Comment activer la protection avancée contre les rançongiciels dans Microsoft Intune 2026

Commencez par vous connecter au centre d'administration Microsoft Intune où vous créerez la politique de protection contre les ransomwares.

Ouvrez votre navigateur et accédez à https://endpoint.microsoft.com. Connectez-vous à l'aide de vos identifiants d'administrateur disposant des autorisations de gestion Intune.

Une fois connecté, accédez à la section de configuration des appareils :

1. Cliquez sur Appareils dans le volet de navigation de gauche
2. Sélectionnez Configuration dans le sous-menu
3. Cliquez sur le bouton + Créer
4. Choisissez Nouvelle politique dans la liste déroulante

Cela ouvre l'assistant de création de politique où vous configurerez les paramètres de protection contre les ransomwares.

Vérification : Vous devriez voir la page « Créer un profil » avec des options de sélection de plateforme et de type de profil disponibles.

Configurez la base de la stratégie en sélectionnant la plateforme appropriée et le type de profil de protection.

Dans la boîte de dialogue "Créer un profil" :

1. Définissez Plateforme sur Windows 10 et versions ultérieures
2. Sous Type de profil, sélectionnez Modèles
3. Choisissez Protection des points de terminaison dans la liste des modèles
4. Cliquez sur Créer pour continuer

Le modèle de protection des points de terminaison fournit des paramètres de sécurité complets, y compris la protection avancée contre les ransomwares que nous devons configurer.

Alternativement, si vous préférez l'approche du catalogue de paramètres :

1. Sélectionnez Type de profil comme Catalogue de paramètres
2. Cela vous donne un contrôle plus granulaire mais nécessite davantage d'étapes de configuration

Vérification : L'assistant de création de stratégie devrait accéder à la page de configuration "Informations de base" où vous pouvez nommer votre stratégie.

Établissez une identification et une description claires de la politique pour faciliter la gestion et la résolution des problèmes.

Sur la page « Bases », configurez les éléments suivants :

• Nom : Advanced Ransomware Protection - Windows Devices
• Description : Enables Microsoft Defender advanced ransomware protection with Block-level enforcement for all managed Windows 10/11 devices. Automatically stops ransomware-like activities using client and cloud heuristics.

Utilisez une convention de nommage cohérente qui comprend :

• La fonctionnalité de sécurité en cours de configuration
• La plateforme de périphérique cible
• Le niveau d'application (Bloquer, Audit, Avertir)

Modèles de nommage d'exemple :

Advanced Ransomware Protection - Block Mode - Windows
Ransomware Defense - Audit Only - Test Group
Defender Ransomware - Warn Mode - Pilot Devices

Cliquez sur Suivant pour accéder aux paramètres de configuration.

Vérification : Le nom de la politique s'affiche dans la navigation par fil d'Ariane, et vous devriez voir la page « Paramètres de configuration » se charger.

Localisez et accédez aux paramètres de protection contre les ransomwares spécifiques dans la configuration de la protection des points de terminaison.

Sur la page « Paramètres de configuration », vous verrez plusieurs catégories de paramètres de sécurité. Accédez aux options de protection contre les ransomwares :

1. Faites défiler vers le bas pour trouver la section Microsoft Defender Antivirus
2. Développez la section si elle est réduite
3. Recherchez Règles de protection contre les ransomwares ou un libellé similaire
4. Cliquez pour développer cette sous-section

Si vous utilisez plutôt l'approche du catalogue des paramètres :

1. Cliquez sur + Ajouter des paramètres
2. Dans le sélecteur de paramètres, recherchez ransomware
3. Sélectionnez Defender > Utiliser une protection avancée contre les ransomwares
4. Cliquez sur Ajouter pour l'inclure dans votre politique

Le paramètre de protection contre les ransomwares contrôle la façon dont Microsoft Defender répond aux activités potentielles de ransomware sur les appareils gérés.

Vérification : Vous devriez voir le paramètre de protection contre les ransomwares avec un menu déroulant contenant des options telles que « Non configuré », « Audit uniquement », « Avertir » et « Bloquer ».

Définissez le niveau de protection approprié en fonction des exigences de sécurité et de la tolérance aux risques de votre organisation.

