Configurer des règles de détection des pièces jointes dangereuses

Bac à sable de sécurité

Éditions compatibles pour cette fonctionnalité : Enterprise, Education Standard et Plus.  Comparer votre édition

Les pièces jointes aux e-mails peuvent inclure des logiciels malveillants que les programmes antivirus traditionnels risquent de rater. Pour identifier ces menaces, Gmail peut analyser ou exécuter des pièces jointes dans un environnement virtuel appelé bac à sable de sécurité. Les pièces jointes identifiées comme des menaces sont envoyées dans le dossier "Spam" du destinataire.

En tant qu'administrateur, plusieurs options s'offrent à vous pour gérer les pièces jointes :

  • Configurer Gmail pour analyser tous les types de pièces jointes compatibles dans le bac à sable de sécurité
  • Configurer des règles afin de définir quelles pièces jointes sont analysées dans le bac à sable de sécurité
  • Configurer des règles de conformité du contenu afin de gérer les pièces jointes malveillantes

Le bac à sable de sécurité peut analyser les fichiers de type exécutables Microsoft, Microsoft Office et PDF. Il fonctionne avec les fichiers en pièce jointe des e-mails, y-compris s'ils sont compressés (par exemple : ZIP, RAR).

À propos des règles du bac à sable de sécurité et des autres analyses

Vous pouvez créer des règles pour préciser les pièces jointes à analyser dans le bac à sable de sécurité. Vous pouvez par exemple en créer afin d'analyser les pièces jointes :

  • comportant un contenu spécifique, par exemple le mot facture ;
  • provenant de certains utilisateurs ;
  • envoyées en dehors d'un domaine spécifié ;
  • dont les adresses correspondent à certaines structures.

Le bac à sable de sécurité peut analyser des pièces jointes provenant aussi bien de votre domaine que de domaines extérieurs.

Fonctionnement des analyses du bac à sable de sécurité avec d'autres analyses

Les analyses du bac à sable de sécurité s'exécutent indépendamment des autres analyses de conformité et de prédistribution. Vos analyses de conformité du contenu peuvent par exemple rechercher des informations personnelles, telles que des numéros de carte de crédit. Il se peut que les analyses de conformité des pièces jointes bloquent ces pièces jointes si elles sont d'un type ou d'une taille spécifiques. Gmail exécute les analyses de conformité et de prédistribution séparément des analyses du bac à sable de sécurité.

Remarque : Le bac à sable de sécurité n'analyse pas les pièces jointes bloquées par des règles de conformité ou des analyses de prédistribution.

Pour en savoir plus, consultez :

Les messages peuvent être retardés

Le bac à sable de sécurité peut retarder l'envoi du message de 3 minutes au maximum. Certaines analyses peuvent être plus rapides.
Rechercher les paramètres du bac à sable de sécurité
  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à ApplicationspuisGoogle WorkspacepuisGmailpuisSpam, hameçonnage et logiciels malveillants.

    Remarque : Vous pouvez trouver ce paramètre dans ApplicationspuisGoogle WorkspacepuisGmailpuis Paramètres avancés.

  3. Sélectionnez l'unité organisationnelle pour laquelle vous souhaitez configurer les paramètres. Si vous souhaitez que ces paramètres s'appliquent à l'ensemble de ses membres, sélectionnez l'unité racine. Sinon, sélectionnez l'une des unités enfants.
  4. Faites défiler la page jusqu'à Bac à sable de sécurité, dans la section Spam, hameçonnage et logiciels malveillants. Les règles du bac à sable de sécurité se trouvent au bas de cette section.
Analyser toutes les pièces jointes dans le bac à sable de sécurité

En tant qu'administrateur, vous pouvez configurer Gmail pour qu'il scanne toutes les pièces jointes aux e-mails.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à ApplicationspuisGoogle WorkspacepuisGmailpuisSpam, hameçonnage et logiciels malveillants.

    Remarque : Vous pouvez trouver ce paramètre dans ApplicationspuisGoogle WorkspacepuisGmailpuis Paramètres avancés.

