Configurer des règles de détection des pièces jointes dangereuses

Bac à sable de sécurité

Cette fonctionnalité est uniquement disponible dans G Suite Enterprise et G Suite Enterprise for Education.

Les pièces jointes aux e-mails peuvent contenir des logiciels malveillants que les programmes antivirus traditionnels risquent d'ignorer. Pour identifier ces menaces, Gmail peut analyser ou exécuter des pièces jointes dans un environnement virtuel appelé bac à sable de sécurité. Les pièces jointes identifiées comme étant des menaces peuvent être placées dans le dossier "Spam" des utilisateurs, ou mises en quarantaine.

En tant qu'administrateur, vous pouvez configurer Gmail de sorte qu'il analyse tous les types de pièces jointes compatibles dans le bac à sable de sécurité. Vous pouvez également spécifier des règles d'analyse des pièces jointes, ou configurer des règles de conformité du contenu pour gérer les pièces jointes malveillantes.

Les types de fichiers analysés dans le bac à sable de sécurité incluent les fichiers exécutables Microsoft Windows, les fichiers Microsoft Office et les fichiers PDF.

À propos des règles du bac à sable de sécurité et des autres analyses

Vous pouvez créer des règles pour préciser les pièces jointes à analyser dans le bac à sable de sécurité. Vous pouvez par exemple créer des règles qui analysent les pièces jointes uniquement dans les cas suivants :

  • Les messages comportent un contenu spécifique, par exemple le mot facture.
  • Les messages proviennent de certains utilisateurs.
  • Les messages sont envoyés en dehors d'un domaine spécifié.
  • Les adresses des messages correspondent à certaines structures.

Fonctionnement des analyses du bac à sable de sécurité avec d'autres analyses

Les analyses du bac à sable de sécurité s'exécutent indépendamment des autres analyses de conformité et de prédistribution. Vos analyses de conformité du contenu peuvent par exemple rechercher des informations personnelles, telles que des numéros de carte de crédit. Il se peut que les analyses de conformité des pièces jointes bloquent ces pièces jointes si elles sont d'un type ou d'une taille spécifiques. Gmail exécute ces analyses de conformité et de prédistribution indépendamment des analyses du bac à sable de sécurité. 

Remarque : Les pièces jointes aux e-mails qui sont bloquées par les règles de conformité et les analyses de prédistribution ne sont pas analysées par le bac à sable de sécurité.  

Pour en savoir plus, consultez les pages suivantes :

Retard du message

Analyser des pièces jointes dans le bac à sable de sécurité peut retarder l'envoi et la réception de certains messages jusqu'à 3 minutes. Il s'agit du temps maximal nécessaire pour analyser une pièce jointe et déterminer si elle est dangereuse. Certaines analyses peuvent être plus rapides.
Rechercher les paramètres du bac à sable de sécurité
  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Applications puis G Suite puis Gmail puis Paramètres avancés.

    Conseil : Pour voir l'option "Paramètres avancés", faites défiler la page des paramètres de Gmail vers le bas.

  3. Dans l'onglet Paramètres généraux, sélectionnez une organisation parente ou enfant.
  4. Faites défiler la page jusqu'au bac à sable de sécurité, dans la section Spam, hameçonnage et logiciels malveillants. Les règles relatives au bac à sable de sécurité s'affichent au bas de cette section.
Analyser toutes les pièces jointes du bac à sable de sécurité

En tant qu'administrateur, vous pouvez configurer Gmail de sorte qu'il analyse toutes les pièces jointes, y compris celles provenant de votre domaine et de domaines externes. 

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Applications puis G Suite puis Gmail puis Paramètres avancés.

    Conseil : Pour voir l'option "Paramètres avancés", faites défiler la page des paramètres de Gmail vers le bas.

