Microsoft 365
Un tenant Microsoft 365 non durci est une porte ouverte
82 % des compromissions impliquent l'identité. Un tenant Microsoft 365 avec ses paramètres par défaut est une invitation. Nous ne gérons pas de tenant non audité. C'est une ligne rouge de notre manifeste. Ce document explique pourquoi, et ce que nous faisons avant de prendre la main.
Données : Microsoft Security, CIS Benchmarks, ANSSI. Analyse et retour terrain MAIANO Informatique
Votre collaborateur reçoit un email de phishing qui contourne votre antispam. Il clique, saisit ses identifiants Microsoft 365, et 48 h plus tard, votre tenant est compromis. Pas de MFA, pas de Conditional Access, pas de supervision. Le paramétrage par défaut de Microsoft n'est pas un paramétrage de sécurité.
Scénario vécu par 3 clients sur 5 que nous auditons pour la première fois.
Le problème : le tenant « par défaut »
La majorité des tenants Microsoft 365 que nous auditons présentent les mêmes lacunes. Pas par incompétence, mais parce que Microsoft livre un tenant fonctionnel, pas sécurisé.
Le MFA n'est pas activé sur tous les comptes, ou il l'est uniquement par SMS (vulnérable au SIM-swap). Les comptes admin sont souvent les moins protégés.
DMARC non configuré ou en mode « none ». Pas de Safe Links, pas de Safe Attachments. Le phishing passe sans filtre avancé.
Liens anonymes activés, partage externe sans restriction, applications tierces consenties par les utilisateurs sans contrôle.
Notre approche : audit avant gestion
Ligne rouge MAIANO Informatique : nous ne prenons pas en gestion un tenant Microsoft 365 sans audit de conformité préalable. Si des lacunes critiques sont identifiées, elles sont corrigées avant l'intégration dans notre périmètre de supervision.
Le parcours de sécurisation
Scan automatisé + revue manuelle. Secure Score, configurations Entra ID, politiques existantes, applications consenties.
Rapport des écarts avec classification par criticité. Plan de remédiation chiffré et priorisé.
Application des correctifs : MFA, Conditional Access, DMARC, partage, applications. Validation avec le client.
Intégration dans notre périmètre de gestion. Alertes sur les changements de configuration, audits récurrents.
Ce que nous durcissons
Les axes de sécurisation que nous appliquons systématiquement sur chaque tenant pris en gestion.
- MFA sur 100 % des comptes (Authenticator ou FIDO2, pas SMS)
- Conditional Access : géolocalisation, conformité équipement, risque
- Blocage des protocoles legacy (10 fois plus de risque)
- PIM (Privileged Identity Management) pour les admins
- Anti-phishing avec protection contre l'usurpation
- Safe Links et Safe Attachments activés
- DKIM configuré et DMARC en mode d'application
- Politiques anti-spam renforcées
- Partage externe restreint aux domaines de confiance
- Liens anonymes désactivés sauf exception validée
- Consentement applications tierces bloqué par défaut
- Classification et étiquetage des données sensibles
- Conformité de l'équipement obligatoire (Intune) pour accès aux données
- Politiques de mots de passe alignées sur les recommandations ANSSI
- Revue périodique des comptes inactifs et des licences
- Séparation des rôles administrateurs
- Logs d'audit unifiés activés et conservés
- Alertes sur les modifications de configuration critique
- Rapports de Secure Score réguliers
- Suivi des connexions suspectes (Entra ID Protection)
- Backup Exchange, SharePoint, OneDrive, Teams
- Rétention configurable (30 jours à 12 mois)
- Protection contre la suppression accidentelle et le ransomware
- Microsoft ne sauvegarde pas vos données. Cette protection reste à votre charge.
Migration et fédération de tenants
AU-DELÀ DU DURCISSEMENT : L'EXPERTISE MIGRATIONNous ne faisons pas que sécuriser un tenant existant. Nous sommes spécialistes de la migration Microsoft 365. De la messagerie On-Premises jusqu'à la fédération de tenants multi-entités.
Depuis n'importe quelle plateforme de messagerie (Exchange, Zimbra, Google Workspace, hébergée, etc.). Coexistence, migration par lots, bascule MX. Zéro perte de données, interruption minimale.
Fusion de tenants après rachat ou réorganisation. Migration cross-tenant des boîtes aux lettres, SharePoint, OneDrive et Teams.
Architecture multi-tenants fédérée : chaque entité conserve son tenant avec partage contrôlé des ressources, annuaires et calendriers.
Ce que cette approche ne couvre pas
Notre périmètre Microsoft 365 couvre le durcissement et la supervision du tenant. Certains besoins sortent de ce cadre.
Développement d'applications Microsoft 365 (Power Platform, Azure AD apps)
Nous sécurisons le tenant et ses configurations. Le développement d'applications métier sur Power Apps, Power Automate ou Azure AD nécessite un intégrateur spécialisé Microsoft.
Si vous développez sur Power Platform, nous assurons que l'environnement dans lequel elles tournent est sécurisé.
Gouvernance Microsoft 365 avancée (E5 Compliance)
Les fonctionnalités avancées de conformité E5 (eDiscovery avancé, barrières d'information, gestion des risques internes) nécessitent des licences premium et une expertise juridique/compliance dédiée.
Pour les PME, les protections Business Premium + notre durcissement couvrent l'essentiel. E5 Compliance est un sujet ETI/Grand Compte.
SOC Microsoft 365 avec Microsoft Sentinel
Pour une supervision SIEM avancée des logs Microsoft 365 avec corrélation multi-sources et réponse automatisée (SOAR), Microsoft Sentinel + un SOC dédié sont nécessaires. Notre supervision couvre les alertes critiques et les changements de configuration.
Si vous avez besoin d'un SIEM Microsoft 365, vous êtes au-delà du périmètre PME standard.
Microsoft 365 et conformité NIS2
Un tenant Microsoft 365 non sécurisé est un point de non-conformité NIS2 immédiat. L'article 21 exige des mesures techniques de protection des systèmes d'information, et Microsoft 365 est souvent le système d'information principal de la PME.
MFA + Conditional Access = couverture de l'exigence d'authentification renforcée.
Classification + backup Acronis + chiffrement = couverture de la protection des données sensibles.
Logs d'audit + Secure Score + alertes = couverture de l'exigence de journalisation et supervision.
En lien avec cette page
Questions fréquentes
Lexique de cette page
Authentification à plusieurs facteurs (mot de passe + application mobile, clé FIDO2, biométrie). Réduit de plus de 99 % le risque de compromission de compte selon Microsoft. Exigée par NIS2 sur tous les accès à privilèges.
Ensemble de règles qui classifient les données sensibles (RIB, données de santé, numéros de sécurité sociale) et bloquent automatiquement leur exfiltration par email, partage cloud ou clé USB. Clé de la conformité RGPD.
Certification française obligatoire pour héberger des données de santé à caractère personnel. Basée sur ISO 27001 avec exigences additionnelles (localisation, traçabilité, sous-traitance). Durée de validité 3 ans.
Directive européenne 2022/2555 sur la cybersécurité, transposée en France en 2025. Impose à plus de 10 000 entités des mesures techniques (MFA, segmentation, journalisation) et organisationnelles (gouvernance, notification d'incident sous 24 h).