  3. Sélectionnez l'unité organisationnelle pour laquelle vous souhaitez configurer les paramètres. Si vous souhaitez que ces paramètres s'appliquent à l'ensemble de ses membres, sélectionnez l'unité racine. Sinon, sélectionnez l'une des unités enfants.
  4. Faites défiler la page jusqu'à Bac à sable de sécurité, dans la section Spam, hameçonnage et logiciels malveillants. Les règles du bac à sable de sécurité se trouvent au bas de cette section.
  5. Pour analyser toutes les pièces jointes, cochez l'option Activer l'exécution virtuelle des pièces jointes dans un environnement de bac à sable….

    Remarque : Lorsque cette option est cochée, toutes les pièces jointes sont analysées dans le bac à sable de sécurité, même si vous définissez des règles spécifiques.

  6. Cliquez sur Enregistrer au bas de la page.

La prise en compte des modifications peut prendre jusqu'à 24 heures.

Analyser les pièces jointes uniquement si les messages correspondent à des règles spécifiques

Les règles que vous spécifiez permettent d'identifier les e-mails dont les pièces jointes seront analysées.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à ApplicationspuisGoogle WorkspacepuisGmailpuisSpam, hameçonnage et logiciels malveillants.

    Remarque : Vous pouvez trouver ce paramètre dans ApplicationspuisGoogle WorkspacepuisGmailpuis Paramètres avancés.

  3. Sélectionnez l'unité organisationnelle pour laquelle vous souhaitez configurer les paramètres. Si vous souhaitez que ces paramètres s'appliquent à l'ensemble de ses membres, sélectionnez l'unité racine. Sinon, sélectionnez l'une des unités enfants.
  4. Dans la section Spam, hameçonnage et logiciels malveillants située en dessous du bac à sable de sécurité, décochez l'option Activer l'exécution virtuelle des pièces jointes dans un environnement de bac à sable. Lorsque cette option est décochée, les pièces jointes sont analysées dans le bac à sable uniquement si elles correspondent aux règles de ce dernier.

  5. Placez le curseur sur Règles du bac à sable de sécurité au bas de la section Spam, hameçonnage et logiciels malveillants, puis cliquez sur Configurer.

  6. Dans la zone Ajouter un paramètre, située en dessous de Règles du bac à sable de sécurité, saisissez un nom de règle. Ce nom apparaît sur la page des paramètres.

  7. Dans la section E-mails concernés, cochez les cases correspondant aux types de messages :

    • Entrant : messages envoyés à votre organisation depuis des domaines externes

    • Interne – réception : messages envoyés et reçus au sein des domaines et sous-domaines de votre organisation 

  8. Dans la section Ajouter les expressions qui décrivent le contenu à rechercher dans chaque message, effectuez les actions suivantes :

    1. Indiquez si vous souhaitez associer l'une des expressions, ou toutes. Par exemple, si vous sélectionnez Si l'UN des éléments suivants correspond au message, toute condition correspondante déclenche une analyse des pièces jointes dans le bac à sable de sécurité.

    2. Dans la zone Expressions, cliquez sur Ajouter.

    3. Dans la liste, choisissez ce que vous souhaitez spécifier pour l'expression, puis cliquez sur Enregistrer.

      • Correspondance de contenu simple : permet d'obtenir une correspondance avec le contenu que vous spécifiez. L'option "Correspondance de contenu simple" fonctionne de la même manière que la fonction de recherche dans Gmail. Par exemple, si vous recherchez bon de commande, toute chaîne contenant les termes bon et commande est renvoyée. En savoir plus sur les opérateurs de recherche Gmail.

      • Correspondance de contenu avancée : sélectionnez l'emplacement du texte dans le message et le type de correspondance, puis saisissez le contenu à rechercher. Contrairement à la correspondance de contenu simple, la chaîne doit être une correspondance exacte. Une description de chaque emplacement dans le message et dans le type de correspondance figure dans le tableau ci-dessous. En savoir plus sur les options de correspondance avancée de contenu.