  3. Dans l'onglet Paramètres généraux, sélectionnez votre organisation parente ou une unité organisationnelle :
    • Les paramètres de bac à sable de l'organisation parente s'appliquent à toutes les unités organisationnelles.
    • Les paramètres de bac à sable au niveau de l'unité organisationnelle prévalent sur les paramètres de l'organisation parente.
  4. Faites défiler la page jusqu'au bac à sable de sécurité, dans la section Spam, hameçonnage et logiciels malveillants. Les règles relatives au bac à sable de sécurité s'affichent au bas de cette section.
  5. Pour analyser toutes les pièces jointes, cochez l'option Activer l'exécution virtuelle des pièces jointes dans un environnement de bac à sable.

    Remarque : Lorsque cette option est cochée, toutes les pièces jointes sont analysées dans le bac à sable de sécurité, quelles que soient les règles associées spécifiées.
     
  6. Cliquez sur Enregistrer au bas de la page. 

    Remarque : Un délai d'une heure peut être nécessaire pour que vos modifications soient appliquées.
Analyser les pièces jointes uniquement si les messages correspondent à des règles spécifiques

Les règles que vous spécifiez permettent d'identifier les e-mails dont les pièces jointes seront analysées.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Applications puis G Suite puis Gmail puis Paramètres avancés.

    Conseil : Pour voir l'option "Paramètres avancés", faites défiler la page des paramètres de Gmail vers le bas.

  3. Dans l'onglet Paramètres généraux, sélectionnez l'organisation racine. Les paramètres du bac à sable de sécurité sont disponibles uniquement au niveau de l'organisation parente et s'appliquent à toutes les organisations enfants.
  4. Dans la section Spam, hameçonnage et logiciels malveillants située en dessous du bac à sable de sécurité, décochez l'option Activer l'exécution virtuelle des pièces jointes dans un environnement de bac à sable. Lorsque cette option est décochée, les pièces jointes sont analysées dans le bac à sable uniquement si elles correspondent aux règles de ce dernier.

  5. Placez le curseur sur Règles du bac à sable de sécurité au bas de la section Spam, hameçonnage et logiciels malveillants, puis cliquez sur Configurer.

  6. Dans la zone Ajouter un paramètre, située en dessous de Règles du bac à sable de sécurité, saisissez un nom de règle. Ce nom apparaît sur la page des paramètres.

  7. Dans la section E-mails concernés, cochez les cases correspondant aux types de messages :

    • Entrant : messages envoyés à votre organisation depuis des domaines externes

    • Interne – réception : messages envoyés et reçus au sein des domaines et sous-domaines de votre organisation 

  8. Dans la section Ajouter les expressions qui décrivent le contenu à rechercher dans chaque message, effectuez les actions suivantes :

    1. Indiquez si vous souhaitez associer l'une des expressions, ou toutes. Par exemple, si vous sélectionnez Si l'UN des éléments suivants correspond au message, toute condition correspondante déclenche une analyse des pièces jointes dans le bac à sable de sécurité.

    2. Dans la zone Expressions, cliquez sur Ajouter.

    3. Dans la liste, choisissez ce que vous souhaitez spécifier pour l'expression, puis cliquez sur Enregistrer.

      • Correspondance de contenu simple : permet d'obtenir une correspondance avec le contenu que vous spécifiez. L'option "Correspondance de contenu simple" fonctionne de la même manière que la fonction de recherche dans Gmail. Par exemple, si vous recherchez bon de commande, toute chaîne contenant les termes bon et commande est renvoyée. Pour en savoir plus, consultez l'article Opérateurs de recherche compatibles avec Gmail.

      • Correspondance de contenu avancée : sélectionnez l'emplacement du texte dans le message et le type de correspondance, puis saisissez le contenu à rechercher. Contrairement à la correspondance de contenu simple, la chaîne doit être une correspondance exacte. Vous trouverez dans les tableaux ci-dessous une description de chacune des options proposées sous "Emplacement" et "Type de correspondance". Consultez la section Options de correspondance de contenu avancée.

      • Correspondance avec les métadonnées : sélectionnez l'attribut à rechercher et le type de correspondance. Si nécessaire, saisissez la valeur de correspondance. Vous trouverez dans le tableau ci-dessous une description des attributs de métadonnées et des types de correspondance associés. Pour en savoir plus, consultez la section Attributs de métadonnées et types de correspondance.