Dans le paramètre de protection contre les ransomwares, vous verrez ces options :

Pour une protection maximale, configurez le paramètre :

1. Cliquez sur la liste déroulante pour Utiliser la protection avancée contre les ransomwares
2. Sélectionnez Bloquer pour le niveau de sécurité le plus élevé
3. Cela active le blocage automatique des comportements de type ransomware en utilisant à la fois des heuristiques côté client et basées sur le cloud

Le paramètre Bloquer offre :

• Protection en temps réel contre les tentatives de chiffrement de fichiers
• Mise en quarantaine automatique des processus suspects
• Intégration à l'intelligence cloud de Microsoft
• Réponse immédiate aux menaces sans intervention de l'utilisateur

Vérification : Le paramètre doit afficher « Bloquer » comme sélectionné, et vous devriez voir des options de configuration supplémentaires si disponibles pour votre version d'Intune.

Optimisez la protection contre les ransomware en configurant les paramètres de sécurité supplémentaires et les exclusions nécessaires.

Toujours dans la section Microsoft Defender Antivirus, examinez et configurez ces paramètres connexes :

Protection contre les modifications (Recommandé)

1. Trouvez le paramètre Protection contre les modifications
2. Réglez sur Activer pour empêcher les modifications locales des paramètres de sécurité
3. Cela empêche les ransomware de désactiver la protection Defender

Niveau de protection cloud

1. Localisez Niveau de protection fournie par le cloud
2. Réglez sur Élevé ou Élevé plus pour une détection améliorée
3. Cela améliore la détection des ransomware en utilisant l'intelligence cloud de Microsoft

Exclusions de fichiers et de dossiers (Si nécessaire)

Si votre organisation a des applications légitimes qui pourraient déclencher des faux positifs :

Exemples d'exclusions (à configurer uniquement si nécessaire) :
C:\MyApp\Data\*
*.myappextension
C:\LegitimateBackupTool\

Paramètres recommandés supplémentaires :

• Protection en temps réel : Activer
• Surveillance du comportement : Activer
• Système d'inspection réseau : Activer
• Analyse de script : Activer

Vérification : Examinez tous les paramètres configurés dans la vue récapitulatif. La protection contre les modifications doit être activée et la protection cloud doit être réglée sur un niveau élevé.

Déployez la politique de protection contre les ransomware sur les groupes d'appareils appropriés de votre organisation.

Cliquez sur Suivant pour accéder à la page « Affectations ». Vous y spécifierez quels appareils reçoivent cette politique de protection.

Stratégie d'affectation recommandée

1. Cliquez sur + Ajouter des groupes sous « Groupes inclus »
2. Sélectionnez vos groupes cibles :

Affectations de groupes recommandées :
- Tous les appareils Windows (pour la protection à l'échelle de l'organisation)
- Systèmes commerciaux critiques (pour les cibles de haute valeur)
- Appareils des cadres (pour les utilisateurs à haut risque)
- Appareils du département Finance (pour l'accès aux données sensibles)

Approche de déploiement par phases

Pour les grandes organisations, envisagez un déploiement progressif :

1. Phase 1 : Appareils du département informatique (10-20 appareils)
2. Phase 2 : Groupe pilote (100-200 appareils)
3. Phase 3 : Département par département
4. Phase 4 : Déploiement à l'échelle de l'organisation

Groupes d'exclusion (si nécessaire)

Si certains appareils ont besoin de niveaux de protection différents :

1. Cliquez sur + Ajouter des groupes sous « Groupes exclus »
2. Sélectionnez les groupes qui ne doivent pas recevoir cette politique
3. Exemple : appareils de test, systèmes de kiosque ou appareils disposant de logiciels de sécurité incompatibles

Vérification : Le résumé des affectations doit afficher vos groupes inclus et exclus sélectionnés avec le nombre d'appareils attendu pour chaque groupe.

Effectuez un examen final de tous les paramètres de stratégie avant le déploiement pour assurer une configuration correcte.

Cliquez sur Suivant pour accéder à la page « Vérifier + créer ». Cette page affiche un résumé complet de votre configuration de stratégie.

Liste de vérification

Vérifiez que les paramètres suivants sont corrects :

• Nom de la stratégie : Clair et descriptif
• Plateforme : Windows 10 et versions ultérieures
• Protection contre les ransomwares : Défini sur « Bloquer » (ou votre niveau choisi)
• Protection contre les modifications : Activée
• Protection cloud : Niveau élevé
• Groupes cibles : Groupes d'appareils appropriés sélectionnés
• Exclusions : Minimales et justifiées

Résumé de la configuration de la stratégie

{
  "policyName": "Advanced Ransomware Protection - Windows Devices",
  "platform": "Windows 10 and later",
  "profileType": "Endpoint protection",
  "ransomwareProtection": "Block",
  "tamperProtection": "Enabled",
  "cloudProtection": "High",
  "assignedGroups": ["All Windows Devices"],
  "excludedGroups": []
}

Une fois que vous avez vérifié tous les paramètres :

1. Cliquez sur Créer pour déployer la stratégie
2. La stratégie sera créée et commencera à se déployer sur les appareils assignés
3. Vous serez redirigé vers la page de présentation de la stratégie

Vérification : La stratégie apparaît dans la liste des profils de configuration avec un « État de déploiement » montrant la progression du déploiement vers les appareils cibles.

