Recommandations de sécurité pour les comptes prioritaires dans Microsoft 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Tous les comptes d’utilisateur n’ont pas accès aux mêmes informations d’entreprise. Certains comptes ont accès à des informations sensibles, telles que les données financières, les informations de développement de produits, l’accès des partenaires aux systèmes de génération critiques, etc. En cas de compromission, les comptes qui ont accès à des informations hautement confidentielles constituent une menace sérieuse. Nous appelons ces types de comptes prioritaires. Les comptes prioritaires incluent (mais ne sont pas limités à) les directeurs généraux, les directeurs des services financiers, les comptes d’administrateur d’infrastructure, les comptes système de build et bien plus encore.

Microsoft Defender pour Office 365 prend en charge les comptes prioritaires en tant que balises qui peuvent être utilisées dans les filtres dans les alertes, les rapports et les enquêtes. Pour plus d’informations, consultez Balises utilisateur dans Microsoft Defender pour Office 365.

Pour les attaquants, les attaques par hameçonnage ordinaires qui mettent en place un réseau aléatoire pour des utilisateurs ordinaires ou inconnus sont inefficaces. D’autre part, les attaques de harponnage ou de chasse à la baleine qui ciblent des comptes prioritaires sont très gratifiantes pour les attaquants. Par conséquent, les comptes prioritaires nécessitent une protection plus forte qu’ordinaire pour empêcher la compromission des comptes.

Microsoft 365 et Microsoft Defender pour Office 365 contiennent plusieurs fonctionnalités clés qui fournissent des couches de sécurité supplémentaires pour vos comptes prioritaires. Cet article décrit ces fonctionnalités et comment les utiliser.

Résumé des recommandations de sécurité sous forme d’icône

Tâche Tous les plans Office 365 Entreprise Microsoft 365 E3 Microsoft 365 E5
Augmenter la sécurité de la connexion pour les comptes prioritaires
Utiliser des stratégies de sécurité prédéfinies Strict pour les comptes prioritaires
Appliquer des étiquettes utilisateur aux comptes prioritaires
Surveiller les comptes prioritaires dans les alertes, les rapports et les détections
Former les utilisateurs

Remarque

Pour plus d’informations sur la sécurisation des comptes privilégiés (comptes d’administrateur), consultez cette rubrique.

Augmenter la sécurité de la connexion pour les comptes prioritaires

Les comptes prioritaires nécessitent une sécurité de connexion accrue. Vous pouvez augmenter leur sécurité de connexion en exigeant l’authentification multifacteur (MFA) et en désactivant les protocoles d’authentification hérités.

Pour obtenir des instructions, consultez Étape 1. Augmentez la sécurité de connexion pour les travailleurs à distance avec l’authentification multifacteur. Bien que cet article concerne les travailleurs à distance, les mêmes concepts s’appliquent aux utilisateurs prioritaires.

Remarque : nous vous recommandons vivement de désactiver globalement les protocoles d’authentification hérités pour tous les utilisateurs prioritaires, comme décrit dans l’article précédent. Si les exigences de votre entreprise vous empêchent de le faire, Exchange Online propose les contrôles suivants pour limiter l’étendue des protocoles d’authentification hérités :

Il est également important de noter que l’authentification de base est en cours de dépréciation dans Exchange Online pour les services Web Exchange (EWS), Exchange ActiveSync, POP3, IMAP4 et PowerShell distant. Pour plus d’informations, consultez ce billet de blog.

Utiliser des stratégies de sécurité prédéfinies Strict pour les comptes prioritaires

Les utilisateurs prioritaires ont besoin d’actions plus strictes pour les différentes protections disponibles dans Exchange Online Protection (EOP) et Defender for Office 365.

Par exemple, au lieu de remettre des messages classifiés comme courrier indésirable dans le dossier Email indésirables, vous devez mettre ces mêmes messages en quarantaine s’ils sont destinés à des comptes prioritaires.

