Sécuriser Microsoft 365 : guide complet pour les PME
Microsoft 365 héberge aujourd'hui les emails, fichiers, échanges Teams et données les plus sensibles de plus de 90 % des PME françaises. Pourtant, une étude Vectra AI montre que 72 % des compromissions cloud en 2024 visaient un tenant Microsoft 365 mal configuré. Ce guide rassemble les 15 mesures techniques indispensables pour sécuriser votre environnement Microsoft 365, sans nécessiter de licence Enterprise E5.
Pourquoi Microsoft 365 est-il une cible prioritaire ?
Un compte Microsoft 365 compromis donne accès aux mails, à OneDrive, SharePoint, Teams, et souvent à des applications tierces via SSO. Les attaquants ciblent particulièrement :
- • Les tokens d'authentification volés (attaque AiTM, Adversary in the Middle) qui contournent même le MFA classique
- • Les règles de boîte mail malveillantes (auto-forward, suppression silencieuse) installées après compromission
- • Les partages SharePoint/OneDrive trop ouverts indexés par Google ou exposés à « Tout le monde »
- • Les applications OAuth tierces abusivement consenties par les utilisateurs (illicit consent grant)
- • Les arnaques au président par email (BEC) ciblant les services finance et RH
15 mesures essentielles à activer
Identité & authentification
- • 1. Activer le MFA pour 100 % des utilisateurs, en privilégiant Microsoft Authenticator avec « number matching » ou clés FIDO2
- • 2. Désactiver l'authentification héritée (POP, IMAP, SMTP basic) via Security Defaults ou Conditional Access
- • 3. Mettre en place des politiques d'accès conditionnel : blocage des géolocalisations à risque, exigence d'appareil conforme, MFA obligatoire pour les administrateurs
- • 4. Activer Privileged Identity Management (PIM) ou la rotation des comptes admin avec activation à la demande
- • 5. Réduire le nombre d'administrateurs globaux à 2-4 maximum, avec comptes dédiés non utilisés au quotidien
Protection email & collaboration
- • 6. Configurer SPF, DKIM et DMARC en quarantine puis reject sur tous vos domaines
- • 7. Activer Microsoft Defender for Office 365 (Safe Links, Safe Attachments, anti-phishing avancé)
- • 8. Mettre en place une bannière « email externe » et bloquer la création automatique de règles de transfert externe
- • 9. Restreindre les partages SharePoint/OneDrive : interdire « Tout le monde », forcer expiration des liens, audit régulier
- • 10. Bloquer le consentement utilisateur aux applications OAuth tierces non vérifiées par Microsoft
Données, terminaux & supervision
- • 11. Déployer Intune (MDM/MAM) pour gérer les terminaux et appliquer le chiffrement BitLocker
- • 12. Activer Microsoft Purview : étiquettes de sensibilité, DLP sur Exchange/SharePoint/Teams
- • 13. Augmenter la rétention des logs Audit Unified à 1 an minimum (180 jours par défaut)
- • 14. Connecter les logs M365 à un SIEM/XDR (Microsoft Sentinel ou équivalent) avec règles de détection
- • 15. Configurer une sauvegarde tierce (Veeam, Druva, Barracuda) : Microsoft ne garantit pas la restauration en cas de ransomware ou suppression malveillante
Quelle licence pour quel niveau de sécurité ?
Business Basic / Standard
Sécurité minimale : MFA, Security Defaults, anti-spam EOP de base. Convient aux TPE de moins de 20 personnes peu exposées. Compléter avec un EDR tiers.
Business Premium (recommandé PME)
Inclut Entra ID P1 (accès conditionnel), Intune, Defender for Business, Purview limité. Le meilleur ratio sécurité/prix : 22 €/utilisateur/mois.
E3 + Defender add-ons
Pour ETI : ajout de Defender for Office 365 P2, Defender for Endpoint P2, gestion fine des étiquettes de sensibilité.
E5 / E5 Security
Sécurité maximale : Sentinel, PIM, Defender for Cloud Apps (CASB), Purview complet, Insider Risk. Pour ETI matures et secteurs régulés.
Plan d'action en 30 jours
Semaine 1 — Audit éclair
Score Microsoft Secure Score, inventaire des comptes admin, recensement des règles de transfert mail externes, audit des partages SharePoint.
Semaine 2 — Identité
Déploiement MFA universel, accès conditionnel basique, suppression de l'authentification héritée, nettoyage des comptes orphelins.
Semaine 3 — Protection email
Configuration SPF/DKIM/DMARC, activation Defender for Office 365, blocage des forwards externes automatiques, formation utilisateurs.
Semaine 4 — Données & supervision
Restriction partages externes, déploiement Intune, mise en place sauvegarde tierce, connexion des logs au SIEM.
Erreurs fréquentes à éviter
Croire que Microsoft sauvegarde vos données : la responsabilité est partagée, vous devez gérer vos backups
Laisser le MFA optionnel sur les administrateurs ou les comptes de service
Conserver l'authentification héritée pour « ne pas casser un vieux service »
Autoriser le partage anonyme externe par défaut sur SharePoint/OneDrive
Ne jamais auditer les applications OAuth consenties par les utilisateurs
Sous-estimer la sécurité de Teams (invités externes, applications, partages)
Articles complémentaires
Auditez votre tenant Microsoft 365
Profitez d'un audit gratuit de 15 minutes pour identifier les principales failles de configuration de votre tenant Microsoft 365 et obtenir un plan de remédiation priorisé.