MAIANO Informatique
Blog Technique
Microsoft 365 et sécuritéAudit14 min de lecture

Audit Microsoft 365 : 15 points de sécurité à vérifier dans un tenant PME

La configuration par défaut fait fonctionner Microsoft 365. Elle ne le sécurise pas. Checklist structurée en quatre catégories, chaque point avec risque, vérification et remédiation.

TL;DR, lecture 90 secondes
  • Microsoft 365 est la première cible de phishing et de compromission d'identifiants en PME. La configuration par défaut n'intègre qu'un socle minimal de sécurité, très en dessous d'un tenant durci.
  • Quinze points clés répartis en quatre catégories : identité (5), messagerie (5), données (3), résilience (2). Chaque point a un risque concret et une remédiation documentée dans l'admin center.
  • Trois leviers gratuits transforment la posture : MFA généralisé, authentification héritée désactivée, DMARC en rejet. Ils bloquent la majorité des attaques d'entrée automatisées.
  • Microsoft 365 ne sauvegarde pas vos données. La corbeille n'est pas une sauvegarde. Une solution tierce (Acronis, Veeam, Barracuda, Keepit) est indispensable pour la résilience.
  • Trois référentiels à croiser pour un audit crédible : Microsoft Secure Score (outil natif), CIS Microsoft 365 Benchmark (communautaire, exhaustif), recommandations ANSSI (posture nationale).

Pourquoi un audit Microsoft 365 en 2026

Microsoft 365 est devenu le socle bureautique et collaboratif de la majorité des PME françaises. Messagerie, stockage, visio, voix, authentification : tout transite désormais par le tenant. Cette concentration fait du tenant la cible centrale des attaquants. Les rapports Microsoft Digital Defense Report publiés chaque année montrent que le phishing et la compromission d'identifiants restent en tête des vecteurs d'attaque, devant les rançongiciels et les vulnérabilités non corrigées.

Le problème est structurel. Microsoft 365 est livré avec une configuration par défaut qui privilégie la mise en service rapide. Les paramètres de sécurité avancés existent (ils sont très complets), mais ils nécessitent d'être activés et ajustés. Un tenant laissé tel quel après migration est fonctionnel, pas durci.

L'audit proposé ici se structure en quatre catégories qui correspondent aux quatre vecteurs d'attaque principaux.

Schéma 1, les quatre catégories d'audit Microsoft 365
Les quatre catégories d'audit Microsoft 365Identité, Messagerie, Données, Résilience : quatre piliers regroupant 15 points de contrôle.IDENTITÉ(5 points)· MFA généralisé· Accès conditionnel· Authentification héritée OFF· Admin dédiés + PIM· Security DefaultsMESSAGERIE(5 points)· SPF durci· DKIM signé· DMARC en rejet· Règles transport auditées· Defender anti-phishingDONNÉES(3 points)· Partage externe limité· Étiquettes Purview· Journal audit + rétentionRÉSILIENCE(2 points)· Sauvegarde tierce· Plan incident documenté

Catégorie 1 : identité et authentification (5 points)

1. MFA généralisé sur tous les comptes

Risque. Un mot de passe volé suffit à ouvrir le compte. Les campagnes de credential stuffing (tests massifs de couples identifiant/mot de passe issus de fuites) ciblent quotidiennement les tenants M365. Selon Microsoft, le MFA bloque plus de 99 % des tentatives automatisées.
Vérification. Entra admin center > Users > Authentication methods. Vérifier que tous les comptes (pas seulement les admins) utilisent au moins une méthode MFA active.
Remédiation. Activer Security Defaults (gratuit) ou une politique d'accès conditionnel imposant le MFA. Privilégier Microsoft Authenticator ou clé FIDO2, éviter le SMS OTP quand c'est possible.

2. Accès conditionnel (Conditional Access)

Risque. Sans politique, un attaquant authentifié avec MFA (phishing évolué, vol de cookie de session) accède à tout depuis n'importe quelle machine dans le monde.
Vérification. Entra admin center > Protection > Conditional Access. Examiner les politiques actives : pays autorisés, exigence d'appareils conformes (Intune), blocage de plateformes à risque.
Remédiation. Déployer un socle minimum : blocage des connexions depuis pays non opérationnels, exigence d'appareil conforme pour les admins, blocage de l'authentification héritée. Conditional Access nécessite Entra ID P1 (inclus dans Microsoft 365 Business Premium et Enterprise E3/E5).

