers ces fausses pages dans des e-mails. Une fausse page ressemble à la page originale, mais cliquer sur des éléments de la page ou saisir des identifiants de connexion peut entraîner la perte d’un compte ou une infection par du ransomware.

Même si l’adresse du site web est réelle et légitime, sachez que les pirates peuvent pirater des sites web et y injecter des codes malveillants. Après avoir visité un tel site web, un utilisateur peut être infecté par du ransomware. Un bon logiciel antivirus à jour peut empêcher l’infection dans ce cas.

Un pirate informatique peut utiliser des techniques d’ingénierie sociale et des mentions telles que « urgent », « important », etc. dans des adresses e-mail pour presser la victime et détourner son attention de la vérification du contenu. Soyez prudent lorsque vous recevez des messages de Skype et d’autres services. N’oubliez pas qu’un pirate informatique peut pirater un compte utilisateur et envoyer des messages depuis ce compte. Dans ce cas, le compte utilisateur est réel, mais un lien ou un fichier envoyé à partir du compte piraté peut constituer une menace.

Lorsque les utilisateurs sont formés à reconnaître les contenus suspects, les risques d’attaque par ransomware via des e-mails de phishing sont considérablement réduits. Il est toujours préférable de prévenir les attaques par ransomware OneDrive plutôt que de procéder à la récupération de fichiers corrompus.

Utilisez des systèmes de protection des adresses e-mail

Utilisez Exchange Online Protection. Cet outil natif de Microsoft 365 vous permet de configurer des filtres de protection supplémentaires, tels que le filtre de liens sécurisés et le filtre de pièces jointes sécurisées.

Configurez des politiques anti-hameçonnage. Exchange Online Protection peut déterminer les expéditeurs de confiance, les expéditeurs suspects, les fichiers joints qui constituent une menace et les liens usurpés et malveillants vers des sites infectés. Les expéditeurs usurpés et les e-mails indésirables peuvent être bloqués dans les paramètres.

Bloquez le contenu actif dans les pièces jointes, tels que les macros dans les documents Word/Excel, VBScript et JavaScript. Lisez l’article de blog sur Exchange Online Protection pour plus d’informations sur cette fonctionnalité.

Utilisez des systèmes de protection cloud

Activez Microsoft 365 Defender dans votre environnement Microsoft 365. Microsoft 365 Defender est le nouveau nom d’Office 365 Advanced Threat Protection (Microsoft Defender pour Office 365). Cette fonctionnalité vous aide à réduire le risque d’infection par un ransomware pour les utilisateurs de Microsoft 365 dans votre organisation. Les principales fonctionnalités de Microsoft 365 Defender sont la détection intelligente des menaces, l’investigation automatisée et la protection intégrée contre les attaques sophistiquées par ransomware. Microsoft 365 Defender peut être configuré dans le centre de sécurité Microsoft 365. Lorsque les utilisateurs sont formés et que des logiciels intelligents sont activés, le niveau de protection est beaucoup plus élevé.

Utilisez le contrôle de version

Activez le contrôle de version (historique des versions) dans les paramètres OneDrive. Si un ransomware chiffre les objets stockés dans OneDrive, seule la dernière version des fichiers est chiffrée. Vous pouvez sélectionner une version précédente du fichier et effectuer la récupération des fichiers nécessaires. N’oubliez pas qu’avant de récupérer des fichiers, vous devez enlever le ransomware des ordinateurs infectés afin d’éviter que les fichiers ne soient à nouveau cryptés. Notez que la récupération de milliers de fichiers à partir de versions précédentes prend beaucoup de temps et qu’une sauvegarde OneDrive appropriée vous permettra de gagner du temps et d’économiser des ressources dans ce cas. L’historique des versions OneDrive vous permet de récupérer les fichiers stockés dans OneDrive dans n’importe quelle version modifiée au cours des 30 derniers jours. Vérifiez les paramètres de conservation des fichiers supprimés (fichiers stockés dans la corbeille) pour OneDrive.

Configurez les politiques de conservation. Microsoft 365 Les politiques de conservation définissent la durée de conservation des données après leur suppression avant qu’elles ne soient définitivement supprimées. Notez que le stockage des données conservées dans le cloud utilise de l’espace de stockage, ce qui peut entraîner des coûts supplémentaires.

