Sécuriser par défaut dans Office 365
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
« Sécurisé par défaut » est un terme utilisé pour définir les paramètres par défaut les plus sécurisés possible.
Toutefois, la sécurité doit être équilibrée avec la productivité. Cela peut inclure l’équilibrage entre :
- Facilité d’utilisation : les paramètres ne doivent pas revenir à la productivité des utilisateurs.
- Risque : la sécurité peut bloquer des activités importantes.
- Paramètres hérités : certaines configurations pour les anciens produits et fonctionnalités peuvent devoir être conservées pour des raisons professionnelles, même si de nouveaux paramètres modernes sont améliorés.
Les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online sont protégées par Exchange Online Protection (EOP). Cette protection inclut :
- Email avec des programmes malveillants suspects est automatiquement mis en quarantaine. Le fait que les destinataires soient avertis des messages de programmes malveillants mis en quarantaine est contrôlé par la stratégie de mise en quarantaine et les paramètres de la stratégie anti-programme malveillant. Pour plus d’informations, consultez Configurer des stratégies anti-programme malveillant dans EOP.
- Email identifié comme hameçonnage à haut niveau de confiance est géré en fonction de l’action de stratégie anti-courrier indésirable. Consultez Configurer des stratégies anti-courrier indésirable dans EOP.
Pour plus d’informations sur EOP, consultez Exchange Online Protection vue d’ensemble.
Étant donné que Microsoft souhaite assurer la sécurité de nos clients par défaut, certains remplacements de locataires ne sont pas appliqués pour les programmes malveillants ou l’hameçonnage à haut niveau de confiance. Ces remplacements sont les suivants :
- Listes d’expéditeurs autorisés ou listes de domaines autorisés (stratégies anti-courrier indésirable)
- Expéditeurs approuvés Outlook
- Liste d’adresses IP autorisées (filtrage des connexions)
- Règles de flux de messagerie Exchange (également appelées règles de transport)
Si vous souhaitez autoriser temporairement certains messages qui sont toujours bloqués par Microsoft, faites-le à l’aide des soumissions d’administrateur.
Pour plus d’informations sur ces remplacements, consultez Créer des listes d’expéditeurs approuvés.
Remarque
L’action Déplacer le message vers Email dossier De courrier indésirable pour un verdict d’e-mail d’hameçonnage à haute confiance dans les stratégies anti-courrier indésirable EOP a été déconseillée. Les stratégies anti-courrier indésirable qui utilisent cette action pour les messages d’hameçonnage à haut niveau de confiance sont converties en message de quarantaine. L’action Rediriger le message vers l’adresse e-mail pour les messages d’hameçonnage à haut niveau de confiance n’est pas affectée.
La sécurité par défaut n’est pas un paramètre qui peut être activé ou désactivé, mais c’est la façon dont notre filtrage fonctionne de manière prête à l’emploi pour conserver les messages potentiellement dangereux ou indésirables hors de vos boîtes aux lettres. Les programmes malveillants et les messages d’hameçonnage à haute confiance doivent être mis en quarantaine. Par défaut, seuls les administrateurs peuvent gérer les messages mis en quarantaine en tant que programmes malveillants ou hameçonnage à haut niveau de confiance, et ils peuvent également signaler des faux positifs à Microsoft à partir de là. Si vous souhaitez en savoir plus, voir Gérer les messages et les fichiers mis en quarantaine en tant qu'administrateur dans EOP.
En savoir plus sur les raisons pour lesquelles nous faisons cela
L’esprit de la sécurité par défaut est le suivant : nous effectuons la même action sur le message que si vous saviez que le message est malveillant, même si une exception configurée autorise la remise du message. Il s’agit de la même approche que nous avons toujours utilisée sur les programmes malveillants, et nous étendons maintenant ce même comportement aux messages d’hameçonnage à haut niveau de confiance.
Nos données indiquent qu’un utilisateur est 30 fois plus susceptible de cliquer sur un lien malveillant dans les messages dans le dossier Email indésirable que la mise en quarantaine. Nos données indiquent également que le taux de faux positifs (bons messages marqués comme mauvais) pour les messages d’hameçonnage à haute confiance est très faible, et que les administrateurs peuvent résoudre les faux positifs avec les soumissions d’administrateur.
Nous avons également déterminé que les listes d’expéditeurs autorisés et de domaines autorisés dans les stratégies anti-courrier indésirable et les expéditeurs approuvés dans Outlook étaient trop larges et causaient plus de dommages que de bien.
Autrement dit, en tant que service de sécurité, nous agissons en votre nom pour empêcher vos utilisateurs d’être compromis.
Exceptions
Vous devez uniquement envisager d’utiliser des remplacements dans les scénarios suivants :
- Simulations d’hameçonnage : les attaques simulées peuvent vous aider à identifier les utilisateurs vulnérables avant qu’une attaque réelle n’affecte votre organization. Pour empêcher le filtrage des messages de simulation de hameçonnage, consultez Configurer des simulations de hameçonnage tierces dans la stratégie de remise avancée.
- Boîtes aux lettres Security/SecOps : boîtes aux lettres dédiées utilisées par les équipes de sécurité pour obtenir des messages non filtrés (bons et mauvais). Les équipes peuvent ensuite vérifier si elles contiennent du contenu malveillant. Pour plus d’informations, consultez Configurer des boîtes aux lettres SecOps dans la stratégie de remise avancée.
- Filtres tiers : La sécurité par défaut s’applique uniquement lorsque l’enregistrement MX de votre domaine pointe vers Microsoft 365 (contoso.mail.protection.outlook.com). Si l’enregistrement MX de votre domaine pointe vers un autre service ou appareil avant que le courrier ne soit remis à Microsoft 365, les méthodes suivantes peuvent entraîner la remise de messages détectés comme hameçonnage à haut niveau de confiance par le filtrage anti-courrier indésirable Microsoft 365 vers les boîtes de réception utilisateur :
- Règles de flux de messagerie Exchange pour contourner le filtrage du courrier indésirable.
- Expéditeurs identifiés dans la liste Expéditeurs approuvés dans les boîtes aux lettres utilisateur.
- Autoriser les entrées dans la liste verte/bloquée du locataire.
- Expéditeurs identifiés dans la liste des expéditeurs autorisés et la liste des domaines autorisés dans les stratégies anti-courrier indésirable.
- Faux positifs : pour autoriser temporairement certains messages qui sont toujours bloqués par Microsoft, utilisez les soumissions d’administrateur. Par défaut, les entrées autorisées pour les domaines et les adresses de messagerie, les fichiers et les URL existent pendant 30 jours. Pendant ces 30 jours, Microsoft apprend des entrées d’autorisation et les supprime ou les étend automatiquement. Par défaut, les entrées autorisées pour les expéditeurs usurpés n’expirent jamais.