      • Correspondance avec les métadonnées : sélectionnez l'attribut à rechercher et le type de correspondance. Si nécessaire, saisissez la valeur de correspondance. Consultez le tableau ci-dessous pour obtenir une description des attributs de métadonnées et des types de correspondance. En savoir plus sur les attributs de métadonnées et types de correspondance.

      • Correspondance de contenu prédéfini : choisissez l'un des détecteurs de contenu prédéfinis, tels que Numéro de carte de crédit ou Numéro de sécurité sociale. Vous pouvez également définir combien de fois le détecteur doit apparaître dans un message pour déclencher l'action définie, ou déclencher une analyse lorsque le détecteur figurant dans le message atteint un seuil de confiance. Remarque : Cette fonctionnalité n'est pas disponible dans toutes les éditions. Pour en savoir plus, consultez Analyser le trafic de messagerie avec la protection contre la perte de données.

      Options de correspondance avancée de contenu

      • Emplacement : section de l'e-mail dans laquelle apparaît le contenu.

        Type d'emplacement Description
        En-têtes + corps En-têtes complets et corps du message. Pièces jointes (parties MIME encodées) incluses.
        En-têtes complets Tous les champs d'en-tête. Corps du message et pièces jointes exclus.
        Corps Partie principale du texte de l'e-mail. Pièces jointes (parties MIME encodées) incluses.
        Objet Objet du message tel que présenté dans l'en-tête.
        En-tête expéditeur

        Adresse e-mail de l'expéditeur telle que présentée dans l'en-tête "De". Elle peut être différente de celle de l'expéditeur indiquée dans Expéditeur de l'enveloppe.

        L'en-tête expéditeur contient l'adresse e-mail, placée entre chevrons, mais pas le nom du titulaire du compte.

        Dans l'exemple ci-dessous :

        De : Jeanne Dupont <jdupont@example.com>

        L'en-tête expéditeur est jdupont@example.com.

        Remarque : La partie gauche des adresses @gmail.com et @googlemail.com est convertie au format canonique. Par exemple, jeanne.dupont@gmail.com devient jeannedupont@gmail.com.

        En-tête Destinataires

        Adresses e-mail du ou des destinataires telles que présentées dans les en-têtes de l'e-mail (À, Cc et Cci). Peuvent être différentes de celles indiquées dans Tout destinataire de l'enveloppe.

        Cette option ne compare qu'un seul destinataire à la fois. S'il y a plus d'un destinataire, la règle de contenu avancée n'établit pas les correspondances avec tous les destinataires en un seul passage. Pour définir une règle pour les messages envoyés à plusieurs utilisateurs, choisissez "En-têtes complets".

        L'en-tête destinataire contient l'adresse e-mail, placée entre chevrons, mais pas le nom du titulaire du compte.

        Dans l'exemple ci-dessous :

        À : Jeanne Dupont <jdupont@example.com>
        Cc : Jean Dupont <jeandupont@example.com>
        Cci : Jean Durand <jdurand@example.com>

        Les en-têtes destinataires sont jdupont@example.com, jeandupont@example.com et jdurand@example.com.

        Expéditeur de l'enveloppe Expéditeur d'origine indiqué lors de la requête de communication SMTP. Il peut être différent de celui indiqué dans En-tête expéditeur. Cette adresse correspond souvent à celle de l'en-tête "Return-path", mais pas toujours.
        Tout destinataire de l'enveloppe

        Destinataire ou destinataires indiqués lors de la requête de communication SMTP. Ils peuvent être différents de ceux indiqués dans l'en-tête Destinataire. Ces adresses peuvent inclure des personnes ajoutées à l'occasion d'un agrandissement de groupe.

        Cette option ne compare qu'un seul destinataire à la fois. S'il y a plus d'un destinataire, la règle de contenu avancée n'établit pas les correspondances avec tous les destinataires en un seul passage.

        Message brut En-têtes complets et corps, y compris toutes les pièces jointes et autres parties MIME du message. Les parties MIME ne sont pas décodées.
      • Type de correspondance : paramètres permettant de déterminer une correspondance.
         
