Microsoft 365 et sécurité cloud : ce que les PME doivent vérifier

Écrit par ExposIQ | mars 22, 2026

La migration vers Microsoft 365 fait partie des projets informatiques les plus courants dans les PME suisses. Messagerie, gestion documentaire, collaboration : tout provient d’un seul fournisseur, tout est dans le cloud. Mais avec le passage à M365, un malentendu dangereux apparaît : de nombreuses entreprises croient que Microsoft s’occupe de la sécurité. Ce n’est que partiellement vrai.

Le modèle de responsabilité partagée

Microsoft exploite l’infrastructure derrière Microsoft 365 : centres de données, réseaux, sécurité de la plateforme, sécurité physique. Microsoft en est responsable et investit des milliards dans ce domaine.

Mais la configuration, la gestion des utilisateurs, le contrôle des accès et la protection de vos données relèvent de votre responsabilité. Microsoft appelle cela le « Shared Responsibility Model », la responsabilité partagée. En pratique, cela signifie :

  • Microsoft sécurise : la plateforme, l’infrastructure physique, la disponibilité des services, les mises à jour du logiciel serveur
  • Vous sécurisez : les comptes utilisateurs, les droits d’accès, la classification des données, la configuration des paramètres de sécurité, les exigences de conformité

Concrètement, cela signifie : si un attaquant se connecte à votre compte M365 avec des identifiants volés, ce n’est pas le problème de Microsoft. Si des documents sensibles sont accessibles publiquement via un partage SharePoint mal configuré, la responsabilité vous incombe. Et si un collaborateur perd son compte faute de MFA, Microsoft n’est pas responsable.

Les failles de sécurité les plus fréquentes dans les environnements M365

En pratique, les experts en sécurité connaissent une série d’erreurs de configuration qui reviennent régulièrement dans les environnements M365 des PME. Beaucoup sont des paramètres par défaut qui n’ont jamais été ajustés.

1. Authentification multi-facteurs non appliquée

La MFA est la mesure de sécurité individuelle la plus importante pour les comptes cloud. Microsoft indique que la MFA empêche plus de 99 pour cent des prises de contrôle automatisées de comptes. Et pourtant, la MFA n’est pas activée pour tous les utilisateurs dans de nombreux tenants de PME.

Excuses fréquentes : « C’est trop contraignant », « Ça ne fonctionne pas avec notre imprimante », « La direction n’en veut pas ». Le résultat : un mot de passe volé suffit pour accéder à tous les e-mails, documents et conversations Teams d’un collaborateur.

Recommandation : activez la MFA pour tous les utilisateurs, sans exception. Utilisez l’application Microsoft Authenticator ou des clés de sécurité FIDO2 plutôt que les SMS.

2. Authentification héritée encore active

Les protocoles d’authentification hérités comme POP3, IMAP et SMTP Basic Auth ne prennent pas en charge la MFA. Les attaquants utilisent ces protocoles de manière ciblée pour contourner la MFA. Même si la MFA est activée pour la connexion normale, un attaquant peut accéder à la boîte mail via IMAP avec un mot de passe volé.

Microsoft a progressivement désactivé l’authentification basique pour Exchange Online, mais dans de nombreux tenants, des exceptions sont configurées, souvent pour des appareils ou applications plus anciens ne prenant pas en charge l’authentification moderne.

Recommandation : bloquez complètement l’authentification héritée via les politiques d’accès conditionnel. Identifiez d’abord les appareils et applications utilisant encore les protocoles hérités et mettez-les à jour.

3. Comptes disposant de privilèges excessifs

Dans de nombreux tenants de PME, trop d’utilisateurs ont le rôle « Global Administrator ». Chaque compte d’administrateur global est une cible hautement attractive pour les attaquants. Dans le pire des cas, la compromission d’un seul compte suffit pour prendre le contrôle de l’ensemble de l’environnement M365.

Problèmes typiques :

  • Le directeur est Global Admin « parce qu’il doit pouvoir tout voir »
  • Le prestataire informatique dispose d’un compte Global Admin permanent au lieu d’accès limités dans le temps
  • D’anciens collaborateurs ont encore des comptes administrateurs actifs
  • Des comptes de service avec des droits d’administrateur et des mots de passe faibles

Recommandation : réduisez les Global Admins à un maximum de deux à trois comptes d’urgence (Break-Glass Accounts). Utilisez l’administration basée sur les rôles : un administrateur Exchange n’a pas besoin de droits SharePoint. Activez Privileged Identity Management (PIM) pour n’accorder les droits d’administrateur qu’en cas de besoin et pour une durée limitée.

4. SharePoint et OneDrive configurés de manière trop permissive

SharePoint Online et OneDrive for Business sont de puissants outils de collaboration. Mais la configuration par défaut est souvent trop permissive :

  • Liens « Anyone » : les documents peuvent être partagés avec des liens anonymes ne nécessitant aucune connexion. Une fois partagés, le contrôle est perdu.
  • Partages externes : par défaut, les utilisateurs peuvent partager des documents avec des personnes externes. Sans directives, cela se fait de manière incontrôlée.
  • Autorisations excessives : des sites SharePoint entiers sont partagés avec « Tout le monde dans l’organisation » alors que seule une équipe a besoin d’y accéder.
  • Pas de Data Loss Prevention : des données sensibles comme des listes de clients, des contrats ou des données financières sont stockées et partagées sans protection.

