Microsoft Office 365 Advanced Threat Protection: Aperçu complet

Aujourd’hui, il existe de nombreux risques pouvant conduire à une faille de sécurité et à une perte de données conséquente. En 2021, les courriers électroniques de spam et de hameçonnage étaient la méthode la plus courante de livraison aboutissant à des infections par des logiciels ransomware. Il est impossible de déceler et d’empêcher manuellement des attaques malveillantes. Cependant, pour les applications et services Office 365, Microsoft offre un ensemble d’outils de détection et de réponse pour automatiser et simplifier la sécurité.

Office 365 Advanced Threat Protection (ATP), qui est devenu Microsoft Defender pour Office 365 depuis septembre 2020, est un ensemble d’outils dédiés à la prévention des menaces en ligne. Les différentes politiques et règles vous permettent de protéger les environnements locaux et cloud en filtrant les communications entrantes et sortantes et en vérifiant d’autres contenus partagés.

Qu’est-ce que la Protection Avancée contre les Menaces?

Office 365 Advanced Threat Protection (ATP) est un service de filtrage basé dans le cloud pour la prévention et la détection de cybermenaces. ATP peut protéger votre organisation contre les virus et autres malwares, y compris les attaques zero-day, qui sont diffusés via les services Office 365. ATP peut reconnaître les nouveaux virus et les menaces complexes non identifiées qui n’ont pas encore été étudiées et ne peuvent pas être reconnus même par la plupart des antivirus équipés des dernières bases de données de signatures virales.

Fonctionnement de Office 365 Advanced Threat Protection

La protection avancée contre les menaces d’Office 365 repose sur des politiques qui doivent être configurées par un administrateur système. ATP filtre les données, les comportements suspects et autres paramètres au niveau de l’organisation, du domaine, de l’utilisateur et du destinataire.

La protection avancée contre les menaces d’Office 365 peut fonctionner en intégration avec Exchange Online Protection (EOP) et Office 365 Threat Intelligence. L’utilisation d’ATP dans le cloud peut décharger vos serveurs de messagerie et les systèmes de protection sur les serveurs de messagerie, y compris les serveurs sur site. Il est déconseillé de désactiver la protection avancée contre les menaces d’Office 365 même si vous utilisez d’autres outils comme EOP.

La Protection avancée contre les menaces peut protéger les pièces jointes aux e-mails, les liens et les fichiers téléchargés par les utilisateurs sur OneDrive for Business, SharePoint Online et Teams. De plus, ATP peut détecter les liens vers des sites de phishing, les sites contenant du code malveillant téléchargé et la présence de code malveillant dans les fichiers téléchargés/uploadés. Les capacités de traçage des URL peuvent vous aider à bloquer les sources potentielles de menaces et à comprendre leur nature et leur origine.

Fonctionnalités de la Protection avancée contre les menaces

La Protection avancée contre les menaces d’Office 365 contient de nombreuses fonctionnalités utiles pour protéger vos données lors de l’utilisation des services Office 365. Explorons ces fonctionnalités en détail.

Politiques

Les politiques déterminent le niveau de protection et la réponse aux menaces prédéfinies, tous deux pouvant être définis à différents niveaux. Les politiques offrent des options flexibles, que peut configurer un administrateur système gérant Microsoft 365. En tant qu’administrateur système, vous pouvez définir qui est affecté par les politiques et à quel point ces politiques sont strictes.

Les pièces jointes sécurisées

Les pièces jointes sécurisées garantissent que les fichiers joints aux messages électroniques ne sont pas malveillants. Une protection contre les attaques zero-day est fournie pour sécuriser votre système de messagerie électronique. Avant qu’un message soit reçu dans la boîte aux lettres d’un utilisateur, le message est dirigé vers un environnement spécial, où les fichiers joints sont vérifiés à l’aide de signatures de virus, d’apprentissage automatique et de techniques d’analyse avancées pour détecter les virus. Si aucun virus n’est détecté dans la pièce jointe de l’e-mail, le message électronique est transmis à une boîte aux lettres. La fonction responsable des pièces jointes sécurisées s’appelle l’isolement des pièces jointes.

Les liens sécurisés

Les liens sécurisés utilisent un principe de fonctionnement similaire aux pièces jointes sécurisées. Cette fonctionnalité vérifie les liens dans les e-mails et autres fichiers téléchargés/téléchargés dans l’environnement Microsoft 365. Si Microsoft 365 ATP détecte qu’un lien n’est pas sûr, un message d’avertissement est affiché (tout comme pour les fichiers téléchargeables).

Vous pouvez configurer la fonction pour rediriger les utilisateurs vers une page d’avertissement si un utilisateur tente de cliquer sur un lien détecté comme malveillant. Le système bloque dynamiquement les liens malveillants. La fonctionnalité Safe Links a été mise à jour et ne substitue désormais plus le lien d’origine par un lien modifié vers une page web dans le cloud Microsoft.

ATP pour SharePoint Online

ATP for SharePoint Online protège les utilisateurs qui collaborent à l’aide de sites SharePoint Online et de fichiers partagés au sein de votre organisation. Cette fonctionnalité détecte et bloque les fichiers suspects dans les bibliothèques de documents et les sites d’équipe, y compris les fichiers stockés sur OneDrive. Le contenu malveillant identifié est bloqué. Les utilisateurs ne peuvent pas ouvrir, copier, déplacer, modifier ou partager un fichier bloqué qui est classé comme malveillant. Le fichier malveillant ne peut être que supprimé. La possibilité de télécharger le fichier dépend de la configuration.

Protection anti-hameçonnage

Après avoir défini les stratégies anti-hameçonnage, des modèles de système d’auto-apprentissage avec des algorithmes complexes sont utilisés pour détecter les attaques de hameçonnage automatiquement et rapidement. L’intelligence de la boîte aux lettres analyse les habitudes de messagerie et de communication des utilisateurs et agrège les données pour aider à détecter les tentatives de hameçonnage à l’avenir. Ces mesures strictes rendent toute tentative d’escroquerie difficile à réaliser.

Mise en quarantaine

Les fichiers indésirables et potentiellement dangereux peuvent être déplacés vers la quarantaine. En tant qu’administrateur système, vous pouvez restaurer ou supprimer manuellement les données mises en quarantaine. Sinon, ces données sont supprimées une fois la période de rétention configurée expirée. Vous connaissez peut-être le principe de fonctionnement de la quarantaine si vous avez utilisé Microsoft 365 Exchange Online Protection.

Spoof Intelligence

Les pirates informatiques peuvent envoyer des e-mails au nom d’un ou de plusieurs comptes en substituant le nom de l’expéditeur. Lorsqu’un utilisateur reçoit un tel e-mail « usurpé », il peut sembler sûr si l’expéditeur utilise le nom d’un responsable dans le champ de l’expéditeur. Un e-mail usurpé, qui peut contenir un appel au transfert d’argent, à l’envoi d’informations d’identification ou à des scripts malveillants, n’est pas sûr et constitue une menace pour les utilisateurs et l’ensemble de l’organisation.

La protection contre les menaces avancées d’Office 365 comprend la fonctionnalité Spoof Intelligence qui peut détecter si un expéditeur utilise un vrai nom ou un nom usurpé. Vous pouvez voir la liste complète des utilisateurs qui utilisent un domaine d’entreprise particulier et examiner qui usurpe le domaine de votre organisation ou tout autre domaine externe. En tant qu’administrateur, vous pouvez bloquer l’expéditeur utilisant un nom de domaine ou un nom d’utilisateur faisant semblant d’être un employé de votre organisation.

Rapports

La protection contre les menaces avancées d’Office 365 fournit des rapports informatifs afin que vous puissiez voir l’état de protection et analyser les menaces entrantes. Un rapport est une vue unique, qui combine des informations sur les menaces détectées, y compris les e-mails malveillants et d’autres contenus malveillants. Les menaces détectées par la protection contre les menaces avancées d’Office 365 et la protection en ligne d’Exchange sont affichées dans les rapports. Les informations des 90 jours précédents (la période maximale pouvant être configurée) sont affichées dans les rapports. Après avoir analysé les rapports, vous pouvez ajuster les politiques.

