En réponse à la cyberattaque SolarWinds, Microsoft déploie une nouvelle fonctionnalité dans Microsoft 365 : des alertes sur les activités de piratage par des acteurs étatiques. Ces notifications permettront aux utilisateurs de réagir rapidement face à ces menaces sophistiquées.
Microsoft Defender pour Office 365 (anciennement Office 365 Advanced Threat Protection) affichera une alerte indiquant qu'une menace suspectée d'origine étatique interfère avec l'environnement de travail de l'entreprise.
Ces attaques représentent certaines des activités malveillantes les plus avancées et persistantes suivies par Microsoft. Le Microsoft Threat Intelligence Center les traque, élabore des profils détaillés et collabore étroitement avec les équipes de sécurité Microsoft pour déployer des détections et des mesures d'atténuation protégeant nos clients.
Microsoft alerte déjà des milliers d'utilisateurs chaque année sur des interférences potentielles d'acteurs étatiques dans leurs réseaux. Jusqu'à présent, ces notifications étaient envoyées par e-mail.
Si un utilisateur de Microsoft Defender pour Office 365 ne consulte pas ses e-mails le jour même, il risque de manquer une alerte critique. Bien que principalement destiné aux entreprises, ce produit voit encore des notifications se perdre dans les flux e-mail.
Les nouvelles alertes apparaîtront directement dans le tableau de bord de Microsoft Defender pour Office 365, augmentant les chances d'être repérées par les administrateurs réseau, les équipes de sécurité et les responsables IT.
Microsoft a ajouté les « alertes d'activité potentielles des États-nations » à la feuille de route d'Office 365 le 6 février 2021, avec un déploiement prévu d'ici fin février.
Une attaque d'État-nation est l'une des cybermenaces les plus graves, en raison de l'expertise et des ressources illimitées des auteurs.
La cyberattaque SolarWinds, soupçonnée d'être d'origine étatique, illustre ce niveau d'expertise : une infiltration via la chaîne d'approvisionnement, restée dormante des mois dans les réseaux victimes avant activation.
Malgré leur dangerosité, ces attaques visent rarement les particuliers. Les ressources massives sont réservées à des cibles stratégiques comme les gouvernements, les grandes entreprises tech ou les infrastructures critiques.