      • Correspondance de contenu prédéfini : choisissez l'un des détecteurs de contenu prédéfinis (Numéro de carte de crédit ou Numéro de sécurité sociale, par exemple). Vous pouvez également définir combien de fois le détecteur doit apparaître dans un message pour déclencher l'action définie, ou déclencher une analyse si le détecteur figurant dans le message atteint un seuil de confiance. Pour en savoir plus, consultez l'article Analyser le trafic de messagerie avec la protection contre la perte de donnéesCette fonctionnalité est disponible dans les éditions G Suite Business et G Suite Enterprise. Comparer les éditions

      Options de correspondance de contenu avancée

      • Emplacement : section de l'e-mail dans laquelle apparaît le contenu 

        Type d'emplacement Description
        En-têtes + corps En-têtes complets et corps du message. Pièces jointes (parties MIME encodées) incluses.
        En-têtes complets Tous les champs d'en-tête. Corps du message et pièces jointes exclus.
        Corps Partie principale du texte de l'e-mail. Pièces jointes (parties MIME encodées) incluses.
        Objet Objet du message tel que présenté dans l'en-tête.
        En-tête expéditeur

        Adresse e-mail de l'expéditeur telle que présentée dans l'en-tête "De". Elle peut être différente de celle de l'expéditeur indiquée dans Expéditeur de l'enveloppe.

        L'en-tête expéditeur contient l'adresse e-mail, placée entre chevrons, mais pas le nom du compte.

        Dans l'exemple ci-dessous :

        De : Jeanne Dupont <jdupont@example.com>

        L'en-tête expéditeur est jdupont@example.com.

        Remarque : La partie gauche des adresses @gmail.com et @googlemail.com est convertie au format canonique. Par exemple, jeanne.dupont@gmail.com devient jeannedupont@gmail.com.

        En-tête destinataires

        Adresses e-mail du ou des destinataires telles que présentées dans les en-têtes de l'e-mail (À, Cc et Cci). Peuvent être différentes de celles indiquées dans Tout destinataire de l'enveloppe.

        Cette option ne compare qu'un seul destinataire à la fois. S'il y a plusieurs destinataires, la règle de contenu avancée n'établit pas les correspondances avec tous les destinataires en un seul passage. Pour définir une règle pour les messages envoyés à plusieurs utilisateurs, utilisez "En-têtes complets".

        L'en-tête destinataires contient l'adresse e-mail, placée entre chevrons, mais pas le nom du compte.

        Dans l'exemple ci-dessous :

        À : Jeanne Dupont <jdupont@example.com>
        Cc : Jean Dupont <jeandupont@example.com> Cci : Jean Durand <jdurand@example.com>

        Les en-têtes destinataires sont jdupont@example.com, jeandupont@example.com et jdurand@example.com.

        Expéditeur de l'enveloppe Expéditeur d'origine indiqué lors de la requête de communication SMTP. Il peut être différent de celui indiqué dans En-tête expéditeur. Cette adresse correspond souvent à celle de l'en-tête "Return-path", mais pas toujours.
        Tout destinataire de l'enveloppe

        Destinataire ou destinataires indiqués lors de la requête de communication SMTP. Ils peuvent être différents de ceux indiqués En-tête destinataire. Ces adresses peuvent inclure des personnes ajoutées à l'occasion d'un agrandissement de groupe.

        Cette option ne compare qu'un seul destinataire à la fois. S'il y a plusieurs destinataires, la règle de contenu avancée n'établit pas les correspondances avec tous les destinataires en un seul passage.

        Message brut En-têtes complets et corps, y compris toutes les pièces jointes et autres parties MIME du message. Les parties MIME ne sont pas décodées. Cela équivaut aux octets d'un message RFC-2822.
      • Type de correspondance : paramètres permettant de déterminer une correspondance
        Type de correspondance Description

        Commence par

        Recherche le contenu commençant par le caractère ou la chaîne définis, à l'emplacement sélectionné.

        Se termine par

        Recherche le contenu se terminant par le caractère ou la chaîne définis, à l'emplacement sélectionné.

