Sécurité Microsoft 365 en entreprise : guide complet 2026 pour PME et ETI
Microsoft 365 est aujourd'hui la plateforme collaborative la plus déployée dans les PME et ETI françaises. Messagerie Exchange Online, SharePoint, OneDrive, Teams, Entra ID : un seul compte compromis donne accès à l'ensemble du patrimoine informationnel de l'entreprise. Pourtant, la configuration par défaut de Microsoft 365 reste insuffisante pour répondre aux exigences de la directive NIS2, du RGPD ou d'une cyber-assurance. Ce guide détaille comment durcir Microsoft 365 de manière pragmatique, sans bloquer la productivité.
Pourquoi Microsoft 365 est une cible prioritaire
Les attaquants ciblent massivement Microsoft 365 pour trois raisons : la centralisation des identités (Entra ID, anciennement Azure AD), la richesse des données stockées (e-mails, contrats, fichiers RH, données clients) et le nombre élevé de configurations laxisteshéritées des migrations rapides post-Covid. Les techniques d'attaque les plus fréquentes en 2026 sont :
- Phishing AiTM (Adversary-in-the-Middle) qui contourne la MFA classique via vol de cookies de session.
- Consent phishing : l'utilisateur accorde à une application malveillante des permissions OAuth sur sa boîte.
- Password spraying sur les comptes legacy (IMAP, POP, SMTP AUTH) toujours actifs.
- Business Email Compromise (BEC) : usurpation d'identité pour fraude au virement.
- Ransomware via OneDrive / SharePoint : chiffrement des fichiers synchronisés depuis un poste compromis.
Le socle indispensable : identités et authentification
Activer une MFA résistante au phishing pour 100% des comptes
La MFA par SMS ou push simple est désormais contournable. Microsoft recommande la Microsoft Authenticator avec number matching au minimum, et idéalement des clés FIDO2 / Passkeys pour les administrateurs et les utilisateurs sensibles (direction, finance, RH). Couplez cette mesure à une approche Zero Trust globale.
Bloquer l'authentification legacy
Les protocoles POP, IMAP, SMTP AUTH, MAPI/Exchange ActiveSync basic ne supportent pas la MFA et sont la première porte d'entrée du password spraying. Désactivez-les via Entra ID Conditional Access (« Block legacy authentication »).
Conditional Access : la pierre angulaire
- Imposer la MFA pour toutes les connexions hors réseau de confiance.
- Bloquer les connexions depuis des pays non utilisés (impossible travel, geo-blocking).
- Imposer des appareils conformes (Intune compliance) pour accéder aux données sensibles.
- Forcer la réauthentification pour les opérations à risque (changement de mot de passe, ajout d'un appareil).
- Activer Token Protection et Continuous Access Evaluation contre le vol de jetons.
Protéger les comptes à privilèges
- Comptes administrateurs séparés (jamais utilisés pour la bureautique courante).
- Privileged Identity Management (PIM) : élévation Just-In-Time avec validation.
- Clés FIDO2 obligatoires pour les rôles Global Admin, Exchange Admin, SharePoint Admin.
- Revue trimestrielle des rôles privilégiés.
Sécuriser Exchange Online et la messagerie
- SPF, DKIM, DMARC configurés en mode
rejectsur tous les domaines (cf. notre guide phishing). - Microsoft Defender for Office 365 (Plan 1 ou 2) : Safe Links, Safe Attachments, anti-phishing avancé.
- Policies anti-spoofing et impersonation protection sur les dirigeants.
- Désactiver les règles de transfert externe automatique (utilisées dans 80 % des BEC).
- Bandeau « External » sur les e-mails externes.
- Activer Microsoft Purview Audit (Premium) pour conserver les logs au-delà de 90 jours.
SharePoint, OneDrive et Teams
- Limiter le partage externe à des domaines autorisés (allow-list).
- Désactiver le partage par lien anonyme « toute personne disposant du lien ».
