Audit sécurité Microsoft 365 pour PME : méthode, points de contrôle et remédiation
28 juin 2026 · 14 min de lecture
Microsoft 365 est le système d'information de la majorité des PME françaises. Messagerie, collaboration, stockage, visioconférence — toute l'activité y transite. C'est aussi l'une des surfaces d'attaque les plus ciblées : compromissions de comptes Office 365, Business Email Compromise (BEC), exfiltration via SharePoint, ransomwares se propageant via OneDrive. Un audit de sécurité M365 régulier est devenu indispensable.
Pourquoi auditer la sécurité de Microsoft 365 ?
Les configurations par défaut de Microsoft 365 ne sont pas des configurations sécurisées. Microsoft fait le choix de la facilité d'utilisation lors du provisionnement d'un tenant. Résultat : de nombreuses PME opèrent avec des paramètres dangereux dont elles ignorent l'existence.
MFA non activé
40% des comptes M365 en PME n'ont pas de MFA activé (source Microsoft Security Intelligence)
Legacy authentication active
Les protocoles anciens (IMAP, POP3, SMTP basic auth) contournent les politiques MFA
Partage externe non contrôlé
SharePoint et OneDrive configurés pour permettre le partage avec n'importe qui via un lien
Audit logs désactivés
Sans logs d'audit, impossible de détecter une compromission ou de reconstituer un incident
Microsoft Secure Score : le point de départ
Le Secure Score est disponible dans le portail Microsoft Defender (security.microsoft.com). Il évalue votre configuration M365 sur 100 points et liste les actions de remédiation avec leur impact. C'est le point de départ de tout audit M365.
Un Secure Score inférieur à 50/100 est un signal d'alarme. La médiane des PME françaises se situe entre 35 et 55/100. Un Secure Score supérieur à 75/100 indique une configuration robuste. Attention : le Secure Score mesure la configuration, pas la maturité globale de la sécurité — il peut être élevé avec une mauvaise gestion des identités ou des alertes non traitées.
Actions Secure Score prioritaires
- • Activer MFA pour tous les administrateurs (+9 points)
- • Activer MFA pour tous les utilisateurs (+8 points)
- • Bloquer l'authentification héritée (+7 points)
- • Activer Microsoft Defender pour Office 365 (+6 points)
- • Restreindre le partage externe SharePoint (+5 points)
Les 8 domaines à auditer dans Microsoft 365
1. Microsoft Entra ID (Azure AD) — Gestion des identités
- MFA activé pour tous les comptes (y compris les comptes de service)
- Conditional Access : politiques de blocage des pays à risque, des appareils non-conformes, des connexions hors horaires
- Suppression des comptes inactifs (ex-employés) — vérifier tous les comptes non connectés depuis plus de 90 jours
- Revue des rôles administrateurs : pas plus de 2-5 Global Admins, rôles délégués au minimum nécessaire
- Privileged Identity Management (PIM) : élévation des droits à la demande pour les rôles sensibles
- Activation de la protection de l'identité (Identity Protection) pour détecter les connexions à risque
- Blocage de l'authentification héritée (legacy authentication) via Conditional Access
2. Exchange Online — Messagerie
- SPF, DKIM et DMARC correctement configurés pour votre domaine (protection anti-usurpation)
- Microsoft Defender for Office 365 : anti-phishing, anti-malware, Safe Links, Safe Attachments
- Règles de flux de messagerie (transport rules) : pas de règles de redirection automatique vers des adresses externes
- Audit des accès mailbox par des applications tierces (OAuth apps)
- Désactivation de l'IMAP/POP3 si non utilisé
- Journalisation des connexions et actions sur les boîtes mail (Audit Logging)
3. SharePoint Online et OneDrive — Stockage et collaboration
- Paramètres de partage externe : interdire "Anyone with a link" pour les données sensibles
- Durée d'expiration des liens de partage externe (recommandé : 30 jours max)
- Sensitivity labels (étiquettes de confidentialité) : classification des documents
- Alertes sur les téléchargements massifs (exfiltration potentielle)
- Audit des sites SharePoint et des accès externes
4. Microsoft Teams — Collaboration
- Politique de création de Teams : limiter la création aux administrateurs pour éviter la prolifération
- Accès invités (guest access) : auditer les invités actifs et supprimer les accès obsolètes
- Canaux externes : restreindre la fédération aux domaines partenaires connus
- Enregistrement des réunions : politique de rétention et stockage
5. Microsoft Purview — DLP et conformité
- Politiques DLP (Data Loss Prevention) : détecter et bloquer l'envoi de données sensibles (IBAN, numéros de carte, données de santé, RIB)
- Étiquettes de rétention : automatiser la conservation et la suppression des données selon les obligations RGPD
- eDiscovery et audit : capacité à rechercher et exporter des données en cas d'incident
- Compliance Manager : tableau de bord de conformité RGPD, NIS2, ISO 27001
6. Appareils et endpoints — Intune/Defender
- Microsoft Intune : MDM/MAM — les appareils accédant à M365 doivent être enrôlés et conformes
- Microsoft Defender for Endpoint : EDR sur tous les postes Windows
- Conditional Access lié à la conformité des appareils : bloquer l'accès aux appareils non-gérés
- Chiffrement BitLocker activé sur tous les postes Windows
7. Applications tierces (OAuth) — Risque de Shadow IT
- Inventaire de toutes les applications OAuth connectées à votre tenant M365 (via Entra ID → Enterprise Applications)