        Contient le texte

        Recherche le contenu comprenant la chaîne définie, à l'emplacement sélectionné.

        Ne contient pas de texte

        Recherche le contenu ne comprenant pas la chaîne définie, à l'emplacement sélectionné.

        Égal à

        Recherche le contenu correspondant exactement à la chaîne définie, à l'emplacement sélectionné.

        Est vide

        Recherche le contenu vide à l'emplacement sélectionné.

        Correspond à l'expression régulière

        Recherche le contenu correspondant à l'expression régulière définie, à l'emplacement sélectionné. Reportez-vous à la section "À propos de la correspondance d'expression régulière" ci-dessous.

        Ne correspond pas à l'expression régulière

        Recherche le contenu ne correspondant pas à l'expression régulière définie, à l'emplacement sélectionné. Reportez-vous à la section "À propos de la correspondance d'expression régulière" ci-dessous.

        Correspond à n'importe quel mot

        Recherche le contenu correspondant à l'un des mots de la liste définie, à l'emplacement sélectionné.

        Correspond à tous les mots

        Recherche le contenu correspondant à tous les mots de la liste définie, à l'emplacement sélectionné.

      • Contenu : texte à mettre en correspondance

      Attributs de métadonnées et types de correspondance

      Attribut Type de correspondance Description

      Authentification du message

      • Le message est authentifié.
      • Le message n'est pas authentifié.

      Sélectionnez cette option pour inclure dans votre expression de conformité les messages qui sont (ou ne sont pas) authentifiés.

      Conforme à la norme DMARC. Le message est authentifié 1) si le contrôle SPF est concluant et si le domaine de l'expéditeur de l'enveloppe correspond au domaine indiqué dans l'en-tête De, ou 2) si le contrôle DKIM est concluant pour le domaine indiqué dans l'en-tête De. Dans le cas contraire, le message est considéré comme non authentifié.

      IP source

      • appartient à la plage suivante

      • n'appartient pas à la plage suivante

      Sélectionnez cette option pour inclure dans votre expression de conformité les messages qui appartiennent (ou n'appartiennent pas) à la plage d'adresses IP spécifiée. Saisissez la plage en question dans le champ prévu à cet effet.

      Protocole TLS

      • La connexion est chiffrée par TLS.

      • La connexion n'est pas chiffrée par TLS.

      Sélectionnez cette option pour inclure dans votre expression de conformité les messages qui sont (ou ne sont pas) chiffrés via le protocole TLS.

      Taille du message
      • a une taille exprimée en Mo supérieure à
      • a une taille exprimée en Mo inférieure à

      Sélectionnez cette option pour inclure dans votre expression de conformité les messages dont la taille est supérieure (ou inférieure) à la valeur spécifiée. Saisissez la taille de message en méga-octets dans le champ prévu à cet effet.

      Remarque : Il s'agit de la taille brute du message entier, qui peut être jusqu'à 33 % supérieure à la taille native du message et des pièces jointes en raison d'une surcharge d'encodage normale.

      Chiffrement S/MIME

      • Message avec chiffrement S/MIME

      • Message sans chiffrement S/MIME

      Sélectionnez cette option pour inclure les messages qui sont (ou ne sont pas) signés S/MIME.

      Cette fonctionnalité est uniquement disponible dans G Suite Enterprise et G Suite Enterprise for Education.

      Avec signature S/MIME

      • Message avec signature S/MIME

        • Message sans signature S/MIME

      Sélectionnez cette option pour inclure les messages qui sont (ou ne sont pas) signés S/MIME.

      Cette fonctionnalité est uniquement disponible dans G Suite Enterprise et G Suite Enterprise for Education.