Enquête et réponse aux menaces

Si vous travaillez dans une grande entreprise avec de nombreux utilisateurs d’Office 365, vous pouvez être submergé par un grand nombre d’alertes de sécurité à gérer. Le tri d’un grand nombre d’e-mails en fonction des attributs est une tâche chronophage. Office 365 Threat Investigation and Response peut aider les administrateurs système et les spécialistes de la sécurité à travailler plus efficacement. Vous pouvez consulter les menaces détectées et configurer des actions automatisées pour atténuer différents types de menaces. Vous pouvez composer des playbooks avec les actions appropriées pour les menaces détectées, ainsi que passer en revue et approuver les actions ou recommandations suggérées par Office 365 Advanced Threat Protection après une enquête automatisée pour remédier aux menaces.

Contrairement à Exchange Online Protection, qui est disponible par défaut pour les utilisateurs de Microsoft 365, Advanced Threat Protection est disponible pour les meilleurs plans d’abonnement ou peut être acheté séparément. Par exemple, même Microsoft 365 E3 n’inclut pas de protection avancée contre les menaces.

Microsoft Office 365 Advanced Threat Protection est inclus dans les plans d’abonnement suivants :

• Microsoft 365 E5
• Microsoft 365 A5
• Microsoft 365 Business Premium

Cependant, vous pouvez acheter la licence Office 365 Advanced Threat Protection en complément des plans d’abonnement suivants :

• Exchange Online Plan 1
• Exchange Online Plan 2
• Exchange Online Kiosk
• Exchange Online Protection
• Microsoft 365 Business Basic Microsoft 365 Business Standard
• Microsoft 365 Business Standard
• Microsoft 365 Entreprise E1
• Microsoft 365 Entreprise E3
• Microsoft 365 Entreprise F3
• Microsoft 365 A1
• Microsoft 365 A3

Si la Protection avancée contre les menaces Office 365 n’est pas incluse dans votre plan d’abonnement, vous pouvez acheter l’un des plans d’abonnement ATP autonomes en utilisant un modèle de licences par utilisateur :

• Plan 1 de Protection avancée contre les menaces
• Plan 2 de Protection avancée contre les menaces

Configuration de la Protection avancée contre les menaces

Mise à jour : Protection avancée contre les menaces Office 365 est devenu Microsoft Defender pour Office 365 en septembre 2020. Désormais, pour configurer l’une des fonctionnalités répertoriées ci-dessous, vous devez accéder au Portail Defender.

Examinons comment configurer la Protection avancée contre les menaces Office 365 :

1. Ouvrez l’interface web du Centre d’administration Microsoft 365 en utilisant le lien https://admin.microsoft.com et allez à Centres d’administration > Sécurité dans le volet gauche de la fenêtre.

En guise d’alternative, vous pouvez ouvrir un lien direct vers le centre de gestion de la sécurité et conformité Microsoft 365 : https://protection.office.com

2. Dans la barre de navigation de gauche, cliquez sur Gestion des menaces puis sur Tableau de bord.

Le tableau de bord de sécurité, également appelé tableau de bord des menaces, affiche l’état actuel de la protection contre les menaces et des liens vers les pages de configuration.

Politiques anti-malware

Cliquez sur Politique dans la barre de navigation de gauche, ou la barre de navigation, et la page où vous pouvez consulter, modifier et créer des politiques apparaît. Vous pouvez configurer des politiques anti-phishing, anti-spam et anti-malware. Examinons maintenant comment créer une nouvelle politique anti-malware :

1. Cliquez sur Anti-malware.

2. Sur la page anti-malware qui s’ouvre, cliquez sur l’icône + pour créer une nouvelle politique anti-malware pour la Protection avancée contre les menaces Office 365.

3. A new pop-up window opens.

Entrez le nom et la description de la politique, et définissez d’autres options de politique telles que :

• Réponse à la détection de malware
• Filtre des types d’attachments courants
• Auto Purge Zero-hour des malware
• Notifications

Enfin, spécifiez à qui s’applique cette politique, puis cliquez sur Enregistrer.

La politique est maintenant créée et affichée dans la liste des politiques sur la page Malware.

