Si vous choisissez de faire surveiller en continu vos réseaux et systèmes par un service de Security Monitoring contre les cybermenaces et les attaques, vous bénéficiez de l’expertise et de l’expérience approfondie de notre équipe d’experts. Nous utilisons également les technologies XDR modernes, qui permettent une surveillance efficace et complète. Découvrez ici quels sont les trois produits de sécurité Microsoft essentiels à cet effet et comment ils contribuent concrètement à la protection de votre infrastructure informatique.
Les PME souscrivent à différentes licences Business ou Enterprise de Microsoft. Nous constatons souvent que des mécanismes de protection importants sont absents ou seulement partiellement présents. Pour pouvoir fournir pleinement notre service MDR (Managed Detection and Response) et garantir un niveau de sécurité élevé, trois licences sont particulièrement essentielles – elles constituent la base de notre service :
Nous vous expliquons ci-dessous pourquoi ces trois licences sont indispensables et quel bénéfice concret elles apportent à la protection de votre infrastructure informatique, illustré par des exemples pratiques.
Microsoft Entra ID P2 : Gestion centralisée des accès et des données
Avec Microsoft Entra ID, vous gérez les identités des utilisateurs de manière centralisée dans le cloud et contrôlez l’accès aux services Microsoft ainsi qu’aux services tiers. Cette solution protège vos ressources et données grâce à une authentification sécurisée et des politiques d’accès intelligentes basées sur les risques. Les trois fonctionnalités suivantes constituent de véritables atouts :
Identity Protection : La base essentielle de la sécurité des identités numériques
Cette fonctionnalité aide à protéger activement les identités numériques contre le vol et les abus en détectant les activités suspectes grâce à l’intelligence artificielle (IA) et au machine learning (ML), puis en déclenchant des mesures de sécurité automatisées.
Exemples d’activités suspectes :
- Voyage Impossible : un utilisateur se connecte à votre réseau d’entreprise depuis deux pays très éloignés dans un court laps de temps. Comme la distance ne peut être parcourue par un vol normal, le système considère cette activité comme risquée.
- Utilisateurs à risque : un utilisateur se connecte depuis un pays inhabituel ou risqué, où il ne travaille normalement pas. Identity Protection considère cela comme une activité suspecte.
- Utilisation d’adresses IP anonymes : un utilisateur se connecte avec son compte professionnel via un service d’anonymisation. Comme les attaquants utilisent souvent ce type de service pour masquer leur identité, Identity Protection classe cette connexion comme risquée.
Tous ces risques déclenchent une alerte et, selon la politique, différentes réactions (automatiques et/ou manuelles) : blocage d’accès, demande d’authentification multi-facteurs (MFA), exigence de changement de mot de passe, etc. Les données d’Identity Protection peuvent être exportées vers d’autres outils pour archivage, enquêtes complémentaires ou corrélation avec d’autres incidents.
Astuce supplémentaire : Vous trouverez ici un aperçu des risques détectés et évalués par Microsoft Entra Identity Protection.
Conclusion : Identity Protection est particulièrement important, car le vol d’identité est le vecteur d’attaque le plus fréquent. Cela détecte et bloque en temps réel les comptes compromis.
Privileged Identity Management (PIM) : Accès administration sécurisés
PIM aide à contrôler les accès privilégiés et à les protéger activement contre les abus ou usages non autorisés. Étant donné que les droits administrateurs permanents représentent un risque élevé, les droits administratifs sont accordés uniquement en cas de besoin. Leur activation est surveillée et des mesures de sécurité automatisées, telles que des processus d’approbation ou l’authentification multifactorielle (MFA), sont déclenchées.
PIM protège contre :
- Comptes administrateurs compromis : Si un attaquant obtient l’accès à un compte administrateur (par exemple via phishing), il ne peut pas se propager immédiatement dans l’environnement interne grâce au PIM.
- Abus d'initié : Les administrateurs ou autres utilisateurs privilégiés ne peuvent pas effectuer de modifications critiques sans justification ou approbation. Chaque activation est enregistrée.
- Erreurs humaines et mauvaises manipulations : Comme les droits administrateurs ne sont actifs que temporairement, PIM empêche qu’une personne réalise par inadvertance de mauvaises configurations ou suppressions.
Atout supplémentaire : cette traçabilité et ce contrôle des accès privilégiés sont exigés dans de nombreuses normes de sécurité et de protection des données (par exemple ISO 27001, NIS2, CIS Controls).
Conclusion : PIM réduit les risques d’attaques, d’abus et d’erreurs en n’accordant les droits administrateurs que de manière temporaire et contrôlée.
Conditional Access (CA) : Plus de contrôle, moins de risques
Cette fonction de sécurité permet d’autoriser l’accès aux applications et aux données uniquement sous certaines conditions. Les entreprises peuvent définir des politiques prenant en compte, par exemple, la localisation, l’appareil utilisé, le niveau de risque de la tentative de connexion ou la méthode d’authentification.
