Sécuriser Microsoft 365 dans une PME : le socle qui bloque l'essentiel
Vos mails, vos fichiers, votre annuaire : pour beaucoup de PME, tout est dans Microsoft 365. C'est pratique — et c'est devenu la cible privilégiée des attaquants, car un seul compte compromis ouvre souvent l'accès à tout. La bonne nouvelle : l'essentiel de la protection est déjà inclus dans vos licences. Il suffit (souvent) de l'activer.
L'essentieldécideur La majorité des compromissions M365 n'exploitent pas une faille sophistiquée, mais des protections de base non activées : MFA absente, authentification héritée laissée ouverte, journaux d'audit désactivés. Quatre piliers couvrent l'essentiel : identité (MFA, moindre privilège), messagerie (anti-phishing, SPF/DKIM/DMARC), données (partage maîtrisé), surveillance (audit, alertes). La plupart sont inclus dans les licences Business.
Sécuriser M365 : quatre piliers
Le socle de configuration M365 (les quick wins)
La plupart de ces réglages sont inclus dans les licences M365 Business — encore faut-il les activer. Beaucoup de compromissions exploitent simplement leur absence.
Le socle de configuration technique
1. Identité (le plus important). Le compte est la nouvelle frontière. À activer :
MFA sur tous les comptes, en priorité les administrateurs ; idéalement une MFA résistante au phishing (passkeys/FIDO2) sur les comptes sensibles.
Bloquer l'authentification héritée (legacy auth) : ces vieux protocoles ne supportent pas la MFA et sont une porte d'entrée massive.
Accès conditionnel : restreindre par appareil géré, localisation, risque détecté.
Comptes admin dédiés, séparés des comptes du quotidien ; appliquer le moindre privilège.
2. Messagerie. Configurer SPF, DKIM et DMARC (contre l'usurpation), activer l'anti-phishing, et surveiller les règles de transfert automatique d'e-mails — leur création silencieuse est un signal classique de compte compromis.
3. Données. Maîtriser le partage externe (SharePoint/OneDrive), appliquer des politiques de rétention, et de la prévention de fuite (DLP) selon la sensibilité.
4. Surveillance. Activer et conserver les journaux d'audit (indispensables pour investiguer après coup), poser des alertes sur les événements à risque (connexions improbables, élévation de privilèges, échecs MFA en rafale).
Le piège récurrent : croire que « c'est dans le cloud, donc c'est sécurisé par Microsoft ». Le modèle est une responsabilité partagée : Microsoft sécurise l'infrastructure, mais la configuration des comptes, des accès et des partages est de votre ressort.
Plan d'action concret
Cette semaine : MFA sur tous les comptes admin, puis tous les utilisateurs. Bloquez l'authentification héritée.
Ensuite : SPF/DKIM/DMARC, vérification des règles de transfert existantes, activation des journaux d'audit.
Puis : revue des accès (qui est admin ? qui partage quoi en externe ?) et application du moindre privilège.
En continu : surveillez les alertes et utilisez le score de sécurité Microsoft (Secure Score) comme boussole d'amélioration.
Un audit de configuration M365 et la mise en place de ce socle, c'est rapide à fort impact — typiquement le genre de chantier que j'accompagne en PME.