        Type de correspondance Description

        Commence par

        Recherche le contenu commençant par le caractère ou la chaîne définis, à l'emplacement sélectionné.

        Se termine par

        Recherche le contenu se terminant par le caractère ou la chaîne définis, à l'emplacement sélectionné.

        Contient le texte

        Recherche le contenu comprenant la chaîne définie, à l'emplacement sélectionné.

        Ne contient pas de texte

        Recherche le contenu ne comprenant pas la chaîne définie, à l'emplacement sélectionné.

        Est égal à

        Recherche le contenu correspondant exactement à la chaîne définie, à l'emplacement sélectionné.

        Est vide

        Recherche le contenu vide à l'emplacement sélectionné.

        Correspond à l'expression régulière

        Recherche le contenu correspondant à l'expression régulière définie, à l'emplacement sélectionné.

        Ne correspond pas à l'expression régulière

        Recherche le contenu ne correspondant pas à l'expression régulière définie, à l'emplacement sélectionné.

        Correspond à n'importe quel mot

        Recherche le contenu correspondant à l'un des mots de la liste définie, à l'emplacement sélectionné.

        Correspond à tous les mots

        Recherche le contenu correspondant à tous les mots de la liste définie, à l'emplacement sélectionné.

      • Contenu : texte à mettre en correspondance

      Attributs de métadonnées et types de correspondance

      Attribut Type de correspondance Description

      Authentification du message

      • Le message est authentifié
      • Le message n'est pas authentifié

      Sélectionnez cette option pour inclure dans votre expression de conformité les messages qui sont (ou ne sont pas) authentifiés. Cette option est conforme à la norme DMARC. Le message est authentifié s'il passe le contrôle SPF ou DKIM avec succès. Dans le cas contraire, le message est considéré comme non authentifié. En savoir plus à propos de SPF, DKIM et DMARC.

      IP source

      • appartient à la plage suivante

      • n'appartient pas à la plage suivante

      Sélectionnez cette option pour inclure dans votre expression de conformité les messages qui appartiennent (ou n'appartiennent pas) à la plage d'adresses IP spécifiée.

      Protocole TLS

      • La connexion est chiffrée par TLS.

      • La connexion n'est pas chiffrée par TLS.

      Sélectionnez cette option pour inclure dans votre expression de conformité les messages qui sont (ou ne sont pas) chiffrés via le protocole TLS.

      Taille du message
      • a une taille exprimée en Mo supérieure à
      • a une taille exprimée en Mo inférieure à

      Sélectionnez cette option pour inclure dans votre expression de conformité les messages dont la taille est supérieure (ou inférieure) à la valeur spécifiée. Saisissez la taille du message en méga-octets dans le champ prévu à cet effet.

      Il s'agit de la taille brute du message entier, qui peut être jusqu'à 33 % supérieure à la taille originale du message et des pièces jointes en raison de la surcharge standard d'encodage.

      Chiffrement S/MIME

      • Message avec chiffrement S/MIME

      • Message sans chiffrement S/MIME

      Sélectionnez cette option pour inclure les messages qui sont (ou ne sont pas) signés S/MIME.

      Éditions compatibles avec cette fonctionnalité : Enterprise, Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education PlusComparer votre édition

      Avec signature S/MIME

      • Message avec signature S/MIME

        • Message sans signature S/MIME

      Sélectionnez cette option pour inclure les messages qui sont (ou ne sont pas) signés S/MIME.

