Email · 8 min

Sécurité Microsoft 365 pour PME : les réglages qui comptent vraiment

Sécuriser Microsoft 365 dans une PME : MFA, accès conditionnel, comptes admin, Secure Score, partage OneDrive/SharePoint, protection e-mail et sauvegarde des boîtes.

Réponse courte

En bref

Sécuriser Microsoft 365 dans une PME : MFA, accès conditionnel, comptes admin, Secure Score, partage OneDrive/SharePoint, protection e-mail et sauvegarde des boîtes.

Microsoft 365 est le cœur numérique de beaucoup de PME suisses : e-mails, fichiers, agendas, visioconférence. C’est aussi, pour cette raison, la première cible des attaquants. La bonne nouvelle : la plupart des compromissions exploitent des réglages par défaut mal configurés, et non des failles sophistiquées.

Sécuriser Microsoft 365 ne demande pas nécessairement de nouvelles licences coûteuses. Cela demande surtout de fermer méthodiquement les portes qui restent ouvertes par défaut : comptes sans double authentification, partages trop larges, boîtes aux lettres jamais sauvegardées.

Voici les réglages qui comptent vraiment, expliqués simplement, avec les erreurs de configuration les plus fréquentes que l’on retrouve d’une PME à l’autre.

MFA et accès conditionnel : la première ligne de défense

La double authentification (MFA) est la mesure la plus efficace pour empêcher qu’un mot de passe volé suffise à ouvrir votre messagerie. Elle doit être activée pour absolument tous les comptes, sans exception, et en particulier pour les comptes à privilèges.

L’accès conditionnel va plus loin : il permet de définir dans quelles conditions un accès est autorisé, par exemple bloquer les connexions depuis des pays où vous n’avez aucune activité, ou exiger un appareil de confiance. C’est un levier puissant, souvent sous-utilisé.

  • Activer le MFA pour 100 % des utilisateurs, y compris la direction et les prestataires externes.
  • Privilégier une application d’authentification ou une clé physique plutôt que le SMS.
  • Mettre en place des règles d’accès conditionnel adaptées à votre géographie et à vos appareils.
  • Désactiver les protocoles d’authentification hérités (legacy) qui contournent le MFA.

Comptes administrateurs : les protéger en priorité

Un compte administrateur global compromis donne les clés de toute l’organisation. Ces comptes doivent être peu nombreux, nominatifs, protégés par MFA fort, et réservés strictement aux tâches d’administration.

La bonne pratique consiste à séparer les usages : un administrateur ne lit pas ses e-mails quotidiens avec son compte à privilèges. On limite ainsi drastiquement l’impact d’un piège cliqué par erreur.

  • Réduire le nombre de comptes administrateurs globaux au strict minimum.
  • Utiliser des comptes d’administration dédiés, distincts des comptes de travail quotidiens.
  • Attribuer les rôles au plus juste plutôt que d’accorder l’administration globale par défaut.
  • Surveiller la création de nouveaux administrateurs et de règles de transfert d’e-mails.

Secure Score, partage et OneDrive/SharePoint

Microsoft fournit un indicateur, le Secure Score, qui évalue votre configuration et propose des améliorations concrètes. Ce n’est pas une fin en soi, mais un excellent point de départ pour prioriser les correctifs.

Le partage de fichiers est l’autre grand angle mort. Par défaut, OneDrive et SharePoint autorisent souvent des partages larges, parfois accessibles à toute personne disposant du lien. Il faut revoir ces réglages pour éviter les fuites silencieuses de documents.

  • Consulter le Secure Score et traiter en priorité les recommandations à fort impact.
  • Restreindre les liens de partage « toute personne disposant du lien » aux cas réellement nécessaires.
  • Contrôler les partages externes récurrents et fixer des dates d’expiration sur les liens.
  • Auditer périodiquement les fichiers partagés vers l’extérieur.

Protection e-mail et sauvegarde des boîtes aux lettres

Les protections anti-phishing et anti-usurpation de Microsoft 365 doivent être configurées activement, et non laissées au niveau par défaut. Elles réduisent nettement le volume de messages frauduleux qui atteignent vos collaborateurs.

Point crucial et souvent ignoré : Microsoft assure la disponibilité du service, mais n’est pas une sauvegarde de vos données. Une suppression, un ransomware ou un départ conflictuel peuvent entraîner une perte définitive si vous ne disposez pas d’une sauvegarde indépendante des boîtes et fichiers.

  • Configurer les politiques anti-phishing et l’authentification du domaine (voir SPF, DKIM, DMARC).
  • Mettre en place une sauvegarde tierce des boîtes aux lettres, de OneDrive et de SharePoint.
  • Vérifier régulièrement les règles de transfert automatique, souvent créées par un attaquant.
  • Tester la restauration d’un e-mail et d’un fichier pour valider la chaîne de sauvegarde.

Les erreurs de configuration les plus fréquentes

D’une PME à l’autre, on retrouve un petit nombre d’erreurs récurrentes qui expliquent la majorité des incidents. Les corriger relève souvent de quelques heures de travail, pour un gain de sécurité majeur.

Un audit de votre environnement Microsoft 365 permet précisément d’identifier lesquelles s’appliquent à vous et de les traiter dans le bon ordre, sans investir dans des outils superflus.

  • MFA absent sur certains comptes, notamment ceux de la direction ou d’anciens prestataires.
  • Protocoles d’authentification hérités encore actifs.
  • Partages externes ouverts sans expiration ni suivi.
  • Aucune sauvegarde indépendante des données Microsoft 365.