Exemples :
- Localisation : l’accès aux données de l’entreprise est autorisé uniquement depuis le réseau interne ou via un accès distant sécurisé (VPN).
- Appareil : la connexion au réseau est possible uniquement depuis des ordinateurs portables d’entreprise gérés et sécurisés. Les tentatives d’accès depuis d’autres appareils sont bloquées.
- Authentification : l’accès à des applications hautement sensibles, telles que les systèmes financiers ou RH, n’est possible qu’avec une authentification multifacteur (MFA).
Conclusion : Avec l’accès conditionnel, vous réduisez la surface d’attaque et gardez le contrôle sur qui accède, quand et depuis où, aux systèmes critiques.
Microsoft Defender for Office 365 P2: Stopper les attaques complexes
Protégez vos e-mails Outlook ainsi que vos outils collaboratifs comme Microsoft Teams contre le phishing, les codes malveillants, les rançongiciels et les attaques ciblées. La version P2 offre, grâce à la détection automatisée des menaces et à des analyses approfondies basées sur l’intelligence artificielle (IA), une protection proactive élevée contre les attaques ciblées et complexes.
Les principaux avantages de Defender for Office 365 Plan 2 sont :
Advanced-Anti-Phishing : Détection intelligente des menaces au plus haut niveau
Les attaques de phishing figurent parmi les plus grandes menaces pour les entreprises. Les attaques modernes et sophistiquées contournent les mesures de protection classiques. La fonctionnalité Advanced Anti-Phishing protège les entreprises en analysant le comportement des expéditeurs, en détectant les domaines frauduleux et en alertant sur les e-mails suspects avant qu’ils ne causent des dommages.
Scénarios typiques de phishing détectés par Advanced Anti-Phishing :
- Faux e-mail du CEO (par ex. Business Email Compromise (BEC)) : Votre service comptable reçoit un e-mail supposé provenir de votre directeur général demandant un virement urgent à un fournisseur. L’adresse de l’expéditeur paraît légitime au premier abord, mais Advanced Anti-Phishing détecte la fraude grâce à des modèles comportementaux et avertit le destinataire.
- Piège de connexion via une fausse page Microsoft 365 : Une collaboratrice reçoit un e-mail indiquant que son mot de passe Microsoft 365 expire bientôt. Le lien contenu mène à une page de connexion contrefaite très réaliste. Le système détecte la fraude car le domaine ne correspond pas aux serveurs officiels de Microsoft et bloque le message.
- Fraude fournisseur par factures modifiées : Une entreprise reçoit une facture d’un prétendu fournisseur avec un changement de coordonnées bancaires. Advanced Anti-Phishing remarque que le domaine de l’e-mail diffère légèrement de l’original (par ex. @entreprise-exemple.com au lieu de @entrepriseexemple.com) et empêche ainsi le transfert d’argent aux cybercriminels.
Conclusion : Advanced Anti-Phishing utilise des analyses basées sur l’IA et des modèles comportementaux pour détecter précocement les menaces complexes – une protection efficace pour votre entreprise.
Campaign-View : Détecter, comprendre et contrer les campagnes de menaces
La fonction Campaign View permet d’analyser et de suivre les campagnes ciblées de phishing et de malware. Elle exploite de grandes quantités de données issues de l’ensemble de l’infrastructure de sécurité Microsoft 365 pour identifier précocement les campagnes d’attaque visant votre organisation.
Fonctions clés de Campaign View :
- Suivi des vecteurs d’attaque : Campaign View montre quels utilisateurs de l’organisation sont affectés, combien d’e-mails ont été délivrés ou bloqués, et quels mécanismes de protection ont été activés.
- Indicateurs de la campagne : Les responsables de la sécurité peuvent consulter les détails tels que l’expéditeur, les liens, les pièces jointes et les tactiques utilisées par les attaquants.
- Options de réaction : Sur la base de l’analyse des campagnes, les administrateurs peuvent prendre des mesures, par exemple mettre en quarantaine les e-mails malveillants ou informer les utilisateurs concernés.
Conclusion : Campaign View offre aux équipes de sécurité une vue d’ensemble complète des campagnes de menace. Elles peuvent ainsi détecter et comprendre rapidement les attaques et mettre en place des mesures ciblées pour y répondre.
Attack Simulation Training : Votre équipe en tant que pare-feu humain
La fonction Attack Simulation Training vise à sensibiliser les utilisateurs à la sécurité et à les préparer aux attaques ciblées de phishing et d’ingénierie sociale.
Voici les points clés :
- Attaques personnalisées : Les administrateurs peuvent simuler des attaques de phishing réalistes afin de tester la réaction des collaborateurs. L’organisation peut créer ses propres scénarios de phishing ou choisir parmi une bibliothèque d’attaques préconfigurées.
- Analyse du comportement et formation : Il est suivi qui clique sur les liens de phishing, saisit des données sensibles ou ouvre des pièces jointes. Les utilisateurs qui tombent dans le piège reçoivent immédiatement des formations de sécurité ciblées.
- Rapports et perspectives : Des analyses détaillées révèlent les faiblesses en matière de sensibilisation à la sécurité et aident à améliorer les mesures mises en place.
Conclusion : Par la transmission active de connaissances et des simulations d’attaque réalistes, la conscience de la sécurité informatique s’accroît et la culture de sécurité se renforce dans toute l’entreprise.
Microsoft Defender for Endpoint P2 : Une protection à tous les niveaux
Microsoft Defender for Endpoint protège les terminaux et serveurs contre les cyberattaques, détecte les menaces en temps réel et bloque les attaques à un stade précoce. La solution offre une surveillance centralisée, une gestion des vulnérabilités et un contrôle des appareils. La version P2 étend la protection par des analyses approfondies, des réponses automatisées, ainsi que des fonctionnalités pour l’intervention et les enquêtes forensiques. Deux fonctionnalités utiles :
Defender Timeline : Suivi chronologique des événements
La Timeline est une vue détaillée et chronologique des événements pour un appareil spécifique. Elle enregistre les activités liées à la sécurité et permet aux équipes informatiques d’analyser les menaces et de retracer leur origine dans le système.
Que montre la Timeline ?
- Activités des processus et fichiers (ex. : programmes lancés, fichiers modifiés)
- Connexions des utilisateurs (locales et à distance)
- Connexions réseau (y compris les connexions suspectes)
- Modifications du registre et installations de services
- Alertes de sécurité et menaces détectées
Defender recommande des mesures appropriées ou les exécute automatiquement – par exemple, en bloquant des sessions suspectes, en coupant des connexions malveillantes ou en supprimant des malwares.
Conclusion : La Timeline est un outil indispensable pour les équipes de sécurité informatique afin d’analyser les attaques, mieux comprendre les menaces et stopper rapidement les incidents.
Advanced Hunting : Les données brutes passées au crible
Advanced Hunting est un outil puissant basé sur les requêtes permettant la recherche proactive de menaces. Il offre la possibilité d’examiner de manière ciblée et personnalisée les événements réseau à travers différentes solutions de sécurité Microsoft.
Exemples d’investigations :
| Utilisation suspecte de PowerShell | |
| Objectif/Requête | Vérifier si des attaquants utilisent PowerShell pour des activités malveillantes. Rechercher des commandes PowerShell contenant du code encodé en Base64, car les attaquants utilisent souvent ce procédé pour dissimuler leurs commandes |
| Exemple de résultat | Un terminal a exécuté à plusieurs reprises des scripts PowerShell suspects avec du code masqué. Un processus a été lancé sous un compte utilisateur inconnu. |
| Mesure | Isoler l’appareil. |
Application Office lançant cmd.exe ou un autre interpréteur de scripts | |
| Objectif/Requête | Détecter des processus suspects où des programmes Office comme Word, Excel ou Outlook démarrent des outils en ligne de commande ou des interpréteurs de scripts. |
| Exemple de résultat | Une entrée indique que EXCEL.EXE a lancé mshta.exe avec une URL vers un serveur externe inconnu. Cela suggère qu’une macro intégrée dans un fichier Excel tente de charger et d’exécuter du code malveillant depuis Internet via un script d’application HTML (HTA). |
| Mesure | Bloquer l’URL dans la plateforme XDR, isoler l’appareil. |
Conclusion : Advanced Hunting aide les équipes informatiques à identifier également les menaces cachées. Il complète ainsi les mécanismes de recherche automatisés qui ne détectent que les menaces connues.
Penser la sécurité de manière globale
La sécurité informatique ne se résume pas à des mesures isolées – elles ne suffisent pas à protéger efficacement les entreprises contre les cyberattaques.
otre service MDR déploie tout son potentiel lorsque les bonnes bases sont en place. C’est précisément pour cette raison que nous insistons sur la combinaison de Microsoft Entra ID P2, Microsoft Defender for Office 365 P2 et Microsoft Defender for Endpoint P2.
Ils constituent la base essentielle de la sécurité :
- Entra ID P2 protège les identités et offre une gestion puissante des accès.
- Defender for Office 365 P2 sécurise les e-mails et les outils collaboratifs grâce à la détection des menaces assistée par IA et des mesures efficaces contre le phishing et les attaques ciblées.
- Defender for Endpoint P2 assure une protection complète des terminaux par la détection proactive des menaces, des réactions automatisées et des analyses forensiques pour limiter rapidement les dégâts.
Avec ces outils d’analyse et d’intervention, nous pouvons surveiller systématiquement l’accès à vos systèmes et réseaux, détecter à temps les incidents de sécurité typiques et agir rapidement et efficacement en cas d’alerte.
Ensemble, veillons à ce que votre environnement informatique soit protégé de la meilleure façon possible.
Nous nous ferons un plaisir de vous renseigner personnellement : vos interlocuteurs