Vous pouvez implémenter cette approche stricte pour les comptes prioritaires en utilisant le profil Strict dans les stratégies de sécurité prédéfinies.

Les stratégies de sécurité prédéfinies sont un emplacement pratique et central pour appliquer nos paramètres de stratégie Strict recommandés pour toutes les protections dans EOP et Defender for Office 365. Pour plus d’informations, consultez Stratégies de sécurité prédéfinies dans EOP et Microsoft Defender pour Office 365.

Pour plus d’informations sur la différence entre les paramètres de stratégie Strict et les paramètres de stratégie par défaut et Standard, consultez Paramètres recommandés pour la sécurité EOP et Microsoft Defender pour Office 365.

Appliquer des étiquettes utilisateur aux comptes prioritaires

Les balises utilisateur dans Microsoft Defender pour Office 365 Plan 2 (dans le cadre d’Microsoft 365 E5 ou d’un abonnement complémentaire) permettent d’identifier et de classifier rapidement des utilisateurs ou des groupes d’utilisateurs spécifiques dans les rapports et les enquêtes sur les incidents.

Les comptes prioritaires sont un type de balise utilisateur intégrée (appelée balise système) que vous pouvez utiliser pour identifier les incidents et les alertes impliquant des comptes de priorité. Pour plus d’informations sur les comptes prioritaires, consultez Gérer et surveiller les comptes prioritaires.

Vous pouvez également créer des étiquettes personnalisées pour mieux identifier et classifier vos comptes prioritaires. Pour plus d’informations, consultez Balises utilisateur. Vous pouvez gérer les comptes prioritaires (balises système) dans la même interface que les balises utilisateur personnalisées.

Surveiller les comptes prioritaires dans les alertes, les rapports et les détections

Après avoir sécurisé et étiqueté vos utilisateurs prioritaires, vous pouvez utiliser les rapports, alertes et investigations disponibles dans EOP et Defender for Office 365 pour identifier rapidement les incidents ou les détections impliquant des comptes prioritaires. Les fonctionnalités qui prennent en charge les balises utilisateur sont décrites dans le tableau suivant.

Fonctionnalité Description
Alertes Les étiquettes utilisateur des utilisateurs concernés sont visibles et disponibles en tant que filtres sur la page Alertes du portail Microsoft Defender. Pour plus d’informations, consultez Stratégies d’alerte dans le portail Microsoft Defender.
Incidents Les étiquettes utilisateur de toutes les alertes corrélées sont visibles dans la page Incidents du portail Microsoft Defender. Pour plus d’informations, consultez Gérer les incidents et les alertes.
Stratégies d’alerte personnalisées Vous pouvez créer des stratégies d’alerte basées sur des balises utilisateur dans le portail Microsoft Defender. Pour plus d’informations, consultez Stratégies d’alerte dans le portail Microsoft Defender.
Explorer