- Activer la quarantaine OneDrive en cas d'activité suspecte (ransomware).
- Politiques de rétention Purview pour conserver les versions et supprimer en fin de cycle de vie.
- Restreindre la création d'équipes et de sites à des utilisateurs habilités.
- Bloquer les invités externes par défaut sur Teams sensibles (direction, finance).
DLP, étiquetage et classification avec Microsoft Purview
Microsoft Purview permet de classifier automatiquement les contenus (RGPD, données financières, IP) et d'appliquer des règles DLPempêchant l'exfiltration. Pour une PME, démarrez avec :
- 3 à 5 étiquettes de confidentialité maximum (Public, Interne, Confidentiel, Restreint).
- Politiques DLP sur les IBAN, numéros de carte, NIR, données clients exportées massivement.
- Chiffrement automatique des documents « Confidentiel » via Azure Information Protection.
- Alertes vers le SOC ou le RSSI en cas de violation.
Detection et réponse : Defender XDR et Sentinel
Pour une PME, Microsoft Defender for Business (inclus dans Microsoft 365 Business Premium) couvre l'EDR sur les postes. Les ETI passent à Microsoft 365 E5 / Defender XDR pour corréler identités, e-mails, postes et cloud apps. Au-delà, Microsoft Sentinel joue le rôle de SIEM et peut être externalisé à un MSSP.
Sauvegardes : le mythe du « Microsoft sauvegarde tout »
Microsoft applique une responsabilité partagée : la disponibilité de la plateforme est leur responsabilité, la protection de vos données contre la suppression, le ransomware ou l'erreur humaine est la vôtre. La corbeille SharePoint/OneDrive est limitée à 93 jours et n'offre pas de protection contre un ransomware massif. Une sauvegarde tierce (Veeam, Acronis, Hornetsecurity, Synology Active Backup) est indispensable et exigée par la plupart des cyber-assurances. Voir notre guide sauvegardes 3-2-1 et PRA.
Mesurer son niveau : Microsoft Secure Score
Le Secure Score du centre Defender donne une note sur 100 % et une liste priorisée d'actions. Un objectif réaliste pour une PME est 65 à 75 % ; en dessous de 40 %, l'environnement est anormalement exposé. Suivez l'évolution mensuelle dans votre tableau de bord cyber.
Conformité : ce que NIS2, RGPD et ISO 27001 exigent
- NIS2 : gestion des accès, MFA, journalisation, gestion des incidents — directement couverts par les bonnes pratiques ci-dessus.
- RGPD : localisation des données (EU Data Boundary activé par défaut depuis 2024), DPA Microsoft, durées de conservation Purview.
- ISO 27001 : Microsoft 365 est certifié, mais votre configuration et vos processus doivent l'être également.
- Health Data Hosting (HDS) : Microsoft est certifié HDS, mais la responsabilité de configuration reste celle du client.
Feuille de route 90 jours pour sécuriser Microsoft 365
- J0 — J30 : audit Secure Score, MFA généralisée, blocage de l'auth legacy, séparation des comptes admin.
- J30 — J60 : Conditional Access (geo, devices, risk-based), Defender for Office 365, DMARC reject, désactivation des règles de forward externe.
- J60 — J90 : Purview (étiquettes, DLP, audit Premium), restrictions de partage SharePoint, sauvegarde tierce, supervision SOC.
Conclusion
Sécuriser Microsoft 365 n'est pas un projet ponctuel mais un processus continu : nouvelles fonctionnalités tous les mois, évolution des menaces, rotation des collaborateurs. Mettre en place un plan trimestriel de revue (Secure Score, Conditional Access, partages externes, comptes inactifs) permet de maintenir un niveau de sécurité conforme aux exigences NIS2 et aux attentes d'une cyber-assurance.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleIA & CybersécuritéIA générative et cybersécurité : risques et AI Act
Shadow AI, deepfakes, prompt injection et plan de gouvernance IA conforme AI Act, NIS2 et RGPD.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit