Guide · Cybersécurité

Sécuriser Microsoft 365 : le durcissement de base, avant tout le reste.

L’essentiel

Un tenant Microsoft 365 laissé en configuration d’origine expose la messagerie, les documents et les comptes d’administration de l’entreprise. Le durcissement de base tient en six chantiers : authentification multifacteur pour l’ensemble des comptes, comptes d’administration dédiés, accès conditionnels, revue des partages externes, traitement des comptes des collaborateurs partis, journalisation activée. L’essentiel relève du paramétrage de licences déjà en place, pas d’un achat supplémentaire. La checklist en fin d’article permet de vérifier où en est le vôtre.

1. 1. Activer l’authentification multifacteur pour l’ensemble des comptes

Le mot de passe seul ne protège plus une messagerie professionnelle. Il se devine, se réutilise d’un service à l’autre et, surtout, se vole : un courriel de hameçonnage suffit à le récupérer. L’authentification multifacteur (MFA) ajoute une preuve supplémentaire — validation sur une application mobile, clé de sécurité physique — qu’un mot de passe dérobé ne permet pas de produire.

L’erreur classique : ne l’activer que pour quelques profils jugés sensibles. Le durcissement de base l’exige pour l’ensemble des comptes — un compte de stagiaire compromis donne accès à l’annuaire, aux conversations Teams et aux documents partagés. Les exceptions techniques, comptes de service ou applications anciennes, doivent être documentées, datées et compensées, pas oubliées.

Privilégiez une application d’authentification ou une clé physique plutôt que le SMS seul, plus exposé au détournement de ligne. Pour les structures sans équipe informatique, les paramètres de sécurité par défaut de Microsoft activent l’essentiel de ces protections d’un coup — un point de départ honnête.

2. 2. Séparer les comptes d’administration des comptes du quotidien

Lire ses courriels et naviguer sur le web avec le compte qui détient les pleins pouvoirs du tenant fait courir un risque disproportionné : un clic malheureux, et l’attaquant hérite de tout. La règle : chaque administrateur dispose d’un compte d’administration dédié, sans boîte mail, réservé aux tâches d’administration — et d’un compte ordinaire pour le reste.

Réduisez ensuite le nombre de titulaires du rôle d’administrateur général au strict nécessaire. Les tâches courantes — utilisateurs, messagerie, licences — s’accommodent de rôles plus limités, attribués par domaine. Prévoyez enfin un compte d’accès d’urgence, documenté, conservé hors des circuits habituels, pour garder la main si la MFA venait à défaillir ; son usage doit rester exceptionnel et déclencher une alerte.

3. 3. Mettre en place les accès conditionnels

L’accès conditionnel évalue chaque tentative de connexion selon son contexte — qui se connecte, depuis quel appareil, depuis où — et applique la réponse appropriée : laisser passer, exiger une vérification supplémentaire ou bloquer. Il transforme la MFA d’une contrainte uniforme en un contrôle proportionné : discret sur un poste géré, exigeant face à une connexion inhabituelle.

Trois règles constituent le socle :

  • Bloquer l’authentification héritée : ces protocoles anciens ignorent la MFA et restent une porte dérobée.
  • Restreindre les connexions depuis les zones géographiques où l’entreprise n’a aucune activité légitime.
  • Réserver les accès sensibles aux appareils gérés et conformes, en s’appuyant sur l’enrôlement des postes et des mobiles.

4. 4. Reprendre la main sur les partages externes

SharePoint, OneDrive et Teams facilitent le partage — c’est leur raison d’être, et leur angle mort. Au fil des années, les liens s’accumulent : documents ouverts « à toute personne disposant du lien », invités externes ajoutés à une équipe puis oubliés. Personne ne sait plus ce qui est accessible depuis l’extérieur, ni par qui.

La reprise en main se joue à deux niveaux. Au niveau du tenant : désactiver ou encadrer les liens anonymes, imposer une date d’expiration, restreindre le partage à des domaines identifiés lorsque l’activité le permet. Au niveau de l’existant : extraire la liste des partages externes et des invités, la faire valider par les propriétaires des documents, révoquer ce qui n’a plus de justification. Cette revue n’est pas un exercice unique : elle relève d’une gouvernance régulière de Teams et de SharePoint.

