Microsoft 365 sécurisé pour PME : configuration

·

Un tenant Microsoft 365 n’est pas sécurisé du seul fait d’activer le MFA pour quelques personnes. Le socle minimal combine des identités protégées, des comptes administrateur distincts, Security Defaults ou Conditional Access, le blocage de l’authentification héritée, des appareils gérés, une protection de la messagerie, des autorisations de partage maîtrisées, un audit, une récupération et des sauvegardes alignées sur les besoins de l’entreprise.

Inventaire initial

Il convient de vérifier les comptes inactifs et les privilèges existants avant d’ajouter de nouveaux contrôles.

MFA et accès conditionnel

Microsoft recommande de conserver Security Defaults activé, sauf s’il est remplacé par des stratégies Conditional Access. Les deux ne doivent jamais être désactivés en même temps.

Ordre de priorité :

  1. MFA pour tout le monde.
  2. Méthodes résistantes au phishing pour les administrateurs et les profils à risque élevé.
  3. Bloquer l’authentification héritée.
  4. Stratégies basées sur le risque, la localisation et l’appareil.
  5. Comptes d’urgence contrôlés.

Les comptes break-glass sont surveillés et testés, pas utilisés au quotidien.

Administrateurs

Un compte administrateur n’est jamais partagé avec un prestataire.

Arrivées, changements et départs

Le cycle doit impliquer les RH :

Un départ ne doit pas se limiter au blocage de la connexion.

Messagerie

Principales menaces : phishing, BEC, malwares et règles de boîte malveillantes.

Contrôles :

Les changements d’IBAN sont toujours vérifiés via un canal indépendant.

Applications OAuth

Il convient de vérifier le consentement des applications, leurs autorisations et l’éditeur. Le consentement large accordé par les utilisateurs peut être bloqué, ou un flux d’approbation mis en place.

Il est nécessaire d’inventorier les principaux de service, les secrets, les certificats et leur usage, et de révoquer les applications sans propriétaire.

SharePoint, OneDrive et Teams

La facilité de partage ne justifie pas un accès illimité dans le temps.

Appareils

Avec Intune ou un autre outil de gestion :

Le BYOD impose de séparer les données professionnelles des données personnelles.

Protection des données et rétention

Il faut définir ce qui doit être conservé ou supprimé. Les stratégies de rétention servent la conformité et le cycle de vie de l’information ; elles ne doivent pas être confondues avec une véritable stratégie de récupération.

Des étiquettes, l’eDiscovery et l’audit sont appliqués selon les besoins et la licence disponible.

Sauvegarde et récupération

Microsoft 365 Backup protège SharePoint, OneDrive et Exchange, et des solutions tierces partenaires existent également. L’entreprise doit définir :

La corbeille ou le versionnage ne remplacent pas nécessairement une sauvegarde conçue pour les scénarios de ransomware et de suppression accidentelle.

Secure Score

Secure Score aide à mesurer la posture de sécurité et à prioriser les recommandations. Ce n’est ni une certification ni une garantie de sécurité. Chaque action est évaluée en fonction de l’activité de l’entreprise, et le risque accepté est documenté.

Il s’utilise comme une tendance, pas comme un objectif d’atteindre 100 %.

Audit et alertes

Il convient de surveiller :

Les alertes doivent avoir un responsable et une procédure associée.

Prestataires

Si un MSP administre le tenant :

Le prestataire ne doit jamais opérer avec des identifiants client partagés.

Plan à 30 jours

Semaine 1

Inventaire, administrateurs, MFA et authentification héritée.

Semaine 2

Messagerie, OAuth, invités et partage.

Semaine 3

Appareils, rétention, sauvegardes et alertes.

Semaine 4

Tests, incidents, documentation et formation.

Erreurs fréquentes

  1. Désactiver Security Defaults sans mettre en place Conditional Access.
  2. Administrer avec le compte d’usage quotidien.
  3. MFA uniquement par SMS pour les administrateurs.
  4. Transfert automatique externe activé.
  5. Applications OAuth non vérifiées.
  6. Liens anonymes sans expiration.
  7. Invités permanents.
  8. Confondre rétention et sauvegarde.
  9. Ne pas tester la restauration.
  10. MSP utilisant un compte partagé.

Checklist

Questions fréquentes

Security Defaults ou Conditional Access ?

Security Defaults est un socle simple ; Conditional Access permet des stratégies avancées. On ne désactive pas l’un sans mettre en place l’autre.

Secure Score prouve-t-il la conformité ?

Non. Il aide à prioriser la posture de sécurité, mais nécessite une analyse et des preuves supplémentaires.

Microsoft assure-t-il les sauvegardes ?

Microsoft 365 Backup existe, ainsi que d’autres solutions partenaires. L’organisation doit configurer la couverture et tester la récupération.

Summum Sistemas peut auditer et mettre en œuvre une base de référence proportionnée aux licences et au risque de chaque organisation.