Sécuriser sa configuration Microsoft 365 : les réglages essentiels
Microsoft 365 est sécurisé par défaut... à condition d'activer les bons réglages. Voici les configurations indispensables pour une PME.
Microsoft 365 est l’environnement de travail de la majorité des PME et ETI françaises. Mais la configuration par défaut laisse de nombreuses portes ouvertes. Voici les réglages à vérifier en priorité.
Activer le MFA (authentification multifacteur) pour tous les comptes
C’est la mesure numéro un. Activez l’authentification multi-facteurs pour l’ensemble des utilisateurs, sans exception. Depuis 2024, Microsoft impose les “Security Defaults” sur les nouveaux tenants, mais beaucoup de tenants existants n’ont toujours pas le MFA actif.
Pour aller plus loin, configurez des politiques d’accès conditionnel (Conditional Access) :
- Bloquer les connexions depuis des pays où vous n’opérez pas
- Exiger un appareil conforme pour accéder aux données sensibles
- Forcer la réauthentification après un délai d’inactivité
Restreindre le partage externe
Par défaut, SharePoint et OneDrive autorisent le partage avec n’importe quelle adresse email externe. Restreignez ce périmètre :
- Limitez le partage externe aux domaines partenaires identifiés
- Désactivez le partage anonyme (“Anyone with the link”)
- Définissez une expiration automatique des liens de partage (30 jours maximum)
Séparer les rôles administrateurs
Ne conservez pas un seul compte “admin global” utilisé au quotidien. Appliquez le principe du moindre privilège :
- Global Admin : 2 comptes maximum, utilisés uniquement pour les opérations critiques
- Exchange Admin, SharePoint Admin, User Admin : rôles dédiés selon les besoins
- Activez Privileged Identity Management (PIM) si votre licence le permet : les droits admin sont activés à la demande et pour une durée limitée
Activer les journaux d’audit
Les journaux d’audit unifié (Unified Audit Log) sont désactivés par défaut sur certains tenants. Activez-les et conservez les logs au minimum 90 jours (365 jours avec les licences E5 ou le complément Compliance).
Surveillez en particulier :
- Les connexions inhabituelles (pays, horaires, appareils)
- Les modifications de règles de messagerie (transfert automatique vers l’extérieur)
- Les élévations de privilèges
Configurer la protection anti-phishing
Activez les politiques Safe Links et Safe Attachments de Microsoft Defender for Office 365 (inclus dans Business Premium). Configurez également :
- La protection contre l’usurpation d’identité (impersonation) des dirigeants
- Le signalement des emails suspects par les utilisateurs (bouton “Report Message”)
Checklist rapide
| Réglage | Priorité |
|---|---|
| MFA pour tous les comptes | Critique |
| Accès conditionnel | Haute |
| Restriction du partage externe | Haute |
| Séparation des rôles admin | Haute |
| Journaux d’audit actifs | Moyenne |
| Safe Links / Safe Attachments | Moyenne |