      Éditions compatibles avec cette fonctionnalité : Enterprise, Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education PlusComparer votre édition

      Mode confidentiel de Gmail
      • Le message est en mode confidentiel de Gmail.
      • Le message n'est pas en mode confidentiel de Gmail.
      Sélectionnez cette option pour inclure les e-mails qui sont ou ne sont pas des messages en mode confidentiel de Gmail.
  9. Vérifiez que Exécuter le bac à sable de sécurité s'affiche en tant qu'action lorsque les expressions correspondent. Toute condition correspondante déclenche systématiquement l'analyse des pièces jointes dans le bac à sable de sécurité (Exécuter le bac à sable de sécurité).
  10. Si vous avez terminé la configuration de vos paramètres, cliquez sur Ajouter un paramètre ou sur Enregistrer, puis sur Enregistrer au bas de la page Paramètres avancés de Gmail. Vous pouvez également accéder à ces paramètres :

Mettre en quarantaine les pièces jointes malveillantes

Les logiciels malveillants détectés par le bac à sable de sécurité sont placés par défaut dans le dossier "Spam". Vous pouvez également faire en sorte que les pièces jointes qui en contiennent soient mises en quarantaine. Créez une règle de conformité du contenu à l'aide de l'attribut de métadonnées dédié au type spam.

Analyser les pièces jointes si les messages proviennent de listes d'adresses spécifiques

Vous pouvez définir des listes d'adresses comme critère d'application d'une règle de bac à sable de sécurité. Ces listes peuvent contenir des adresses e-mail et/ou des domaines.

Pour déterminer si une règle s'applique à une liste d'adresses, Gmail vérifie le champ "De" du message reçu et les destinataires du message envoyé. L'authentification des expéditeurs est également vérifiée Lorsque plusieurs listes sont définies, une adresse doit correspondre à au moins une liste pour qu'une règle s'applique.

Pour spécifier des listes d'adresses :

  1. Dans la zone Ajouter un paramètre ou Modifier le paramètre, cliquez sur Afficher les options. Pour savoir comment accéder à cette zone, consultez Analyser les pièces jointes si les messages correspondent à des règles spécifiques.

  2. Dans la zone Options, cochez l'option Utiliser des listes d'adresses pour ignorer ce paramètre ou contrôler son application.

  3. Sélectionnez une option :

    • Ignorer ce paramètre pour des adresses/domaines spécifiques : ignore la règle si la liste d'adresses correspond, quels que soient les autres critères spécifiés dans la règle.

    • Appliquer ce paramètre uniquement à des adresses/domaines spécifiques : la correspondance de la liste d'adresses devient une condition d'application de la règle. Les autres critères éventuellement définis pour la règle (expressions correspondantes, types de compte ou filtres d'enveloppes) doivent eux aussi être remplis.

  4. À côté de Aucune liste n'est utilisée pour l'instant, cliquez sur Utiliser une liste existante ou en créer une.

  5. Dans la zone Listes disponibles, effectuez l'une des actions suivantes :

    • Sélectionnez le nom d'une liste existante, puis cliquez sur Utiliser.

    • Saisissez le nom d'une nouvelle liste dans le champ Créer une liste, puis cliquez sur Créer.

  6. Pour ajouter des adresses e-mail ou des domaines à la liste :
    1. Placez le curseur sur le nom de la liste souhaitée, puis cliquez sur Modifier.
    2. Pour ajouter des adresses e-mail ou des domaines à la liste, cliquez sur Ajouter.
    3. Saisissez une adresse e-mail complète ou un nom de domaine complet, par exemple solarmora.com. Pour ajouter plusieurs adresses, séparez chaque adresse par une virgule ou une espace.
    4. Cochez la case Ne requiert pas l'authentification de l'expéditeur si vous souhaitez que la règle soit ignorée pour les expéditeurs approuvés qui n'ont pas défini d'authentication. Utilisez cette option avec prudence, car elle vous rend plus vulnérable au spoofing.
    5. Cliquez sur Enregistrer.
  7. Si la configuration de vos paramètres est terminée, cliquez sur Ajouter un paramètre au bas de la zone, puis sur Enregistrer au bas de la page Paramètres avancés Gmail. Sinon, consultez Types de compte concernés.

Analyser les pièces jointes provenant de types de compte spécifiques

Vous pouvez définir les types de compte comme critère d'application d'une règle de bac à sable de sécurité.

Utilisateurs est sélectionné par défaut, mais vous pouvez sélectionner plusieurs types. Si vous configurez un paramètre sortant, le type de compte doit correspondre à celui de l'expéditeur.

  1. Dans la zone Ajouter un paramètre ou Modifier le paramètre, cliquez sur Afficher les options. Pour savoir comment accéder à cette zone, consultez Analyser les pièces jointes si les messages correspondent à des règles spécifiques.
  2. Dans la zone Options, sélectionnez les paramètres souhaités pour Types de compte concernés :
    • Utilisateurs
    • Non reconnu/Collecteur
  3. Une fois toutes vos modifications apportées, cliquez sur Ajouter un paramètre ou sur Enregistrer, puis sur Enregistrer au bas de la page Paramètres avancés de Gmail. Dans le cas contraire, consultez Définissez un filtre d'enveloppes.
Analyser les pièces jointes envoyées par les expéditeurs, les destinataires et les groupes (filtre d'enveloppe)

Vous pouvez définir des informations concernant l'enveloppe de l'e-mail comme critère d'application des règles de bac à sable de sécurité. Il peut s'agir par exemple des adresses e-mail de l'expéditeur et du destinataire.

  1. Dans la zone Ajouter un paramètre ou Modifier le paramètre, cliquez sur Afficher les options. Pour savoir comment accéder à cette zone, consultez Analyser les pièces jointes si les messages correspondent à des règles spécifiques.
  2. Dans la zone Options, sélectionnez vos paramètres pour Filtre d'enveloppes : cochez l'option Appliquer uniquement à des expéditeurs d'enveloppe spécifiques, l'option Appliquer uniquement à des destinataires d'enveloppe spécifiques, ou les deux.
  3. Sélectionnez une option :
    • Une seule adresse e-mail : spécifiez un seul utilisateur en saisissant une adresse e-mail. Saisissez l'adresse e-mail complète, y compris le signe @ et le nom de domaine. La correspondance ne tient pas compte de la casse.

    • Correspondance de structure : saisissez une expression régulière pour spécifier un ensemble d'expéditeurs ou de destinataires appartenant à votre domaine (cliquez sur Tester l'expression pour vérifier que votre syntaxe est correcte). Par exemple, pour appliquer ce paramètre uniquement à trois utilisateurs spécifiques, saisissez la liste des utilisateurs en respectant la syntaxe d'expression régulière suivante :

      ^(?i)(utilisateur1@solarmora\.com|utilisateur2@solarmora\.com|utilisateur3@solarmora\.com)$

      Dans cette expression :

      • ^ désigne le début d'une nouvelle ligne.
      • (?i) rend l'expression non sensible à la casse ;
      • $ désigne la fin d'une ligne.

      Découvrez comment utiliser des expressions régulières.

    • Appartenance à un groupe : sélectionnez un ou plusieurs groupes dans la liste. Pour les expéditeurs de l'enveloppe, cette option ne concerne que les e-mails envoyés. Pour les destinataires de l'enveloppe, elle ne s'applique qu'aux e-mails reçus. Si ce n'est pas encore fait, vous devez tout d'abord créer le groupe.

  4. Cliquez sur Ajouter un paramètre ou Enregistrer au bas de la zone, puis sur Enregistrer au bas de la page Paramètres avancés Gmail

    Les pièces jointes sont analysées conformément aux règles spécifiées. Un délai maximal de 24 heures peut être nécessaire pour que ces modifications soient appliquées à tous les utilisateurs.

Afficher les rapports et les modifications apportées aux paramètres

Le rapport "Filtre antispam – Logiciels malveillants" indique le nombre de pièces jointes malveillantes identifiées. Il répertorie également tous les messages identifiés comme malveillants, mais n'affiche pas le nombre de pièces jointes analysées. Ce rapport est disponible dans le tableau de bord de sécurité Google Workspace.

Vous pouvez afficher les modifications apportées aux paramètres du bac à sable de sécurité dans le journal d'audit de la console d'administration

Informations supplémentaires

Bonnes pratiques à suivre pour accélérer le test des règles


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.

Recherche
Effacer la recherche
Fermer la recherche
Applications Google
Menu principal
Rechercher dans le centre d'aide
true
73010
false