Détections en temps réel

Dans Explorer (Defender for Office 365 Plan 2) ou les détections en temps réel (Defender for Office 365 Plan 1), les étiquettes utilisateur sont visibles dans la grille Email et dans le menu volant des détails Email. Les balises utilisateur sont également disponibles en tant que propriété filtrable. Pour plus d’informations, consultez Balises dans threat Explorer.
Page de l’entité d’e-mail Vous pouvez filtrer les e-mails en fonction des étiquettes utilisateur appliquées dans Microsoft 365 E5 et dans Defender for Office 365 Plan 1 et Plan 2. Pour plus d’informations, consultez Email page d’entité.
Vues de campagne Les balises utilisateur sont l’une des nombreuses propriétés filtrables dans les affichages campagne dans Microsoft Defender pour Office 365 Plan 2. Pour plus d’informations, consultez Affichages des campagnes.
Rapport sur l’état de la protection contre les menaces Dans pratiquement toutes les vues et tables détaillées du rapport de status protection contre les menaces, vous pouvez filtrer les résultats par comptes prioritaires. Pour plus d’informations, consultez Rapport sur la protection contre les menaces status.
Rapport sur les principaux expéditeurs et destinataires Vous pouvez ajouter cette balise utilisateur aux 20 principaux expéditeurs de messages dans votre organization. Pour plus d’informations, consultez Rapport sur les principaux expéditeurs et destinataires.
Rapport utilisateur compromis Les comptes d’utilisateur marqués comme suspects ou restreints dans les organisations Microsoft 365 avec Exchange Online boîtes aux lettres s’affichent dans ce rapport. Pour plus d’informations, consultez Rapport utilisateur compromis.
Administration soumissions et messages signalés par l’utilisateur Utilisez la page Soumissions du portail Microsoft Defender pour envoyer des messages électroniques, des URL et des pièces jointes à Microsoft à des fins d’analyse. Pour plus d’informations, consultez Administration soumissions et messages signalés par l’utilisateur.
Quarantaine La mise en quarantaine est disponible pour contenir des messages potentiellement dangereux ou indésirables dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) pour les comptes prioritaires. Pour plus d’informations, consultez Mettre en quarantaine les messages électroniques.
Simulation d’attaque Pour tester vos stratégies et pratiques de sécurité, exécutez une simulation de cyberattaque sans gravité pour vos utilisateurs cibles. Pour plus d’informations, consultez Simulation d’attaque.
Email rapport sur les comptes prioritaires Le rapport problèmes Email pour les comptes prioritaires dans le Centre d’administration Exchange (EAC) contient des informations sur les messages non remis et retardés pour les comptes prioritaires. Pour plus d’informations, consultez Email rapport sur les problèmes liés aux comptes prioritaires.

Former les utilisateurs

La formation des utilisateurs avec des comptes prioritaires peut aider à économiser beaucoup de temps et de frustration pour ces utilisateurs et votre équipe des opérations de sécurité. Les utilisateurs avisés sont moins susceptibles d’ouvrir des pièces jointes ou de cliquer sur des liens dans des messages électroniques douteux, et ils sont plus susceptibles d’éviter les sites web suspects.

Le Manuel de campagne de cybersécurité de l’École Harvard Kennedy fournit d’excellents conseils pour établir une forte culture de sensibilisation à la sécurité au sein de votre organization, y compris la formation des utilisateurs à identifier les attaques par hameçonnage.

Microsoft 365 fournit les ressources suivantes pour informer les utilisateurs de votre organization :

Concept Ressources Description
Microsoft 365 Parcours d’apprentissage personnalisables Ces ressources peuvent vous aider à créer des formations pour les utilisateurs de votre organization.
Sécurité Microsoft 365 Module d’apprentissage : Sécuriser votre organization avec une sécurité intelligente intégrée de Microsoft 365 Ce module vous permet de décrire comment les fonctionnalités de sécurité Microsoft 365 fonctionnent ensemble et d’expliquer les avantages de ces fonctionnalités de sécurité.
Authentification multifacteur Télécharger et installer l’application Microsoft Authenticator Cet article aide les utilisateurs finaux à comprendre ce qu’est l’authentification multifacteur et pourquoi elle est utilisée à votre organization.
Formation à la simulation d'attaque Commencer à utiliser la formation à la simulation d’attaque Exercice de simulation d’attaque dans Microsoft Defender pour Office 365 Plan 2 permet à l’administrateur de configurer, lancer et suivre les attaques par hameçonnage simulées contre des groupes spécifiques d’utilisateurs.

En outre, Microsoft recommande aux utilisateurs d’effectuer les actions décrites dans cet article : Protéger votre compte et vos appareils contre les pirates informatiques et les programmes malveillants. Ces actions incluent :

  • Utilisation de mots de passe forts
  • Protection des appareils
  • Activation des fonctionnalités de sécurité sur les PC Windows et Mac (pour les appareils non gérés)

Voir aussi