Protection 🔄 Stopper les injections malveillantes dans Power Automate

[Sylvain*]

Stopper les injections malveillantes dans Power Automate

Introduction

Power Automate permet d’automatiser des flux d’actions sur Microsoft 365. Un acteur malveillant peut injecter du contenu dans ces workflows pour exfiltrer des données envoyer des mails internes ou pivoter vers d’autres services connectés.

---

Prérequis

• Connaissance de Power Platform Power Automate et Connecteurs M365

• Accès au Centre d’administration Power Platform et Compliance Microsoft 365

• Maîtrise des DLP Policies et Cloud App Security

---

Niveau de difficulté

• Étape #1 : Identifier les flux à risque ou partagés

• Étape #2 : Appliquer des restrictions sur les connecteurs sensibles

• Étape #3 : Désactiver les flux partagés ou publics

• Étape #4 : Surveiller les déclenchements automatiques suspects

• Étape #5 : Appliquer une politique DLP de cloisonnement

---

Les Avantages

• Étape #1 : Cartographie des flux automatisés internes

• Étape #2 : Blocage des connecteurs à risque

• Étape #3 : Réduction de la surface d’exposition

• Étape #4 : Alerte en cas d’activité anormale

• Étape #5 : Conformité aux standards de sécurité M365

---

Les Inconvénients

• Étape #1 : Visibilité partielle sans licences premium

• Étape #2 : Nécessite une analyse manuelle des usages

• Étape #3 : Impact sur des flux métiers légitimes

• Étape #4 : Nécessite Defender for Cloud Apps

• Étape #5 : Politique DLP parfois complexe à maintenir

---

Étape #1

Accéder au

Centre Power Platform Admin

Lister tous les

environnements + Flows actifs

Rechercher les flux possédant des déclencheurs

When an item is created

ou

HTTP request received

Vérifier si les flux sont personnels publics ou partagés

---

Étape #2

Aller dans

Power Platform Admin > Data Policies

Créer une

politique DLP

interdisant les connecteurs sensibles

Classer

Outlook Gmail HTTP SharePoint Dropbox

comme connecteurs à bloquer

Appliquer la politique à tous les environnements de production

---

Étape #3

Lister les flux avec

Shared with others

Supprimer les droits d’accès à tous les contributeurs non validés

Désactiver les

Solutions Environment Flows

inutiles

Imposer une validation administrative pour tout nouveau partage

---

Étape #4

Activer l’intégration avec

Defender for Cloud Apps

Créer une alerte sur l’utilisation de

HTTP triggers

Surveiller les actions

Send email

en masse

Corréler les données avec les logs

Unified Audit

de Microsoft 365

---

Étape #5

Mettre en place une DLP séparant les connecteurs

Business

et

Non Business

Bloquer tout flux combinant des connecteurs de types différents

Désactiver la création de nouveaux environnements personnels

Appliquer une stratégie d’audit de tous les changements de DLP

---

Astuce

Utilisez

Get Admin Flow PowerShell

pour identifier les flux à fort risque créés sans validation

---

Mise en garde

Un flux Power Automate malveillant peut exfiltrer des données via un connecteur HTTP ou cloud. Toute connexion à un service externe doit être bloquée par DLP

---

Conseil

Imposez l’approbation administrative avant toute exécution de flux contenant des actions critiques comme

Send mail

ou

Create item

---

Solutions alternatives

• power automate flux malveillant détection

• politique dlp power platform sécurité

• securiser connecteurs power automate

---

Références utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

Power Automate peut être exploité comme vecteur de persistance ou de fuite s’il n’est pas correctement surveillé. Grâce aux politiques DLP surveillance des flux et restrictions sur les connecteurs vous limitez les capacités d’injection et sécurisez vos automatismes.