5. 5. Traiter les comptes des collaborateurs partis

Un compte jamais désactivé après un départ est une porte qui reste ouverte : la boîte continue de recevoir des messages, les accès demeurent valides, la licence est facturée. Si ce mot de passe était réutilisé ailleurs, une fuite sur un service tiers peut ramener un intrus bien après le départ.

La parade est procédurale plus que technique, et elle gagne à être couplée au processus RH : c’est le départ annoncé par les ressources humaines qui déclenche l’action informatique, pas l’inverse.

Le déroulé, écrit, déclenché le jour même et appliqué à chaque fois, tient en quatre gestes :

  • Bloquer la connexion et révoquer les sessions ouvertes sur l’ensemble des appareils.
  • Effacer ou détacher les appareils mobiles enrôlés.
  • Transférer la boîte mail et les fichiers au responsable désigné, avec une échéance de conservation décidée.
  • Retirer le compte des groupes, des partages et des délégations, puis récupérer la licence.

6. 6. Activer la journalisation et les alertes

Sans journal, pas d’enquête. Le jour où un doute survient — message étrange parti d’une boîte interne, document retrouvé hors de l’entreprise — une seule question compte : qui a accédé à quoi, quand, depuis où ? Le journal d’audit de Microsoft 365 y répond, à condition d’être actif et de couvrir la période concernée. Vérifiez-le et notez sa durée de rétention, qui varie selon les licences.

La journalisation ne vaut que si quelqu’un la regarde. Configurez des alertes sur les actions révélatrices d’une compromission : règle de transfert de courrier vers l’extérieur, élévation d’un rôle d’administrateur, connexions jugées à risque. Désactivez aussi par défaut le transfert automatique vers des adresses externes : c’est l’un des premiers réglages qu’un intrus modifie pour siphonner une boîte.

Ces six mesures forment un socle, pas un inventaire exhaustif : la protection des postes, la sauvegarde et la sensibilisation des équipes relèvent d’autres chantiers. La checklist ci-dessous rassemble le tout en points vérifiables.

Questions fréquentes

Les réponses reflètent notre pratique de terrain. Les engagements contractuels sont formalisés dans votre contrat de service.

Pas pour l’essentiel : MFA, séparation des rôles, réglages de partage et journal d’audit font partie des plans professionnels courants de Microsoft 365. Les accès conditionnels personnalisés et la détection des connexions à risque dépendent en revanche du niveau de licence Entra ID ; à défaut, les paramètres de sécurité par défaut offrent un premier niveau. L’audit initial détermine si votre plan couvre vos exigences.
La gêne se concentre sur la mise en route, le temps d’enrôler les appareils. Au quotidien, la validation n’est pas demandée à chaque action et les accès conditionnels la modulent : peu de sollicitations sur un poste géré, davantage en cas de connexion inhabituelle. Rapportée aux conséquences d’une boîte mail compromise, cette friction reste marginale.
Le durcissement réduit nettement la surface d’attaque, mais il ne couvre pas tout. Microsoft 365 obéit à un modèle de responsabilité partagée : l’éditeur assure la disponibilité de la plateforme ; la protection de vos données et de vos accès vous incombe. Sauvegarde tierce de la messagerie et des fichiers, protection des postes, sensibilisation au hameçonnage complètent ce socle — le besoin exact s’évalue lors d’un audit.
Par un état des lieux. Le score de sécurité intégré au centre d’administration Microsoft 365 fournit une première photographie des écarts, sans outil supplémentaire. Un audit du tenant — comptes, rôles, licences, règles de partage et de sécurité — établit ensuite l’écart avec les bonnes pratiques et ordonne les corrections. C’est par cet audit que nous commençons chaque reprise d’un environnement existant.
Pas nécessairement. Une équipe interne à l’aise avec l’administration de Microsoft 365 peut mener ces six chantiers, à condition d’y consacrer du temps et de documenter chaque choix. Le prestataire se justifie quand la compétence manque, quand le tenant a accumulé des années de configuration non documentée, ou quand le maintien dans la durée — revue des accès, des partages et des licences — doit être assuré contractuellement plutôt que laissé à la bonne volonté.

Un audit, puis un plan clair.

Décrivez votre besoin en une minute. Nous revenons vers vous avec un état des lieux et des priorités chiffrées.

Sécuriser Microsoft 365 : durcissement de base | Dalena