      Mode confidentiel de Gmail
      • Le message est en mode confidentiel de Gmail.
      • Le message n'est pas en mode confidentiel de Gmail.
      Sélectionnez cette option pour inclure les e-mails qui sont ou ne sont pas des messages en mode confidentiel de Gmail.
  9. Vérifiez que Exécuter le bac à sable de sécurité s'affiche en tant qu'action à exécuter si les expressions correspondent. Toute condition correspondante déclenche systématiquement l'analyse des pièces jointes dans le bac à sable de sécurité (Exécuter le bac à sable de sécurité).
  10. Si la configuration de vos paramètres est terminée, cliquez sur Ajouter un paramètre ou Enregistrer au bas de la section, puis sur Enregistrer au bas de la page Paramètres avancés Gmail. Vous pouvez également consulter les paramètres supplémentaires suivants :

Mettre en quarantaine les pièces jointes malveillantes

Les logiciels malveillants détectés par le bac à sable de sécurité sont placés par défaut dans le dossier "Spam". Sinon, vous pouvez faire en sorte que les pièces jointes qui en contiennent soient mises en quarantaine.  Créez une règle de conformité du contenu à l'aide de l'attribut de métadonnées dédié au type spam.

Analyser les pièces jointes si les messages proviennent de listes d'adresses spécifiques

Vous pouvez définir des listes d'adresses comme critère d'application d'une règle de bac à sable de sécurité. Ces listes peuvent contenir des adresses e-mail et/ou des domaines.

Pour déterminer si une règle s'applique à une liste d'adresses, Gmail vérifie le champ "De" du message reçu et les destinataires du message envoyé. L'authentification des expéditeurs est également vérifiée Lorsque plusieurs listes sont définies, une adresse doit correspondre à au moins une liste pour qu'une règle s'applique.

Pour spécifier des listes d'adresses :

  1. Dans la zone Ajouter ou Modifier le paramètre, cliquez sur Afficher les options. Pour savoir comment accéder à cette zone, consultez la section Analyser les pièces jointes si les messages correspondent à des règles spécifiques

  2. Dans la zone Options, cochez l'option Utiliser des listes d'adresses pour ignorer ce paramètre ou contrôler son application.

  3. Sélectionnez une option :

    • Ignorer ce paramètre pour des adresses/domaines spécifiques : ignore la règle si la liste d'adresses correspond, quels que soient les autres critères spécifiés dans la règle.

    • Appliquer ce paramètre uniquement à des adresses/domaines spécifiques : la correspondance de la liste d'adresses devient une condition d'application de la règle. Les autres critères éventuellement définis pour la règle (expressions correspondantes, types de compte ou filtres d'enveloppes, par exemple) doivent eux aussi être remplis.

  4. À côté de Aucune liste n'est utilisée pour l'instant, cliquez sur Utiliser une liste existante ou en créer une.

  5. Dans la zone Listes disponibles, effectuez l'une des actions suivantes :

    • Sélectionnez le nom d'une liste existante, puis cliquez sur Utiliser.

    • Saisissez le nom d'une nouvelle liste dans le champ Créer une liste, puis cliquez sur Créer.

  6. Pour ajouter des adresses e-mail ou des domaines à la liste, procédez comme suit :
    1. Passez la souris sur le nom de la liste, puis cliquez sur Modifier.
    2. Pour ajouter des adresses e-mail ou des domaines à la liste, cliquez sur Ajouter.
    3. Saisissez une adresse e-mail complète ou un nom de domaine complet, par exemple solarmora.com. Pour ajouter plusieurs adresses, séparez chaque adresse par une virgule ou une espace.
    4. Cochez l'option Ne requiert pas l'authentification de l'expéditeur pour contourner la règle pour les expéditeurs approuvés qui n'ont pas activé de système d'authentification tel que SPF ou DKIM. Utilisez cette option avec circonspection, car elle vous rend plus vulnérable aux usurpations d'adresse (spoofing).
    5. Cliquez sur Enregistrer.
  7. Si la configuration de vos paramètres est terminée, cliquez sur Ajouter un paramètre au bas de la zone, puis sur Enregistrer au bas de la page Paramètres avancés Gmail. Dans le cas contraire, consultez la section Types de comptes concernés.

Analyser les pièces jointes provenant de types de compte spécifiques

Vous pouvez définir les types de compte comme critère d'application d'une règle de bac à sable de sécurité.

