Microsoft 365 en PME : 10 réglages de sécurité à vérifier absolument

Microsoft 365 est la suite bureautique la plus utilisée par les PME françaises. Mais la majorité des entreprises utilisent la configuration par défaut, qui n'est pas optimisée pour la sécurité. Pourtant, Microsoft inclut dans ses abonnements Business Basic, Business Standard et Business Premium de nombreuses fonctions de sécurité qu'il suffit d'activer. Ce guide vous présente les 10 réglages à vérifier et configurer pour sécuriser votre environnement Microsoft 365, sans coût supplémentaire ou presque.

1. Activer l'authentification multifacteur (MFA) pour tous les utilisateurs

C'est le réglage le plus important. Sans MFA, un mot de passe compromis donne un accès total à la messagerie, OneDrive, SharePoint et Teams de l'utilisateur. Dans le Centre d'administration Microsoft 365, allez dans Utilisateurs > Utilisateurs actifs > Authentification multifacteur. Activez le MFA pour tous les comptes, y compris les administrateurs. Mieux encore, si vous avez un abonnement Microsoft 365 Business Premium, configurez les « Security Defaults » ou une stratégie d'accès conditionnel qui impose le MFA. Utilisez Microsoft Authenticator comme méthode principale. Désactivez l'authentification par SMS si possible (moins sécurisée).

2. Sécuriser les comptes administrateurs

Les comptes administrateurs sont les cibles prioritaires des attaquants. Limitez le nombre d'administrateurs globaux au strict minimum (2 à 3 maximum). Créez un compte administrateur d'urgence (break-glass account) avec un mot de passe très fort, stocké en lieu sûr, utilisé uniquement en cas de verrouillage des autres comptes. Utilisez des comptes administrateurs séparés des comptes de travail quotidien : l'administrateur ne doit pas lire ses e-mails avec son compte admin. Activez les alertes de connexion pour les comptes administrateurs dans le Centre de sécurité Microsoft 365.

3. Configurer les stratégies anti-phishing

Microsoft 365 inclut des protections anti-phishing de base dans tous les abonnements, et des protections avancées avec Microsoft Defender for Office 365 (inclus dans Business Premium). Dans le portail de sécurité Microsoft 365 Defender (security.microsoft.com), configurez les stratégies anti-phishing : activez la protection contre l'usurpation d'identité (impersonation) pour vos dirigeants et vos contacts clés, activez l'intelligence anti-spoofing, configurez les actions sur les messages détectés (quarantaine plutôt que dossier indésirable). Si vous avez Business Premium, activez Safe Links (réécriture et vérification des URL en temps réel) et Safe Attachments (analyse des pièces jointes dans un bac à sable).

4. Bloquer le transfert automatique d'e-mails vers l'extérieur

Quand un attaquant compromet un compte, il configure souvent une règle de transfert automatique pour recevoir une copie de tous les e-mails de la victime. Bloquez cette possibilité dans le Centre d'administration Exchange : allez dans Flux de messagerie > Règles de transport, et créez une règle qui bloque le transfert automatique vers des domaines externes. Vous pouvez aussi le faire via PowerShell : Set-RemoteDomain -Identity Default -AutoForwardEnabled $false. Vérifiez régulièrement qu'aucune règle de transfert n'a été créée à votre insu dans les boîtes aux lettres de vos collaborateurs.

5. Configurer SPF, DKIM et DMARC

Ces trois protocoles empêchent l'usurpation de votre domaine par e-mail. SPF est généralement configuré automatiquement par Microsoft, mais vérifiez-le. Pour DKIM, activez-le dans le portail Microsoft 365 Defender > Stratégies et règles > Règles de menaces > DKIM. Sélectionnez votre domaine et activez la signature DKIM. Pour DMARC, ajoutez un enregistrement DNS TXT : _dmarc.votredomaine.fr avec la valeur « v=DMARC1; p=quarantine; rua=mailto:dmarc@votredomaine.fr ». Commencez par p=none pour observer, puis passez à p=quarantine puis p=reject une fois que vous avez vérifié que tous vos e-mails légitimes passent la validation.

