Sécuriser Microsoft 365 : le durcissement de base, avant tout le reste.
Un tenant Microsoft 365 laissé en configuration d’origine expose la messagerie, les documents et les comptes d’administration de l’entreprise. Le durcissement de base tient en six chantiers : authentification multifacteur pour l’ensemble des comptes, comptes d’administration dédiés, accès conditionnels, revue des partages externes, traitement des comptes des collaborateurs partis, journalisation activée. L’essentiel relève du paramétrage de licences déjà en place, pas d’un achat supplémentaire. La checklist en fin d’article permet de vérifier où en est le vôtre.
1. 1. Activer l’authentification multifacteur pour l’ensemble des comptes
Le mot de passe seul ne protège plus une messagerie professionnelle. Il se devine, se réutilise d’un service à l’autre et, surtout, se vole : un courriel de hameçonnage suffit à le récupérer. L’authentification multifacteur (MFA) ajoute une preuve supplémentaire — validation sur une application mobile, clé de sécurité physique — qu’un mot de passe dérobé ne permet pas de produire.
L’erreur classique : ne l’activer que pour quelques profils jugés sensibles. Le durcissement de base l’exige pour l’ensemble des comptes — un compte de stagiaire compromis donne accès à l’annuaire, aux conversations Teams et aux documents partagés. Les exceptions techniques, comptes de service ou applications anciennes, doivent être documentées, datées et compensées, pas oubliées.
Privilégiez une application d’authentification ou une clé physique plutôt que le SMS seul, plus exposé au détournement de ligne. Pour les structures sans équipe informatique, les paramètres de sécurité par défaut de Microsoft activent l’essentiel de ces protections d’un coup — un point de départ honnête.
2. 2. Séparer les comptes d’administration des comptes du quotidien
Lire ses courriels et naviguer sur le web avec le compte qui détient les pleins pouvoirs du tenant fait courir un risque disproportionné : un clic malheureux, et l’attaquant hérite de tout. La règle : chaque administrateur dispose d’un compte d’administration dédié, sans boîte mail, réservé aux tâches d’administration — et d’un compte ordinaire pour le reste.
Réduisez ensuite le nombre de titulaires du rôle d’administrateur général au strict nécessaire. Les tâches courantes — utilisateurs, messagerie, licences — s’accommodent de rôles plus limités, attribués par domaine. Prévoyez enfin un compte d’accès d’urgence, documenté, conservé hors des circuits habituels, pour garder la main si la MFA venait à défaillir ; son usage doit rester exceptionnel et déclencher une alerte.
3. 3. Mettre en place les accès conditionnels
L’accès conditionnel évalue chaque tentative de connexion selon son contexte — qui se connecte, depuis quel appareil, depuis où — et applique la réponse appropriée : laisser passer, exiger une vérification supplémentaire ou bloquer. Il transforme la MFA d’une contrainte uniforme en un contrôle proportionné : discret sur un poste géré, exigeant face à une connexion inhabituelle.
Trois règles constituent le socle :
- Bloquer l’authentification héritée : ces protocoles anciens ignorent la MFA et restent une porte dérobée.
- Restreindre les connexions depuis les zones géographiques où l’entreprise n’a aucune activité légitime.
- Réserver les accès sensibles aux appareils gérés et conformes, en s’appuyant sur l’enrôlement des postes et des mobiles.
4. 4. Reprendre la main sur les partages externes
SharePoint, OneDrive et Teams facilitent le partage — c’est leur raison d’être, et leur angle mort. Au fil des années, les liens s’accumulent : documents ouverts « à toute personne disposant du lien », invités externes ajoutés à une équipe puis oubliés. Personne ne sait plus ce qui est accessible depuis l’extérieur, ni par qui.
La reprise en main se joue à deux niveaux. Au niveau du tenant : désactiver ou encadrer les liens anonymes, imposer une date d’expiration, restreindre le partage à des domaines identifiés lorsque l’activité le permet. Au niveau de l’existant : extraire la liste des partages externes et des invités, la faire valider par les propriétaires des documents, révoquer ce qui n’a plus de justification. Cette revue n’est pas un exercice unique : elle relève d’une gouvernance régulière de Teams et de SharePoint.
5. 5. Traiter les comptes des collaborateurs partis
Un compte jamais désactivé après un départ est une porte qui reste ouverte : la boîte continue de recevoir des messages, les accès demeurent valides, la licence est facturée. Si ce mot de passe était réutilisé ailleurs, une fuite sur un service tiers peut ramener un intrus bien après le départ.
La parade est procédurale plus que technique, et elle gagne à être couplée au processus RH : c’est le départ annoncé par les ressources humaines qui déclenche l’action informatique, pas l’inverse.
Le déroulé, écrit, déclenché le jour même et appliqué à chaque fois, tient en quatre gestes :
- Bloquer la connexion et révoquer les sessions ouvertes sur l’ensemble des appareils.
- Effacer ou détacher les appareils mobiles enrôlés.
- Transférer la boîte mail et les fichiers au responsable désigné, avec une échéance de conservation décidée.
- Retirer le compte des groupes, des partages et des délégations, puis récupérer la licence.
6. 6. Activer la journalisation et les alertes
Sans journal, pas d’enquête. Le jour où un doute survient — message étrange parti d’une boîte interne, document retrouvé hors de l’entreprise — une seule question compte : qui a accédé à quoi, quand, depuis où ? Le journal d’audit de Microsoft 365 y répond, à condition d’être actif et de couvrir la période concernée. Vérifiez-le et notez sa durée de rétention, qui varie selon les licences.
La journalisation ne vaut que si quelqu’un la regarde. Configurez des alertes sur les actions révélatrices d’une compromission : règle de transfert de courrier vers l’extérieur, élévation d’un rôle d’administrateur, connexions jugées à risque. Désactivez aussi par défaut le transfert automatique vers des adresses externes : c’est l’un des premiers réglages qu’un intrus modifie pour siphonner une boîte.
Ces six mesures forment un socle, pas un inventaire exhaustif : la protection des postes, la sauvegarde et la sensibilisation des équipes relèvent d’autres chantiers. La checklist ci-dessous rassemble le tout en points vérifiables.
Questions fréquentes
Les réponses reflètent notre pratique de terrain. Les engagements contractuels sont formalisés dans votre contrat de service.
Nos prestations sur le sujet.
Un audit, puis un plan clair.
Décrivez votre besoin en une minute. Nous revenons vers vous avec un état des lieux et des priorités chiffrées.