La migration vers Microsoft 365 fait partie des projets informatiques les plus courants dans les PME suisses. Messagerie, gestion documentaire, collaboration : tout provient d’un seul fournisseur, tout est dans le cloud. Mais avec le passage \u00e0 M365, un malentendu dangereux appara\u00eet : de nombreuses entreprises croient que Microsoft s’occupe de la s\u00e9curit\u00e9. Ce n’est que partiellement vrai.<\/p>\n
Microsoft exploite l’infrastructure derri\u00e8re Microsoft 365 : centres de donn\u00e9es, r\u00e9seaux, s\u00e9curit\u00e9 de la plateforme, s\u00e9curit\u00e9 physique. Microsoft en est responsable et investit des milliards dans ce domaine.<\/p>\n
Mais la configuration, la gestion des utilisateurs, le contr\u00f4le des acc\u00e8s et la protection de vos donn\u00e9es<\/strong> rel\u00e8vent de votre responsabilit\u00e9. Microsoft appelle cela le \u00ab Shared Responsibility Model \u00bb, la responsabilit\u00e9 partag\u00e9e. En pratique, cela signifie :<\/p>\n Concr\u00e8tement, cela signifie : si un attaquant se connecte \u00e0 votre compte M365 avec des identifiants vol\u00e9s, ce n’est pas le probl\u00e8me de Microsoft. Si des documents sensibles sont accessibles publiquement via un partage SharePoint mal configur\u00e9, la responsabilit\u00e9 vous incombe. Et si un collaborateur perd son compte faute de MFA, Microsoft n’est pas responsable.<\/p>\n En pratique, les experts en s\u00e9curit\u00e9 connaissent une s\u00e9rie d’erreurs de configuration qui reviennent r\u00e9guli\u00e8rement dans les environnements M365 des PME. Beaucoup sont des param\u00e8tres par d\u00e9faut qui n’ont jamais \u00e9t\u00e9 ajust\u00e9s.<\/p>\n La MFA est la mesure de s\u00e9curit\u00e9 individuelle la plus importante pour les comptes cloud. Microsoft indique que la MFA emp\u00eache plus de 99 pour cent des prises de contr\u00f4le automatis\u00e9es de comptes. Et pourtant, la MFA n’est pas activ\u00e9e pour tous les utilisateurs dans de nombreux tenants de PME.<\/p>\n Excuses fr\u00e9quentes : \u00ab C’est trop contraignant \u00bb, \u00ab \u00c7a ne fonctionne pas avec notre imprimante \u00bb, \u00ab La direction n’en veut pas \u00bb. Le r\u00e9sultat : un mot de passe vol\u00e9 suffit pour acc\u00e9der \u00e0 tous les e-mails, documents et conversations Teams d’un collaborateur.<\/p>\n Recommandation :<\/strong> activez la MFA pour tous<\/strong> les utilisateurs, sans exception. Utilisez l’application Microsoft Authenticator ou des cl\u00e9s de s\u00e9curit\u00e9 FIDO2 plut\u00f4t que les SMS.<\/p>\n Les protocoles d’authentification h\u00e9rit\u00e9s comme POP3, IMAP et SMTP Basic Auth ne prennent pas en charge la MFA. Les attaquants utilisent ces protocoles de mani\u00e8re cibl\u00e9e pour contourner la MFA. M\u00eame si la MFA est activ\u00e9e pour la connexion normale, un attaquant peut acc\u00e9der \u00e0 la bo\u00eete mail via IMAP avec un mot de passe vol\u00e9.<\/p>\n Microsoft a progressivement d\u00e9sactiv\u00e9 l’authentification basique pour Exchange Online, mais dans de nombreux tenants, des exceptions sont configur\u00e9es, souvent pour des appareils ou applications plus anciens ne prenant pas en charge l’authentification moderne.<\/p>\n Recommandation :<\/strong> bloquez compl\u00e8tement l’authentification h\u00e9rit\u00e9e via les politiques d’acc\u00e8s conditionnel. Identifiez d’abord les appareils et applications utilisant encore les protocoles h\u00e9rit\u00e9s et mettez-les \u00e0 jour.<\/p>\n Dans de nombreux tenants de PME, trop d’utilisateurs ont le r\u00f4le \u00ab Global Administrator \u00bb. Chaque compte d’administrateur global est une cible hautement attractive pour les attaquants. Dans le pire des cas, la compromission d’un seul compte suffit pour prendre le contr\u00f4le de l’ensemble de l’environnement M365.<\/p>\n Probl\u00e8mes typiques :<\/p>\n Recommandation :<\/strong> r\u00e9duisez les Global Admins \u00e0 un maximum de deux \u00e0 trois comptes d’urgence (Break-Glass Accounts). Utilisez l’administration bas\u00e9e sur les r\u00f4les : un administrateur Exchange n’a pas besoin de droits SharePoint. Activez Privileged Identity Management (PIM) pour n’accorder les droits d’administrateur qu’en cas de besoin et pour une dur\u00e9e limit\u00e9e.<\/p>\n SharePoint Online et OneDrive for Business sont de puissants outils de collaboration. Mais la configuration par d\u00e9faut est souvent trop permissive :<\/p>\n Recommandation :<\/strong> limitez les partages externes aux utilisateurs authentifi\u00e9s. D\u00e9sactivez les liens \u00ab Anyone \u00bb ou limitez leur validit\u00e9 dans le temps. V\u00e9rifiez r\u00e9guli\u00e8rement qui a acc\u00e8s \u00e0 quels sites SharePoint.