3. Authentification héritée désactivée

Risque. Les protocoles historiques (POP3, IMAP, SMTP basique, EWS basique) ne supportent pas le MFA. Tant qu'ils sont actifs, un attaquant contourne votre politique MFA par simple choix de protocole.
Vérification. Entra admin center > Sign-in logs, filtrer sur Client App = Other clients. Si des connexions réussies apparaissent, l'authentification héritée est encore utilisée.
Remédiation. Depuis octobre 2022, Microsoft a désactivé l'authentification héritée Exchange Online par défaut pour les nouveaux tenants. Pour les anciens tenants, créer une politique d'accès conditionnel Block legacy authentication et l'appliquer à tous les utilisateurs.

4. Comptes admin dédiés avec PIM

Risque. Un administrateur qui navigue, reçoit des emails ou consulte des pièces jointes avec son compte Global Admin expose le tenant à chaque clic. Une seule compromission d'un admin permanent suffit.
Vérification. Entra admin center > Roles & admins. Lister les titulaires de rôles privilégiés (Global Admin, User Admin, Exchange Admin, etc.) et vérifier qu'ils ont des comptes séparés de leur usage quotidien.
Remédiation. Créer des comptes admin-nom@tenant séparés du compte utilisateur. Activer Privileged Identity Management (PIM, licence Entra ID P2) pour l'attribution juste-à-temps des rôles, avec approbation et journalisation. Sans P2, au moins bloquer les connexions des admins depuis les plateformes non professionnelles.

5. Security Defaults si pas de Conditional Access

Risque. Les licences Microsoft 365 Business Basic et Business Standard ne donnent pas accès au Conditional Access. Sans alternative, ces tenants restent sans politique d'identité avancée.
Vérification. Entra admin center > Properties > Manage Security Defaults. État actif ou inactif.
Remédiation. Activer les Security Defaults gratuits. Ils imposent le MFA pour tous, bloquent l'authentification héritée, et durcissent les rôles privilégiés. Ce n'est pas aussi fin que le Conditional Access, mais c'est infiniment mieux que rien.

Catégorie 2 : messagerie et anti-phishing (5 points)

6. SPF publié et strict

Risque. Sans enregistrement SPF strict, n'importe qui peut envoyer un email en se faisant passer pour votre domaine. L'usurpation facilite le phishing ciblé (spearphishing, fraude au président).
Vérification. Interroger l'enregistrement SPF DNS (outil MXToolbox, dig ou nslookup sur TXT). Il doit se terminer par -all (rejet strict) et non ~all (soft fail) ou ?all (neutral).
Remédiation. Publier un SPF incluant include:spf.protection.outlook.com et tous les services émetteurs légitimes (newsletters, CRM, facturation), puis terminer par -all.

7. DKIM activé et signé

Risque. SPF seul est insuffisant car il ne vérifie que l'origine IP. DKIM signe cryptographiquement chaque email sortant, garantissant l'intégrité du message et son origine.
Vérification. Defender admin center > Email & collaboration > Policies > DKIM. Statut du domaine : Enabled. Vérifier la présence des deux enregistrements CNAME dans le DNS.
Remédiation. Activer DKIM dans l'admin Exchange, publier les CNAME fournis, rotation des clés tous les 12 mois.

8. DMARC en mode rejet

Risque. Sans DMARC, les emails qui échouent SPF ou DKIM arrivent quand même dans certaines boîtes. Le périmètre de défense n'est pas cohérent. Les rapports d'adoption DMARC en France montrent qu'une majorité de domaines PME restent en mode none ou absents.
Vérification. Enregistrement TXT _dmarc.votredomaine. Policy attendue : p=reject (ou p=quarantine en phase de rodage).
Remédiation. Démarrer en p=none avec rapports agrégés (rua=) pendant 4 à 8 semaines pour observer. Corriger les faux positifs. Passer en p=quarantine puis p=reject. Outils : Cloudflare Email Security, Postmark, Valimail, dmarcian.

9. Règles de transport auditées

Risque. Une attaque classique consiste à créer silencieusement une règle de transfert des emails entrants vers une adresse externe attaquant. La règle persiste après changement de mot de passe et exfiltre les échanges pendant des semaines.
Vérification. Exchange admin center > Mail flow > Rules. Inspecter toutes les règles. Audit des règles de boîtes individuelles via Outlook Web App et via PowerShell (Get-InboxRule).
Remédiation. Désactiver par défaut les redirections automatiques externes (Exchange > Outbound anti-spam policy > Automatic forwarding = Off). Monitorer la création de nouvelles règles via les logs Unified Audit.

