Retour aux actualités
    Guide

    Sécuriser Microsoft 365 : guide complet pour les PME

    Microsoft 365 héberge aujourd'hui les emails, fichiers, échanges Teams et données les plus sensibles de plus de 90 % des PME françaises. Pourtant, une étude Vectra AI montre que 72 % des compromissions cloud en 2024 visaient un tenant Microsoft 365 mal configuré. Ce guide rassemble les 15 mesures techniques indispensables pour sécuriser votre environnement Microsoft 365, sans nécessiter de licence Enterprise E5.

    Pourquoi Microsoft 365 est-il une cible prioritaire ?

    Un compte Microsoft 365 compromis donne accès aux mails, à OneDrive, SharePoint, Teams, et souvent à des applications tierces via SSO. Les attaquants ciblent particulièrement :

    • • Les tokens d'authentification volés (attaque AiTM, Adversary in the Middle) qui contournent même le MFA classique
    • • Les règles de boîte mail malveillantes (auto-forward, suppression silencieuse) installées après compromission
    • • Les partages SharePoint/OneDrive trop ouverts indexés par Google ou exposés à « Tout le monde »
    • • Les applications OAuth tierces abusivement consenties par les utilisateurs (illicit consent grant)
    • • Les arnaques au président par email (BEC) ciblant les services finance et RH

    15 mesures essentielles à activer

    Identité & authentification

    • 1. Activer le MFA pour 100 % des utilisateurs, en privilégiant Microsoft Authenticator avec « number matching » ou clés FIDO2
    • 2. Désactiver l'authentification héritée (POP, IMAP, SMTP basic) via Security Defaults ou Conditional Access
    • 3. Mettre en place des politiques d'accès conditionnel : blocage des géolocalisations à risque, exigence d'appareil conforme, MFA obligatoire pour les administrateurs
    • 4. Activer Privileged Identity Management (PIM) ou la rotation des comptes admin avec activation à la demande
    • 5. Réduire le nombre d'administrateurs globaux à 2-4 maximum, avec comptes dédiés non utilisés au quotidien

    Protection email & collaboration

    • 6. Configurer SPF, DKIM et DMARC en quarantine puis reject sur tous vos domaines
    • 7. Activer Microsoft Defender for Office 365 (Safe Links, Safe Attachments, anti-phishing avancé)
    • 8. Mettre en place une bannière « email externe » et bloquer la création automatique de règles de transfert externe
    • 9. Restreindre les partages SharePoint/OneDrive : interdire « Tout le monde », forcer expiration des liens, audit régulier
    • 10. Bloquer le consentement utilisateur aux applications OAuth tierces non vérifiées par Microsoft

    Données, terminaux & supervision

    • 11. Déployer Intune (MDM/MAM) pour gérer les terminaux et appliquer le chiffrement BitLocker
    • 12. Activer Microsoft Purview : étiquettes de sensibilité, DLP sur Exchange/SharePoint/Teams
    • 13. Augmenter la rétention des logs Audit Unified à 1 an minimum (180 jours par défaut)
    • 14. Connecter les logs M365 à un SIEM/XDR (Microsoft Sentinel ou équivalent) avec règles de détection
    • 15. Configurer une sauvegarde tierce (Veeam, Druva, Barracuda) : Microsoft ne garantit pas la restauration en cas de ransomware ou suppression malveillante

    Quelle licence pour quel niveau de sécurité ?

    Business Basic / Standard

    Sécurité minimale : MFA, Security Defaults, anti-spam EOP de base. Convient aux TPE de moins de 20 personnes peu exposées. Compléter avec un EDR tiers.

    Business Premium (recommandé PME)

    Inclut Entra ID P1 (accès conditionnel), Intune, Defender for Business, Purview limité. Le meilleur ratio sécurité/prix : 22 €/utilisateur/mois.

    E3 + Defender add-ons

    Pour ETI : ajout de Defender for Office 365 P2, Defender for Endpoint P2, gestion fine des étiquettes de sensibilité.

    E5 / E5 Security

    Sécurité maximale : Sentinel, PIM, Defender for Cloud Apps (CASB), Purview complet, Insider Risk. Pour ETI matures et secteurs régulés.

    Plan d'action en 30 jours

    1

    Semaine 1 — Audit éclair

    Score Microsoft Secure Score, inventaire des comptes admin, recensement des règles de transfert mail externes, audit des partages SharePoint.

    2

    Semaine 2 — Identité

    Déploiement MFA universel, accès conditionnel basique, suppression de l'authentification héritée, nettoyage des comptes orphelins.

    3

    Semaine 3 — Protection email

    Configuration SPF/DKIM/DMARC, activation Defender for Office 365, blocage des forwards externes automatiques, formation utilisateurs.

    4

    Semaine 4 — Données & supervision

    Restriction partages externes, déploiement Intune, mise en place sauvegarde tierce, connexion des logs au SIEM.

    Erreurs fréquentes à éviter

    Croire que Microsoft sauvegarde vos données : la responsabilité est partagée, vous devez gérer vos backups

    Laisser le MFA optionnel sur les administrateurs ou les comptes de service

    Conserver l'authentification héritée pour « ne pas casser un vieux service »

    Autoriser le partage anonyme externe par défaut sur SharePoint/OneDrive

    Ne jamais auditer les applications OAuth consenties par les utilisateurs

    Sous-estimer la sécurité de Teams (invités externes, applications, partages)

    Articles complémentaires

    Auditez votre tenant Microsoft 365

    Profitez d'un audit gratuit de 15 minutes pour identifier les principales failles de configuration de votre tenant Microsoft 365 et obtenir un plan de remédiation priorisé.

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.