<\/p>\n M365 offre des journaux d’audit complets, mais de nombreuses PME ne les utilisent pas. Sans surveillance, les activit\u00e9s suspectes passent inaper\u00e7ues :<\/p>\n Recommandation :<\/strong> activez le journal d’audit unifi\u00e9. Configurez des alertes pour les activit\u00e9s suspectes. M\u00eame sans syst\u00e8me SIEM, les alertes int\u00e9gr\u00e9es de M365 peuvent d\u00e9tecter de nombreuses menaces.<\/p>\n Exchange Online offre Exchange Online Protection (EOP) comme protection de base. Mais la configuration par d\u00e9faut est souvent insuffisante :<\/p>\n Recommandation :<\/strong> configurez SPF, DKIM et DMARC pour tous vos domaines. Renforcez les politiques anti-phishing. Bloquez les macros dans les pi\u00e8ces jointes par e-mail via les strat\u00e9gies de groupe.<\/p>\n Le scanning de vuln\u00e9rabilit\u00e9s classique vise principalement les syst\u00e8mes on-premise : serveurs, \u00e9quipements r\u00e9seau, terminaux. Mais dans un monde cloud-first, les services cloud doivent \u00e9galement \u00eatre int\u00e9gr\u00e9s dans la strat\u00e9gie de s\u00e9curit\u00e9.<\/p>\n M\u00eame si la plateforme M365 elle-m\u00eame est patch\u00e9e par Microsoft, il existe des domaines o\u00f9 le scanning externe reste pertinent :<\/p>\n Pour les PME souhaitant am\u00e9liorer leur s\u00e9curit\u00e9 M365, voici une checklist prioris\u00e9e :<\/p>\n Le passage au cloud transforme le paysage des menaces, mais ne rend pas la gestion des vuln\u00e9rabilit\u00e9s obsol\u00e8te, bien au contraire. La surface d’attaque se complexifie : services cloud, syst\u00e8mes on-premise, connexions hybrides et int\u00e9grations de tiers doivent tous \u00eatre pris en compte.<\/p>\n ExposIQ aide les PME suisses \u00e0 garder une vue d’ensemble. Le scanning externe v\u00e9rifie vos syst\u00e8mes et services accessibles publiquement, qu’ils soient on-premise ou expos\u00e9s au cloud. Avec plus de 35 moteurs de scan et 64’000 CVE, les vuln\u00e9rabilit\u00e9s dans les serveurs web, passerelles VPN, configurations de messagerie et autres services expos\u00e9s sont d\u00e9tect\u00e9es. Le monitoring des fuites de donn\u00e9es vous alerte en outre lorsque des identifiants de vos collaborateurs apparaissent dans des fuites, l’une des causes les plus fr\u00e9quentes de prise de contr\u00f4le de comptes M365.<\/p>\n H\u00e9bergement suisse, conforme \u00e0 la nLPD, d\u00e8s CHF 99 par mois. Parce que la migration cloud ne peut \u00eatre responsable qu’avec une strat\u00e9gie de s\u00e9curit\u00e9 claire : exposiq.ch<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" La migration vers Microsoft 365 fait partie des projets informatiques les plus courants dans les PME suisses. Messagerie, gestion documentaire, collaboration : tout provient d’un seul fournisseur, tout est dans le cloud. Mais avec le passage \u00e0 M365, un malentendu dangereux appara\u00eet : de nombreuses entreprises croient que Microsoft s’occupe de la s\u00e9curit\u00e9. Ce n’est … Lire plus<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"rank_math_focus_keyword":"microsoft 365 s\u00e9curit\u00e9 cloud pme","rank_math_title":"Microsoft 365 et s\u00e9curit\u00e9 cloud : ce que les PME doivent v\u00e9rifier","rank_math_description":"Migrer vers M365 ne signifie pas que Microsoft g\u00e8re votre s\u00e9curit\u00e9. Responsabilit\u00e9 partag\u00e9e, erreurs courantes et ce que les PME doivent v\u00e9rifier.","rank_math_robots":"","rank_math_canonical_url":"","rank_math_primary_category":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-1189","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"_links":{"self":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1189","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/comments?post=1189"}],"version-history":[{"count":0,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1189\/revisions"}],"wp:attachment":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/media?parent=1189"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/categories?post=1189"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/tags?post=1189"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Les failles de s\u00e9curit\u00e9 les plus fr\u00e9quentes dans les environnements M365<\/h2>\n
1. Authentification multi-facteurs non appliqu\u00e9e<\/h3>\n
2. Authentification h\u00e9rit\u00e9e encore active<\/h3>\n
3. Comptes disposant de privil\u00e8ges excessifs<\/h3>\n
\n
4. SharePoint et OneDrive configur\u00e9s de mani\u00e8re trop permissive<\/h3>\n
\n
5. Absence de surveillance et de journalisation<\/h3>\n
\n
6. S\u00e9curit\u00e9 e-mail non optimis\u00e9e<\/h3>\n
\n
S\u00e9curit\u00e9 cloud et scanning de vuln\u00e9rabilit\u00e9s<\/h2>\n
\n
Un contr\u00f4le de s\u00e9curit\u00e9 M365 pragmatique<\/h2>\n
\n
ExposIQ pour votre \u00e8re cloud<\/h2>\n