Utilisateurs est sélectionné par défaut, mais vous pouvez sélectionner plusieurs types. Si vous configurez un paramètre sortant, le type de compte doit correspondre à celui de l'expéditeur.

  1. Dans la zone Ajouter ou Modifier le paramètre, cliquez sur Afficher les options. Pour savoir comment accéder à cette zone, consultez la section Analyser les pièces jointes si les messages correspondent à des règles spécifiques
  2. Dans la zone Options, sélectionnez les paramètres souhaités pour Types de compte concernés :
    • Utilisateurs
    • Non reconnu/Collecteur
  3. Si vos modifications sont terminées, cliquez sur Ajouter un paramètre ou Enregistrer au bas de la zone, puis sur Enregistrer au bas de la page Paramètres avancés Gmail. Dans le cas contraire, consultez la section Analyser les pièces jointes envoyées par les expéditeurs, les destinataires et les groupes (filtre d'enveloppe).
Analyser les pièces jointes envoyées par les expéditeurs, les destinataires et les groupes (filtre d'enveloppe)

Vous pouvez définir des informations concernant l'enveloppe de l'e-mail, telles que l'expéditeur ou le destinataire, comme critère d'application des règles de bac à sable de sécurité. 

  1. Dans la zone Ajouter ou Modifier le paramètre, cliquez sur Afficher les options. Pour savoir comment accéder à cette zone, consultez la section Analyser les pièces jointes si les messages correspondent à des règles spécifiques
  2. Dans la zone Options, sélectionnez vos paramètres pour Filtre d'enveloppes : cochez l'option Appliquer uniquement à des expéditeurs d'enveloppe spécifiques, l'option Appliquer uniquement à des destinataires d'enveloppe spécifiques, ou les deux.
  3. Dans la liste déroulante, sélectionnez l'une des options suivantes :
    • Une seule adresse e-mail : spécifiez un seul utilisateur en saisissant une adresse e-mail. Saisissez l'adresse e-mail complète, y compris le signe @ et le nom de domaine. La correspondance ne tient pas compte de la casse.

    • Correspondance de structure : saisissez une expression régulière pour spécifier un ensemble d'expéditeurs ou de destinataires appartenant à votre domaine (cliquez sur Tester l'expression pour vérifier que votre syntaxe est correcte). Par exemple, pour vous assurer que le paramètre s'applique bien à trois utilisateurs spécifiques, saisissez la liste des utilisateurs concernés en respectant la syntaxe d'expression régulière suivante :

      ^(?i)(utilisateur1@solarmora\.com|utilisateur2@solarmora\.com|utilisateur3@solarmora\.com)$

      Dans cette expression :

      • ^ désigne le début d'une nouvelle ligne ;
      • (?i) rend l'expression non sensible à la casse ;
      • $ désigne la fin d'une ligne.

      Découvrez comment utiliser des expressions régulières.

    • Appartenance à un groupe : sélectionnez un ou plusieurs groupes dans la liste. Pour les expéditeurs de l'enveloppe, cette option ne concerne que les e-mails envoyés. Pour les destinataires de l'enveloppe, elle ne s'applique qu'aux e-mails reçus. Si ce n'est pas encore fait, vous devez tout d'abord créer le groupe.

  4. Cliquez sur Ajouter un paramètre ou Enregistrer au bas de la zone, puis sur Enregistrer au bas de la page Paramètres avancés Gmail. 

    Les pièces jointes sont analysées conformément aux règles spécifiées. Un délai d'une heure peut être nécessaire pour que les modifications soient appliquées aux comptes utilisateur.

Afficher les rapports et les modifications apportées aux paramètres

Le rapport "Filtre antispam – Logiciels malveillants" indique le nombre de pièces jointes malveillantes identifiées. Il répertorie également tous les messages identifiés comme malveillants, mais n'affiche pas le nombre de pièces jointes analysées. Ce rapport est disponible dans le tableau de bord de sécurité G Suite.

Vous pouvez afficher les modifications apportées aux paramètres du bac à sable de sécurité dans le journal d'audit de la console d'administration

Informations supplémentaires

Bonnes pratiques à suivre pour accélérer le test des règles

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?