10. Defender anti-phishing et impersonation

Risque. Le phishing évolué utilise des domaines sosies (typosquatting) et des usurpations d'identité de dirigeants ou partenaires. Sans politique ciblée, le filtre standard ne bloque que la partie basse du spectre.
Vérification. Defender admin center > Policies & rules > Threat policies > Anti-phishing. Vérifier la présence d'une politique personnalisée avec : liste d'utilisateurs protégés (dirigeants, DAF, DRH, acheteurs), liste de domaines protégés (fournisseurs, banque, clients clés), seuil de détection Aggressive ou More aggressive.
Remédiation. Créer cette politique si absente. Microsoft 365 Business Premium inclut Defender for Office 365 Plan 1 qui couvre ces fonctions.

Catégorie 3 : données et partage (3 points)

11. Partage externe SharePoint et OneDrive encadré

Risque. Par défaut, un utilisateur peut partager un document avec « toute personne disposant du lien ». Le lien fuite via copier-coller, moteur de recherche, ou email. La donnée devient accessible à quiconque l'obtient.
Vérification. SharePoint admin center > Policies > Sharing. Niveau de partage externe par défaut et par site.
Remédiation. Passer de Anyone à New and existing guests (partage nominatif nécessitant authentification invité). Pour les sites sensibles, limiter à des domaines autorisés (liste blanche fournisseurs/partenaires). Durée d'expiration par défaut des liens : 30 à 90 jours selon politique.

12. Étiquettes de sensibilité Purview et classification

Risque. Les données sensibles (contrats, RH, données clients, propriété intellectuelle) ne sont pas étiquetées. Impossible d'appliquer chiffrement, restriction de partage ou marquage automatiquement.
Vérification. Purview compliance portal > Information protection > Labels. Présence d'étiquettes (Public, Interne, Confidentiel, Restreint) avec actions associées (chiffrement, marquage, restriction copie).
Remédiation. Déployer une taxonomie simple (3 à 4 niveaux), publier une politique de publication, former les utilisateurs, activer la classification automatique par détection de motif (IBAN, numéros de sécurité sociale, cartes bancaires) selon contexte. Purview est inclus dans Microsoft 365 E3/E5 et partiellement en Business Premium.

13. Journal d'audit activé avec rétention

Risque. Sans logs, un incident ne se reconstitue pas. En cas de compromission, l'expert ne peut identifier ni le vecteur ni le périmètre touché. Impact cyber-assurance et conformité NIS2.
Vérification. Purview compliance portal > Audit. Vérifier que l'audit est activé. Vérifier la durée de rétention : 180 jours par défaut pour Business Premium, 1 an pour E5, jusqu'à 10 ans via add-on.
Remédiation. Activer l'audit unifié s'il ne l'est pas, étendre la rétention à 1 an minimum, prévoir un export régulier vers un SIEM ou un stockage externe immuable pour les tenants régulés.

Catégorie 4 : sauvegarde et résilience (2 points)

14. Sauvegarde tierce Microsoft 365

Risque. Microsoft applique le modèle de responsabilité partagée : la disponibilité du service est garantie, la préservation de vos données ne l'est pas. Suppression par un collaborateur, chiffrement par un rançongiciel via OneDrive synchronisé, purge accidentelle lors d'une migration : ces cas ne sont pas couverts par la corbeille et la rétention native, ou seulement sur des fenêtres très courtes.
Vérification. Présence d'une solution de sauvegarde tierce : Acronis Cyber Protect, Veeam Backup for Microsoft 365, Barracuda Backup for Office 365, Keepit, Afi.ai. Vérifier : périmètre couvert (Exchange, SharePoint, OneDrive, Teams), cadence, durée de rétention, localisation des sauvegardes, test de restauration annuel.
Remédiation. Mettre en place une sauvegarde quotidienne avec rétention 1 an minimum, stockée hors tenant Microsoft, avec au moins une copie immuable. Tester une restauration réelle au moins une fois par an. Voir la page Continuité et PRA pour l'architecture sauvegarde complète.

15. Plan de réponse à incident Microsoft 365 documenté

Risque. En cas de compromission d'un compte admin, les minutes comptent. Sans procédure écrite, l'équipe improvise et perd du temps. Obligation renforcée depuis NIS2 pour les entités concernées et leurs sous-traitants.
Vérification. Existence d'un document court (2 à 4 pages) couvrant : détection d'incident, isolement du compte compromis (révocation tokens, reset MDP, désactivation MFA frauduleux), audit des connexions, des règles de transport et des règles de boîtes, notification interne, notification CNIL sous 72 h si données personnelles, collecte des logs.
Remédiation. Rédiger le document en s'appuyant sur le playbook Microsoft Responding to a Compromised Email Account, le tester une fois par an en exercice de table, mettre à jour les numéros d'astreinte et les contacts CNIL/ANSSI.