6. Contrôler le partage externe dans SharePoint et OneDrive

Par défaut, SharePoint et OneDrive permettent le partage de fichiers avec n'importe qui via un lien anonyme. C'est un risque majeur de fuite de données. Dans le Centre d'administration SharePoint > Stratégies > Partage, configurez le niveau de partage. Le minimum recommandé : autoriser le partage avec des utilisateurs externes authentifiés uniquement (pas de liens anonymes). Si votre activité le permet, restreignez le partage externe au minimum. Définissez une expiration automatique des liens de partage (30 jours maximum). Activez l'audit des partages pour surveiller ce qui est partagé à l'extérieur.

7. Activer les journaux d'audit unifiés

Les journaux d'audit enregistrent toutes les activités dans votre environnement Microsoft 365 : connexions, accès aux fichiers, modifications de configuration, envois d'e-mails. En cas d'incident, ils sont indispensables pour comprendre ce qui s'est passé. Vérifiez que l'audit est activé : dans le portail de conformité Microsoft Purview, allez dans Audit et vérifiez que l'audit unifié est activé. Il l'est par défaut pour les nouveaux tenants, mais peut avoir été désactivé. Les journaux sont conservés 90 jours avec les abonnements standard et jusqu'à un an avec les abonnements premium.

8. Configurer les stratégies de prévention de perte de données (DLP)

Les stratégies DLP (Data Loss Prevention) détectent et bloquent automatiquement le partage de données sensibles. Avec Microsoft 365 Business Premium ou un abonnement incluant Microsoft Purview, vous pouvez configurer des règles qui détectent et bloquent l'envoi par e-mail de numéros de carte bancaire, de numéros de sécurité sociale ou de RIB. Dans le portail de conformité > Prévention de la perte de données, créez une stratégie personnalisée pour les types d'informations sensibles de votre activité. Commencez en mode audit (notification sans blocage) avant de passer en mode blocage.

9. Gérer les applications tierces et le consentement OAuth

Les applications tierces qui demandent un accès à Microsoft 365 via OAuth (« Connecter avec Microsoft ») peuvent obtenir des permissions étendues sur vos données. Un utilisateur qui accepte sans réfléchir peut donner à une application malveillante un accès permanent à sa messagerie. Limitez le consentement des utilisateurs : dans Azure Active Directory > Applications d'entreprise > Paramètres de consentement et d'autorisations, configurez le consentement pour qu'il nécessite l'approbation d'un administrateur. Passez en revue régulièrement les applications autorisées et révoquez celles qui ne sont plus nécessaires.

10. Activer les alertes de sécurité

Configurez des alertes pour être prévenu en cas d'activité suspecte. Dans le portail de sécurité Microsoft 365 Defender, activez les alertes pour les connexions depuis des pays inhabituels, les connexions impossibles (deux connexions depuis deux pays éloignés en peu de temps), les changements de règles de messagerie, les accès administrateurs inhabituels, et les tentatives de connexion échouées massives. Désignez au moins deux personnes qui reçoivent ces alertes pour garantir une réaction rapide même en cas d'absence.

Quel abonnement Microsoft 365 pour la sécurité ?

Microsoft 365 Business Basic (5,60 €/mois par utilisateur) inclut les protections de base : MFA, anti-spam, anti-malware. C'est suffisant pour les TPE avec les réglages manuels décrits ci-dessus. Microsoft 365 Business Standard (11,70 €/mois) ajoute les applications Office de bureau mais pas de sécurité supplémentaire significative. Microsoft 365 Business Premium (20,60 €/mois) est l'option recommandée pour les PME soucieuses de sécurité : il inclut Microsoft Defender for Office 365 (Safe Links, Safe Attachments, anti-phishing avancé), Intune pour la gestion des appareils mobiles, Azure AD Premium P1 (accès conditionnel), et Microsoft Purview pour la DLP. Le surcoût de 9 à 15 € par utilisateur et par mois pour passer à Business Premium est souvent plus rentable que des outils de sécurité tiers.

Checklist rapide de vérification

Connectez-vous au Centre d'administration Microsoft 365 (admin.microsoft.com) et vérifiez ces 10 points en moins d'une heure. MFA activé pour tous les utilisateurs. Nombre d'administrateurs globaux limité à 2-3. Stratégies anti-phishing configurées. Transfert automatique externe bloqué. SPF, DKIM et DMARC en place. Partage externe restreint. Audit unifié activé. Applications tierces contrôlées. Alertes de sécurité activées. Security Defaults ou accès conditionnel activé. Si plus de 3 points ne sont pas cochés, planifiez une session de configuration dans la semaine. Chaque réglage non activé est une porte ouverte pour les attaquants.