Un tenant Microsoft 365 n’est pas sécurisé du seul fait d’activer le MFA pour quelques personnes. Le socle minimal combine des identités protégées, des comptes administrateur distincts, Security Defaults ou Conditional Access, le blocage de l’authentification héritée, des appareils gérés, une protection de la messagerie, des autorisations de partage maîtrisées, un audit, une récupération et des sauvegardes alignées sur les besoins de l’entreprise.
Inventaire initial
- Domaines
- Licences
- Utilisateurs
- Invités
- Administrateurs
- Boîtes partagées
- Groupes
- Applications d’entreprise
- Appareils
- Règles de messagerie
- SharePoint/Teams
- Sauvegardes et rétention
Il convient de vérifier les comptes inactifs et les privilèges existants avant d’ajouter de nouveaux contrôles.
MFA et accès conditionnel
Microsoft recommande de conserver Security Defaults activé, sauf s’il est remplacé par des stratégies Conditional Access. Les deux ne doivent jamais être désactivés en même temps.
Ordre de priorité :
- MFA pour tout le monde.
- Méthodes résistantes au phishing pour les administrateurs et les profils à risque élevé.
- Bloquer l’authentification héritée.
- Stratégies basées sur le risque, la localisation et l’appareil.
- Comptes d’urgence contrôlés.
Les comptes break-glass sont surveillés et testés, pas utilisés au quotidien.
Administrateurs
- Compte distinct du compte de travail quotidien
- Nombre minimal d’administrateurs globaux
- Rôles spécifiques
- Activation temporaire avec PIM si disponible
- MFA fort
- Alertes
- Revue mensuelle
Un compte administrateur n’est jamais partagé avec un prestataire.
Arrivées, changements et départs
Le cycle doit impliquer les RH :
- Arrivée avec rôle minimal
- Licence et groupes
- Appareil
- Changement de poste
- Révocation immédiate
- Transfert contrôlé
- Clôture des sessions/jetons
- Conservation et suppression
Un départ ne doit pas se limiter au blocage de la connexion.
Messagerie
Principales menaces : phishing, BEC, malwares et règles de boîte malveillantes.
Contrôles :
- SPF, DKIM et DMARC
- Protection anti-hameçonnage
- Safe Links/Attachments selon la licence
- Blocage du transfert automatique externe
- Alertes sur les règles
- Revue des boîtes partagées
- Formation et canal de signalement
Les changements d’IBAN sont toujours vérifiés via un canal indépendant.
Applications OAuth
Il convient de vérifier le consentement des applications, leurs autorisations et l’éditeur. Le consentement large accordé par les utilisateurs peut être bloqué, ou un flux d’approbation mis en place.
Il est nécessaire d’inventorier les principaux de service, les secrets, les certificats et leur usage, et de révoquer les applications sans propriétaire.
SharePoint, OneDrive et Teams
- Partage externe selon le besoin
- Liens avec expiration
- Éviter « toute personne disposant du lien » par défaut
- Groupes, pas d’autorisations individuelles
- Propriétaires de sites
- Revue des invités
- Étiquettes de confidentialité
- DLP le cas échéant
- Cycle de vie de Teams
La facilité de partage ne justifie pas un accès illimité dans le temps.
Appareils
Avec Intune ou un autre outil de gestion :
- Chiffrement
- PIN/biométrie locale
- Correctifs
- Antivirus/EDR
- Verrouillage
- Effacement à distance
- Conformité
- Restriction des appareils non gérés
Le BYOD impose de séparer les données professionnelles des données personnelles.
Protection des données et rétention
Il faut définir ce qui doit être conservé ou supprimé. Les stratégies de rétention servent la conformité et le cycle de vie de l’information ; elles ne doivent pas être confondues avec une véritable stratégie de récupération.
Des étiquettes, l’eDiscovery et l’audit sont appliqués selon les besoins et la licence disponible.
Sauvegarde et récupération
Microsoft 365 Backup protège SharePoint, OneDrive et Exchange, et des solutions tierces partenaires existent également. L’entreprise doit définir :
- Charges couvertes
- RPO/RTO
- Rétention
- Immuabilité
- Restauration granulaire/massive
- Comptes et clés
- Tests
- Coût
La corbeille ou le versionnage ne remplacent pas nécessairement une sauvegarde conçue pour les scénarios de ransomware et de suppression accidentelle.
Secure Score
Secure Score aide à mesurer la posture de sécurité et à prioriser les recommandations. Ce n’est ni une certification ni une garantie de sécurité. Chaque action est évaluée en fonction de l’activité de l’entreprise, et le risque accepté est documenté.
Il s’utilise comme une tendance, pas comme un objectif d’atteindre 100 %.
Audit et alertes
Il convient de surveiller :
- Connexion impossible ou à risque
- Création d’administrateur
- Consentement OAuth
- Règles de boîte
- Transfert
- Téléchargement massif
- Partage public
- Changement de stratégie
- Utilisation des comptes break-glass
Les alertes doivent avoir un responsable et une procédure associée.
Prestataires
Si un MSP administre le tenant :
- Comptes nominatifs
- Rôles minimaux
- Accès délégué contrôlé
- MFA
- Journaux
- SLA
- Incidents
- Fin de mission
- Contrat de sous-traitance
Le prestataire ne doit jamais opérer avec des identifiants client partagés.
Plan à 30 jours
Semaine 1
Inventaire, administrateurs, MFA et authentification héritée.
Semaine 2
Messagerie, OAuth, invités et partage.
Semaine 3
Appareils, rétention, sauvegardes et alertes.
Semaine 4
Tests, incidents, documentation et formation.
Erreurs fréquentes
- Désactiver Security Defaults sans mettre en place Conditional Access.
- Administrer avec le compte d’usage quotidien.
- MFA uniquement par SMS pour les administrateurs.
- Transfert automatique externe activé.
- Applications OAuth non vérifiées.
- Liens anonymes sans expiration.
- Invités permanents.
- Confondre rétention et sauvegarde.
- Ne pas tester la restauration.
- MSP utilisant un compte partagé.
Checklist
- Inventaire
- MFA/Conditional Access
- Administrateurs séparés
- Authentification héritée bloquée
- Messagerie et domaines
- OAuth
- SharePoint/Teams
- Appareils
- Rétention et sauvegardes
- Alertes, prestataires et incidents
Questions fréquentes
Security Defaults ou Conditional Access ?
Security Defaults est un socle simple ; Conditional Access permet des stratégies avancées. On ne désactive pas l’un sans mettre en place l’autre.
Secure Score prouve-t-il la conformité ?
Non. Il aide à prioriser la posture de sécurité, mais nécessite une analyse et des preuves supplémentaires.
Microsoft assure-t-il les sauvegardes ?
Microsoft 365 Backup existe, ainsi que d’autres solutions partenaires. L’organisation doit configurer la couverture et tester la récupération.
Summum Sistemas peut auditer et mettre en œuvre une base de référence proportionnée aux licences et au risque de chaque organisation.