Schéma 2, workflow d'un audit Microsoft 365 en 4 phases
Workflow d'audit M365Quatre phases séquentielles : préparation, scan outillé, revue de configuration, plan de remédiation priorisé.PRÉPARATION(2 à 3 jours)
Périmètre, comptes de lecture, inventaire, entretien DSI
SCAN OUTILLÉ(1 à 2 jours)
Secure Score, CIS Benchmark, CISA ScubaGear, rapports Defender
REVUE CONFIG(3 à 5 jours)
Inspection manuelle des 15 points, tests, écart vs référentiel
REMÉDIATION(Plan priorisé)
Actions rapides, changements planifiés, chantiers de fond, suivi
Durée totale typique : 6 à 10 jours ouvrés, restitution incluse. Plan de remédiation chiffré et priorisé.

Les référentiels à croiser pour un audit crédible

Un audit défendable ne se base pas sur une seule source. Trois référentiels se complètent.

  • Microsoft Secure Score. Outil natif dans Defender admin center. Agrège les paramètres identitaires, messagerie, applications, et donne un score chiffré (sur 100) comparé à des tenants similaires. Avantage : exhaustif côté Microsoft, mis à jour en continu. Limite : orienté catalogue Microsoft, ne couvre pas la sauvegarde tierce ni le plan d'incident documenté.
  • CIS Microsoft 365 Foundations Benchmark. Référentiel communautaire maintenu par le Center for Internet Security, publié en niveaux L1 (socle) et L2 (durci). Couvre plus de 150 contrôles détaillés avec procédure de vérification et remédiation. Version 4.0 publiée en 2025.
  • Recommandations ANSSI. Le guide Recommandations pour les administrateurs de systèmes d'information et les notes spécifiques Cloud posent le cadre français. Utile en complément pour les entités régulées ou les sous-traitants d'opérateurs NIS2.
  • CISA ScubaGear (bonus). L'agence américaine CISA publie un outil open source qui évalue un tenant M365 contre le socle de référence SCuBA (Secure Cloud Business Applications). Intéressant pour automatiser une première passe.

Pièges classiques observés en 2026

MFA activé seulement sur les admins

Laisser les comptes standards sans MFA expose la boîte du DG, du DAF et des commerciaux. MFA généralisé ou rien.

Conditional Access sans test en mode report

Déployer une politique stricte d’emblée verrouille les utilisateurs. Toujours tester en mode report-only 1 à 2 semaines.

DMARC en p=none oublié depuis 3 ans

Le mode none ne rejette rien. Il observe. Sans passage en quarantine puis reject, l’investissement est nul.

Sauvegarde M365 absente

La corbeille native n’est pas une sauvegarde. Après 30 à 93 jours selon service, la donnée supprimée est perdue.

Comptes admin sans PIM ni alerte

Un admin permanent compromis = tenant compromis. PIM + alertes sur usage rôle privilégié sont des filets essentiels.

Aucun plan de réponse documenté

En incident, 45 minutes d’improvisation coûtent souvent plus cher que 2 heures de rédaction préalable.

Ce qu'il faut retenir

Microsoft 365 offre un arsenal de sécurité solide, mais il n'est pas activé par défaut. Les 15 points de cette checklist couvrent le spectre opérationnel minimal d'un tenant PME en 2026 : identité durcie, messagerie conforme aux standards d'authentification, données classifiées et partage encadré, résilience assurée par une sauvegarde tierce et un plan d'incident.

Trois leviers gratuits transforment la posture : MFA généralisé, authentification héritée désactivée, DMARC en rejet. Ils bloquent la majorité des attaques automatisées. Les leviers payants (Conditional Access, Defender for Office 365 Plan 1, Purview, sauvegarde tierce) montent le niveau à celui attendu d'un sous-traitant de donneur d'ordre régulé (NIS2, ISO 27001, HDS).

Avant tout achat de licence supplémentaire, vérifier que les fonctions déjà incluses dans le tenant sont réellement activées et configurées. L'écart entre potentiel et réel est souvent le premier gisement de sécurité d'une PME.

Auditer votre tenant Microsoft 365

Un échange technique pour cadrer votre audit, avec la grille 15 points, les référentiels croisés et un plan de remédiation priorisé.