Suivez la progression du déploiement de la stratégie et vérifiez que les appareils reçoivent et appliquent les paramètres de protection contre les ransomwares.

Surveiller l'état du déploiement

1. Dans le centre d'administration Intune, accédez à Appareils > Configuration
2. Cliquez sur votre stratégie « Protection avancée contre les ransomwares »
3. Consultez l'onglet Aperçu pour les statistiques de déploiement

L'aperçu affiche :

• État de l'attribution : Comptages de réussite, erreur, conflit
• État de l'appareil : Appareils conformes ou non conformes
• État de l'utilisateur : Utilisateurs affectés par la stratégie

Vérifier l'état des appareils individuels

1. Cliquez sur l'onglet État de l'appareil
2. Consultez la conformité des appareils individuels
3. Recherchez les appareils affichant un état « Erreur » ou « Conflit »

Indicateurs d'état courants :

✓ Réussite : Stratégie appliquée avec succès
⚠ En attente : Déploiement de la stratégie en cours
✗ Erreur : Échec de l'application de la stratégie
⚡ Conflit : Stratégies conflictuelles détectées

Vérifier la protection dans le portail Microsoft Defender

1. Accédez à https://security.microsoft.com
2. Allez à Paramètres > Endpoints > Fonctionnalités avancées
3. Vérifiez que la protection contre les ransomwares est active
4. Consultez le tableau de bord Gestion des vulnérabilités pour la posture de sécurité

Vérification : Exécutez cette commande PowerShell sur un appareil de test pour confirmer que la stratégie est appliquée :

Get-MpPreference | Select-Object EnableControlledFolderAccess, AttackSurfaceReductionRules_RuleSpecificExclusions

Effectuez des tests contrôlés pour vérifier que la protection contre les ransomwares fonctionne correctement sans perturber les opérations commerciales.

Méthodes de test sûres

Utilisez les outils et méthodes de test officiels de Microsoft :

1. Fichier de test EICAR : Téléchargez le fichier de test anti-malware EICAR
2. Test PowerShell : Exécutez des activités suspectes contrôlées
3. Démo Defender ATP : Utilisez les scénarios de démonstration de Microsoft

Simulation de ransomware PowerShell

Exécutez ce test sûr sur un appareil hors production :

# Create a test file
New-Item -Path "C:\temp\testfile.txt" -ItemType File -Force
Add-Content -Path "C:\temp\testfile.txt" -Value "This is a test file"

# Attempt to encrypt (this should be blocked)
try {
    $content = Get-Content "C:\temp\testfile.txt"
    $encrypted = [System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($content))
    Set-Content -Path "C:\temp\testfile.encrypted" -Value $encrypted
    Write-Host "WARNING: Encryption was not blocked!" -ForegroundColor Red
} catch {
    Write-Host "SUCCESS: Ransomware protection blocked the action" -ForegroundColor Green
}

Surveiller les résultats des tests

1. Vérifiez l'Observateur d'événements Windows pour les événements Defender
2. Examinez les alertes dans le portail Microsoft Defender
3. Vérifiez que les actions bloquées apparaissent dans les rapports de sécurité

Vérification du journal des événements

Vérifiez ces journaux des événements pour l'activité de protection contre les ransomwares :

Event Log Locations:
- Applications and Services Logs > Microsoft > Windows > Windows Defender
- Event ID 1116: Malware detected
- Event ID 1117: Action taken on malware
- Event ID 5007: Configuration changed

Valider l'expérience utilisateur

1. Testez les opérations de fichiers légitimes pour vérifier l'absence de faux positifs
2. Vérifiez que les utilisateurs peuvent effectuer les activités commerciales normales
3. Documentez toute application nécessitant des exclusions

Vérification : Un test réussi montre les activités malveillantes bloquées dans les journaux tout en permettant aux opérations légitimes de se dérouler normalement.