Politiques anti-phishing

Les politiques anti-phishing sont créées légèrement différemment des politiques anti-malware :

1. Allez à Gestion des menaces > Politique et cliquez sur Anti-phishing.

La page Anti-phishing s’ouvre. Si vous ouvrez cette page pour la première fois, la liste des politiques anti-phishing sera vide.

2. Cliquez sur le bouton +Créer pour créer une nouvelle politique anti-phishing pour la Protection avancée contre les menaces Office 365.

3. A new policy wizard opens as a pop-up window. Complete all the steps in the wizard:

• Nommez votre politique. Entrez un nom pour une nouvelle politique anti-phishing. Vous pouvez également entrer une description.

• Appliqué à. Définissez les destinataires ou domaines dans votre organisation auxquels cette politique s’appliquera ou sera exclue en ajoutant des conditions et en sélectionnant des destinataires. Par exemple, vous pouvez appliquer la politique à un domaine entier, à une appartenance à un groupe, ou à des combinaisons de groupe et de domaine. Puis cliquez sur Suivant.

• Vérifiez vos paramètres. Vérifiez vos paramètres et modifiez-les si nécessaire. Si tout est correct, cliquez sur Créer cette politique.

Mise en quarantaine

Les messages électroniques et les fichiers classés comme potentiellement dangereux sont déplacés en quarantaine si les paramètres appropriés sont utilisés pour la Protection avancée contre les menaces Office 365. Allez à Gestion des menaces > Examen > Quarantaine pour ouvrir la quarantaine. Vous pouvez également utiliser ce lien direct : https://protection.office.com/quarantine

Note: La quarantaine peut être consultée par l’administrateur ou un autre utilisateur disposant des autorisations pour gérer la quarantaine. Les membres du rôle Quarantaine dans le Centre de sécurité et de conformité Office 365 ont les autorisations pour gérer la quarantaine.

Sur la page Quarantaine, vous pouvez trier les résultats en cliquant sur le titre de la colonne nécessaire. Cliquez sur Modifier les colonnes pour sélectionner les colonnes qui doivent être affichées.

Rapports

Les rapports sont utiles pour visualiser l’état actuel et les statistiques de votre environnement Microsoft 365. Dans le volet de navigation du Centre d’administration de la sécurité et conformité Office 365, cliquez sur Rapports > Tableau de bord pour voir le tableau de bord avec des graphiques et des diagrammes.

Sur cette page, vous pouvez voir un résumé incluant :

• Rapports récents pour téléchargement
• Top 5 labels
• Évolution des labels au cours des 90 derniers jours
• Mode d’application des labels
• Labels classés comme records
• Règle de transport Exchange
• État de la protection contre les menaces
• Malware détecté dans les e-mails
• Top malware
• Principaux expéditeurs et destinataires
• Détections de spoofing
• Détections de spam
• Utilisateurs compromis
• E-mails envoyés et reçus
• Supervision
• Rapport de transfert
• Rapport de connecteur
• Rapport d’encryption

Passez votre souris sur le graphique pour voir plus d’informations. Cliquez sur le graphique ou le diagramme nécessaire pour l’ouvrir en mode plein écran et voir les détails. Après avoir cliqué sur Détections de spoofing, un rapport détaillé sur le courrier frauduleux est affiché.

Par défaut, une période de 7 jours est affichée sur les graphiques et les graphiques, mais cette période peut être augmentée jusqu’à 90 jours dans les paramètres. Les utilisateurs en essai de Microsoft 365 avec Protection avancée contre les menaces peuvent consulter les données pour une durée maximale de 30 jours dans les rapports.

Conclusion

La Protection avancée contre les menaces Office 365 est intégrée à d’autres services Microsoft 365 tels que OneDrive, SharePoint Online, Exchange Online, SharePoint Online et d’autres services. ATP vous aide à protéger vos courriels contre diverses menaces de sécurité comme les liens nocifs, les virus et les logiciels malveillants.

Cependant, pour atteindre un niveau de protection des données plus élevé, vous devriez sauvegarder toutes vos données Microsoft Office 365 avec une solution dédiée comme NAKIVO Backup & Replication. La solution NAKIVO vous permet de créer des sauvegardes incrémentielles des données Microsoft 365 et offre des restaurations flexibles au fil du temps.