Recommandation : limitez les partages externes aux utilisateurs authentifiés. Désactivez les liens « Anyone » ou limitez leur validité dans le temps. Vérifiez régulièrement qui a accès à quels sites SharePoint.

5. Absence de surveillance et de journalisation

M365 offre des journaux d’audit complets, mais de nombreuses PME ne les utilisent pas. Sans surveillance, les activités suspectes passent inaperçues :

  • Connexions depuis des pays inhabituels
  • Téléchargement massif de documents
  • Création de règles de transfert de courrier (un classique des attaquants)
  • Modifications des rôles d’administrateur
  • Nouvelles autorisations d’applications OAuth

Recommandation : activez le journal d’audit unifié. Configurez des alertes pour les activités suspectes. Même sans système SIEM, les alertes intégrées de M365 peuvent détecter de nombreuses menaces.

6. Sécurité e-mail non optimisée

Exchange Online offre Exchange Online Protection (EOP) comme protection de base. Mais la configuration par défaut est souvent insuffisante :

  • SPF, DKIM et DMARC ne sont pas ou sont incomplètement configurés, ce qui permet l’usurpation d’e-mails
  • Les politiques anti-phishing utilisent les paramètres par défaut au lieu de règles personnalisées
  • Safe Links et Safe Attachments (Defender for Office 365) ne sont pas activés
  • Les utilisateurs peuvent exécuter des macros dans les pièces jointes Office

Recommandation : configurez SPF, DKIM et DMARC pour tous vos domaines. Renforcez les politiques anti-phishing. Bloquez les macros dans les pièces jointes par e-mail via les stratégies de groupe.

Sécurité cloud et scanning de vulnérabilités

Le scanning de vulnérabilités classique vise principalement les systèmes on-premise : serveurs, équipements réseau, terminaux. Mais dans un monde cloud-first, les services cloud doivent également être intégrés dans la stratégie de sécurité.

Même si la plateforme M365 elle-même est patchée par Microsoft, il existe des domaines où le scanning externe reste pertinent :

  • Environnements hybrides : de nombreuses PME exploitent des configurations hybrides avec Exchange on-premise et Exchange Online, Active Directory et Azure AD, ou des serveurs de fichiers locaux et SharePoint Online. Les composants on-premise doivent continuer à être scannés.
  • Services exposés au cloud : même dans un environnement M365, il existe souvent encore des serveurs web locaux, des passerelles VPN et d’autres services exposés qui sont vulnérables.
  • Configuration DNS et domaines : des entrées SPF/DKIM/DMARC manquantes, des enregistrements DNS orphelins ou des sous-domaines exposés sont des risques qu’un scan externe peut détecter.
  • Applications OAuth et intégrations : les applications tierces connectées à M365 élargissent la surface d’attaque. Chaque application disposant d’autorisations étendues constitue un risque potentiel.

Un contrôle de sécurité M365 pragmatique

Pour les PME souhaitant améliorer leur sécurité M365, voici une checklist priorisée :

  1. Activer la MFA pour tous les utilisateurs : impact maximal, applicable immédiatement
  2. Bloquer l’authentification héritée : comble l’une des plus grandes lacunes
  3. Réduire les comptes Global Admin : minimise le risque de prise de contrôle totale
  4. Restreindre les partages SharePoint externes : empêche les fuites de données incontrôlées
  5. Configurer l’authentification e-mail (SPF, DKIM, DMARC) : protège contre l’usurpation
  6. Activer la journalisation d’audit et configurer des alertes : permet la détection des attaques
  7. Vérifier le Microsoft Secure Score : l’outil d’évaluation propre de Microsoft montre le potentiel d’amélioration
  8. Scanner régulièrement les systèmes on-premise : ne pas oublier la surface d’attaque hybride

ExposIQ pour votre ère cloud

Le passage au cloud transforme le paysage des menaces, mais ne rend pas la gestion des vulnérabilités obsolète, bien au contraire. La surface d’attaque se complexifie : services cloud, systèmes on-premise, connexions hybrides et intégrations de tiers doivent tous être pris en compte.

ExposIQ aide les PME suisses à garder une vue d’ensemble. Le scanning externe vérifie vos systèmes et services accessibles publiquement, qu’ils soient on-premise ou exposés au cloud. Avec plus de 35 moteurs de scan et 64’000 CVE, les vulnérabilités dans les serveurs web, passerelles VPN, configurations de messagerie et autres services exposés sont détectées. Le monitoring des fuites de données vous alerte en outre lorsque des identifiants de vos collaborateurs apparaissent dans des fuites, l’une des causes les plus fréquentes de prise de contrôle de comptes M365.

Hébergement suisse, conforme à la nLPD, dès CHF 99 par mois. Parce que la migration cloud ne peut être responsable qu’avec une stratégie de sécurité claire : exposiq.ch

ExposIQ est la plateforme suisse pour la gestion automatisée des vulnérabilités. Nous aidons les PME et les prestataires informatiques à identifier et corriger les vulnérabilités – de manière sécurisée, compréhensible et conforme à la nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Entreprise

À propos Contact Blog
 Politique de confidentialité Conditions d'utilisation

Newsletter

Copyright © ExposIQ Suisse 2026. Tous droits réservés.