{"id":2963,"date":"2024-01-27T13:35:26","date_gmt":"2024-01-27T18:35:26","guid":{"rendered":"https:\/\/trilogiam.ca\/?p=2963"},"modified":"2024-01-27T13:36:02","modified_gmt":"2024-01-27T18:36:02","slug":"protegez-vos-terminaux-des-cyber-mechants-avec-les-regles-asr-dintune","status":"publish","type":"post","link":"https:\/\/trilogiam.ca\/fr\/2024\/01\/27\/protegez-vos-terminaux-des-cyber-mechants-avec-les-regles-asr-dintune\/","title":{"rendered":"Prot\u00e9gez vos terminaux des cyber-m\u00e9chants avec les r\u00e8gles ASR d’Intune"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Il y a presque deux ans, lorsque Microsoft a annonc\u00e9 qu’il allait offrir Defender for Business + Intune \u00e0 tous les clients M365 Business Premium, j’ai senti que je n’avais pas le choix – je devais me plonger dans cette affaire. J’utilisais ESET Protect pour mes clients (et je l’utilise toujours pour mes clients non-Microsoft !), mais \u00e0 l’\u00e9poque, la plupart de mes clients \u00e9taient d\u00e9j\u00e0 sur Business Premium.<\/p>

J’ai \u00e9t\u00e9 impressionn\u00e9 par les r\u00e9sultats obtenus par Microsoft en mati\u00e8re de cybers\u00e9curit\u00e9 et, au cours des mois suivants, j’ai fait migrer tous mes clients vers Defender EDR.<\/p>

L’une des \u00ab\u00a0r\u00e9v\u00e9lations\u00a0\u00bb, si l’on peut dire, concerne les r\u00e8gles de r\u00e9duction de la surface d’attaque. Si vous – en tant que consultant ou client – utilisez le syst\u00e8me EDR de Microsoft et n’exploitez pas les r\u00e8gles ASR, pourquoi pas ? Il est temps d’envisager s\u00e9rieusement de les utiliser.<\/p>

Que sont les r\u00e8gles de r\u00e9duction de la surface d’attaque ?<\/h4>

Les r\u00e8gles de r\u00e9duction de la surface d’attaque (ASR) sont un ensemble de r\u00e8gles que vous pouvez configurer dans Intune pour rendre vos terminaux beaucoup plus s\u00fbrs et r\u00e9sistants \u00e0 une cyberattaque. Elles sont con\u00e7ues pour bloquer les techniques courantes utilis\u00e9es par les attaquants pour s’attaquer \u00e0 vos appareils, comme l’ex\u00e9cution de scripts malveillants, l’exploitation de failles ou le vol de mots de passe. En appliquant ces r\u00e8gles, vous pouvez arr\u00eater ou limiter les d\u00e9g\u00e2ts de nombreux types de logiciels malveillants, de ran\u00e7ongiciels et d’attaques de phishing.<\/p>

Comment utiliser les r\u00e8gles ASR dans Intune ?<\/h4>

Pour utiliser les r\u00e8gles ASR dans Intune, vous devez cr\u00e9er un profil de configuration de p\u00e9riph\u00e9rique et l’affecter \u00e0 vos p\u00e9riph\u00e9riques ou groupes. Vous pouvez choisir parmi 15 r\u00e8gles g\u00e9niales qui couvrent diff\u00e9rents sc\u00e9narios, tels que le blocage des fichiers ex\u00e9cutables dans les courriels, l’emp\u00eachement des applications Office d’engendrer des descendants malveillants ou la d\u00e9sactivation des appels API Win32 \u00e0 partir des macros Office.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Avant d’appliquer les r\u00e8gles ASR \u00e0 vos appareils, vous pouvez les tester et voir comment elles affectent vos utilisateurs et vos applications. Certaines r\u00e8gles peuvent bloquer des actions l\u00e9gitimes ou provoquer des faux positifs, en fonction de votre environnement et de vos cas d’utilisation. Par exemple, la r\u00e8gle \u00ab\u00a0Bloquer l’ex\u00e9cution des fichiers ex\u00e9cutables sauf s’ils r\u00e9pondent \u00e0 un crit\u00e8re de pr\u00e9valence, d’\u00e2ge ou de liste de confiance\u00a0\u00bb peut g\u00eaner les d\u00e9veloppeurs qui compilent des applications ou les utilisateurs qui se servent d’applications et d’utilitaires mis \u00e0 jour tr\u00e8s fr\u00e9quemment.<\/p>

Pour \u00e9viter tout probl\u00e8me potentiel, il est judicieux de d\u00e9finir certaines r\u00e8gles sur \u00ab\u00a0Audit\u00a0\u00bb au lieu de \u00ab\u00a0Block\u00a0\u00bb, car cela permet aux r\u00e8gles de fonctionner en arri\u00e8re-plan et de g\u00e9n\u00e9rer des \u00e9v\u00e9nements sans affecter l’exp\u00e9rience de l’utilisateur.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"2\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Vous pouvez utiliser la section Rapport de la console Defender pour visualiser les occurrences des r\u00e8gles ASR et analyser leur impact et leur fr\u00e9quence.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\"3\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Vous pouvez ainsi affiner les r\u00e8gles et exclure des applications ou des chemins d’acc\u00e8s l\u00e9gitimes avant de les faire passer en mode \u00ab\u00a0blocage\u00a0\u00bb.<\/p>

Vous pouvez \u00e9galement adapter les r\u00e8gles \u00e0 vos besoins, par exemple en excluant certaines applications ou certains chemins d’acc\u00e8s.<\/p>

  • Pour cr\u00e9er un profil de configuration d’appareil, acc\u00e9dez au portail Intune et s\u00e9lectionnez Configuration des appareils > Profils > Cr\u00e9er un profil.<\/li>
  • Saisissez un nom et une description pour le profil et s\u00e9lectionnez Windows 10 et versions ult\u00e9rieures comme plateforme et Protection des points finaux comme type de profil.<\/li>
  • Sous Protection des points finaux, s\u00e9lectionnez R\u00e9duction de la surface d’attaque et configurez les r\u00e8gles que vous souhaitez appliquer. Vous pouvez utiliser l’interrupteur \u00e0 bascule pour activer ou d\u00e9sactiver chaque r\u00e8gle, et l’ic\u00f4ne des param\u00e8tres pour ajuster les options de la r\u00e8gle.<\/li>
  • Cliquez sur OK puis sur Enregistrer pour cr\u00e9er le profil.<\/li>
  • Pour attribuer le profil, acc\u00e9dez au portail Intune et s\u00e9lectionnez Configuration des appareils > Profils > S\u00e9lectionner le profil > Attributions.<\/li>
  • S\u00e9lectionnez les appareils ou les groupes auxquels vous souhaitez appliquer le profil et cliquez sur Enregistrer.<\/li><\/ul>

    Pourquoi utiliser les r\u00e8gles de r\u00e9duction de la surface d’attaque dans Intune ?<\/h4>

    L’utilisation de r\u00e8gles ASR dans Intune peut offrir plusieurs avantages pour am\u00e9liorer vos efforts en mati\u00e8re de cybers\u00e9curit\u00e9 :<\/p>

    • Renforcer la s\u00e9curit\u00e9 des points d’acc\u00e8s en bloquant ou en limitant les vecteurs d’attaque courants.<\/li>
    • R\u00e9duire le risque de violations de donn\u00e9es, d’infections par ransomware et de pertes financi\u00e8res.<\/li>
    • Am\u00e9liorer le respect des normes et r\u00e9glementations en mati\u00e8re de s\u00e9curit\u00e9.<\/li>
    • La gestion et le d\u00e9ploiement des politiques sur l’ensemble des appareils deviennent un jeu d’enfant.<\/li>
    • Contr\u00f4ler et rendre compte de l’efficacit\u00e9 et de la performance des r\u00e8gles.<\/li><\/ul>

      Si vous souhaitez prot\u00e9ger vos terminaux contre les menaces, vous devriez envisager d’utiliser les r\u00e8gles ASR dans Intune. Il s’agit d’un outil puissant et flexible qui peut fonctionner avec vos solutions de s\u00e9curit\u00e9 existantes et fournir une couche de d\u00e9fense suppl\u00e9mentaire.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

      \n\t\t\t\t\t\t
      \n\t\t\t\t\t
      \n\t\t\t
      \n\t\t\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

      Intune propose des politiques puissantes pour prot\u00e9ger les terminaux contre les pirates informatiques.<\/p>\n","protected":false},"author":7,"featured_media":2936,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","_seopress_analysis_target_kw":"","_eb_attr":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[14,15],"tags":[],"class_list":{"0":"post-2963","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-cybersecurite","8":"category-produits"},"_links":{"self":[{"href":"https:\/\/trilogiam.ca\/fr\/wp-json\/wp\/v2\/posts\/2963","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/trilogiam.ca\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/trilogiam.ca\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/trilogiam.ca\/fr\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/trilogiam.ca\/fr\/wp-json\/wp\/v2\/comments?post=2963"}],"version-history":[{"count":0,"href":"https:\/\/trilogiam.ca\/fr\/wp-json\/wp\/v2\/posts\/2963\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/trilogiam.ca\/fr\/wp-json\/wp\/v2\/media\/2936"}],"wp:attachment":[{"href":"https:\/\/trilogiam.ca\/fr\/wp-json\/wp\/v2\/media?parent=2963"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/trilogiam.ca\/fr\/wp-json\/wp\/v2\/categories?post=2963"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/trilogiam.ca\/fr\/wp-json\/wp\/v2\/tags?post=2963"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}