- Audit des permissions accordées : beaucoup d'apps demandent "Read all mail" ou "Full access to files"
- Politique de consentement : désactiver le consentement utilisateur autonome, passer par un workflow d'approbation admin
- Suppression des applications non utilisées ou non approuvées
8. Logging et supervision — Microsoft Sentinel
- Unified Audit Log activé (obligatoire, vérifier qu'il est bien activé et la durée de rétention)
- Alertes sur les activités suspectes : connexions depuis des pays à risque, suppression massive de fichiers, création de règles de redirection mail
- Microsoft Sentinel (SIEM cloud) : pour les PME ayant besoin d'une supervision centralisée
- Intégration avec le SOC managé si disponible
Checklist d'audit M365 en 20 points
MFA activé pour 100% des comptes (utilisateurs et admins)
Authentification héritée bloquée (Conditional Access)
SPF, DKIM, DMARC configurés et valides
Defender for Office 365 activé (Safe Links + Safe Attachments)
Comptes inactifs (>90 jours) identifiés et désactivés
Nombre de Global Admins ≤ 5, comptes dédiés (non utilisés pour le mail)
PIM (Privileged Identity Management) activé pour les rôles sensibles
Partage externe SharePoint/OneDrive restreint (pas de lien anonyme pour données sensibles)
Expiration des liens de partage externe configurée
Politiques DLP actives pour détecter les données sensibles
Étiquettes de confidentialité déployées
Inventaire des applications OAuth et révocation des accès non nécessaires
Unified Audit Log activé (rétention ≥ 90 jours, 1 an recommandé avec E3/E5)
Alertes de sécurité configurées dans Microsoft Defender
Politique de création de Teams contrôlée
Accès invités Teams audités et nettoyés
Microsoft Intune : appareils enrôlés et conformes
Conditional Access lié à la conformité des appareils
Chiffrement BitLocker activé sur les postes Windows
Procédure de réponse aux incidents M365 documentée
Licences M365 et niveau de sécurité
Le niveau de sécurité atteignable dans M365 dépend largement de la licence. Voici un aperçu :
| Licence | Fonctionnalités sécurité incluses | Manquant |
|---|---|---|
| Microsoft 365 Business Basic | MFA, Entra ID basique, Exchange Online Protection | Defender for Office 365, DLP, Intune, Conditional Access avancé |
| Microsoft 365 Business Premium | + Defender for Business, Intune, Conditional Access, DLP basique, Azure AD P1 | Defender for Endpoint P2, PIM, Identity Protection, Sentinel |
| Microsoft 365 E3 | + Azure AD P1, DLP complet, Purview basique, eDiscovery | Defender for Endpoint P2, PIM, Sentinel (add-on), CASB |
| Microsoft 365 E5 | + Defender for Office P2, Azure AD P2 (PIM, Identity Protection), Sentinel inclus, CASB (Defender for Cloud Apps) | — |
Recommandation pour les PME : Microsoft 365 Business Premium (environ 20-22 €/utilisateur/mois) offre le meilleur rapport sécurité/prix pour les entreprises de moins de 300 utilisateurs. Il inclut Intune, Conditional Access et Defender for Business, qui couvrent 80% des besoins de sécurité d'une PME.
Conformité NIS2 et RGPD via Microsoft 365
Un tenant M365 correctement configuré peut couvrir une partie significative des obligations NIS2 et RGPD :
- NIS2 article 21 — Mesures de sécurité : MFA, chiffrement (BitLocker, TLS), gestion des accès (Entra ID), journalisation (Unified Audit Log), continuité (Exchange Online SLA 99,9%)
- NIS2 — Détection : Defender XDR, Microsoft Sentinel pour la détection des incidents
- RGPD article 32 — Sécurité des traitements : Chiffrement au repos et en transit, contrôle d'accès, pseudonymisation possible via Purview, logs pour la traçabilité
- RGPD — Durées de conservation : Étiquettes de rétention Purview pour automatiser la suppression des données
- RGPD — DPO et documentation : Compliance Manager fournit un tableau de bord de conformité RGPD
Important : M365 est un outil, pas une conformité clé en main. Microsoft est sous-traitant au sens RGPD : vous devez signer un DPA (Data Processing Agreement) avec Microsoft, documenter les transferts hors UE et configurer les paramètres de résidence des données. Les fonctionnalités de sécurité de M365 doivent être activées et configurées — elles ne le sont pas par défaut.
Comment réaliser un audit M365 : approche en 5 étapes
- 1. Inventaire et Secure Score : Récupérer le Secure Score actuel, inventorier les licences, les utilisateurs, les rôles administrateurs et les applications OAuth connectées.
- 2. Audit des identités : Revue des comptes Entra ID, vérification du MFA, audit des Conditional Access policies, identification des comptes inactifs et des droits excessifs.
- 3. Audit de la messagerie : Vérification SPF/DKIM/DMARC, configuration Exchange Online Protection et Defender for Office 365, règles de transport suspectes.
- 4. Audit de la collaboration : Paramètres de partage SharePoint/OneDrive, gouvernance Teams, accès invités, applications tierces.
- 5. Rapport et remédiation : Rapport des écarts avec score de risque, plan de remédiation priorisé, recommandations de licence si nécessaire, suivi du Secure Score post-remédiation.
Audit Microsoft 365 par nos experts certifiés
CyberSecure réalise des audits complets de sécurité Microsoft 365 pour les PME : revue des identités Entra ID, configuration Defender, conformité NIS2 et RGPD, rapport détaillé et plan de remédiation. Nos experts sont certifiés Microsoft Security. Devis gratuit sous 48h.