Sauvegardez les données stockées dans OneDrive

Sauvegardez les données stockées dans OneDrive. Certaines des options ci-dessus peuvent ne pas être disponibles pour tous les abonnements Microsoft 365 et ne sont probablement disponibles que pour les abonnements les plus élevés. Microsoft vous permet de demander une prise en charge et de restaurer toutes les données stockées dans le cloud Office 365 dans les deux semaines suivant un incident de perte de données, mais il n’existe aucune option de récupération granulaire et vous ne pouvez pas sélectionner les objets à restaurer.

Stockez les sauvegardes dans le cloud ou sur site dans un endroit sûr. Un référentiel de sauvegarde doit être bien protégé et ne pas être partagé avec d’autres utilisateurs (il doit être accessible uniquement par le logiciel de sauvegarde et les administrateurs).

Sauvegardez vos données avec NAKIVO Backup & Replication

Utilisez NAKIVO Backup & Replication pour protéger OneDrive. NAKIVO Backup & Replication prend en charge & , <,>,<,> , y compris les données résidant dans OneDrive, Exchange Online et SharePoint Online. Vous pouvez sauvegarder les données OneDrive et créer jusqu’à 4 000 points de récupération, puis restaurer ultérieurement les versions nécessaires des fichiers par ces points de récupération. La récupération granulaire vous permet de récupérer les fichiers et dossiers personnalisés des utilisateurs à leur emplacement d’origine ou à un emplacement personnalisé. Une instance de NAKIVO Backup & Replication peut protéger des milliers de comptes d’utilisateurs Office 365. Les données OneDrive sont sauvegardées dans des référentiels de sauvegarde sur site stockés sur des serveurs locaux. La configuration s’effectue dans l’interface web intuitive.

Lisez d’autres articles de blog sur la récupération après une attaque par ransomware, les attaques par ransomware sur les appliances NAS pour en savoir plus sur le principe de fonctionnement et la protection contre les ransomwares.

Comment récupérer des fichiers OneDrive

Si vos fichiers ont été cryptés par un ransomware, ne payez jamais de rançon. Le paiement d’une rançon incite les pirates à lancer davantage d’attaques pour obtenir plus d’argent. Si vous payez la rançon, vous n’avez aucune garantie de procéder à la récupération de vos fichiers, que ce soit en totalité ou en partie. Si vous constatez que vos fichiers OneDrive ont été cryptés après une attaque par ransomware, vous devez récupérer les données par l’intermédiaire des outils natifs de Microsoft ou à partir d’une sauvegarde réalisée à l’aide d’un logiciel tiers de protection des données.

Tout d’abord, supprimez le ransomware installé sur tous les ordinateurs de votre organisation. Si les fonctionnalités natives de Microsoft 365 sont activées pour les comptes d’utilisateurs de votre organisation, récupérez les fichiers OneDrive à partir des versions précédentes ou de la corbeille (y compris la corbeille de deuxième niveau). Si vous disposez d’une sauvegarde, restaurez les données à partir de celle-ci.

Pour en savoir plus sur la sauvegarde et la récupération de OneDrive avec NAKIVO Backup & Replication & Réplication dans cet article de blog.

Conclusion

Cet article de blog a présenté des stratégies pour protéger OneDrive contre les attaques par ransomware et a donné quelques recommandations générales qui peuvent vous aider à prévenir les attaques par ransomware sur OneDrive. Vous devez protéger vos données sur le plan technique : configurez les paramètres de sécurité de tous les logiciels utilisés sur tous les appareils et configurez la sauvegarde de vos données. En outre, vous devez former les utilisateurs à reconnaître les tentatives d’attaques par ransomware, car les pirates utilisent souvent l’une des quelques méthodes suivantes pour lancer des attaques par ransomware sur OneDrive via des utilisateurs réguliers.

La sauvegarde est la méthode la plus fiable pour restaurer vos données si un ransomware corrompt vos fichiers. Utilisez NAKIVO Backup & Replication pour protéger vos données stockées dans OneDrive.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Les gens qui ont consulté cet article ont également lu

Picture
Microsoft 365 Advanced Threat Protection : aperçu complet
Picture
Renforcer la continuité des activités grâce à la loi sur la résilience opérationnelle numérique (DORA)
Picture
Présentation détaillée des offres Office 365 pour les entreprises