1. MFA forcée pour tous les utilisateurs
Activée par défaut depuis 2024 pour les nouveaux tenants, elle reste désactivée sur les anciens. Vérifier dans admin.microsoft.com → Utilisateurs → Authentification multifacteur. Cible : 100 % des utilisateurs, sans exception, idéalement avec MFA via Microsoft Authenticator (TOTP) ou clé FIDO2 pour les comptes admin.
Voir notre article MFA : SMS, application ou clé FIDO2 ?
2. Désactiver l'authentification legacy
Les anciens protocoles email (POP3, IMAP, SMTP basic auth) ne supportent pas la MFA. Tant qu'ils sont actifs, un attaquant peut les utiliser pour contourner la MFA en se connectant en authentification basique. Microsoft désactive progressivement ces protocoles, mais il faut le faire explicitement : Microsoft Entra → Politiques d'accès conditionnel → Bloquer l'authentification legacy.
3. Limiter le partage externe SharePoint et OneDrive
Par défaut, n'importe quel utilisateur peut partager un document avec n'importe qui à l'extérieur. C'est un trou de sécurité massif : un collaborateur partage un fichier client par erreur avec un domaine extérieur, et la donnée fuit définitivement.
Réglage recommandé pour une PME : SharePoint admin → Partage → Limiter à des domaines spécifiques autorisés, ou « Personnes existantes uniquement » selon votre besoin.
4. Microsoft Defender pour Office 365
Inclus dans Business Premium. Active la protection anti-phishing avancée, l'analyse des pièces jointes en sandbox (Safe Attachments), la vérification des liens cliqués (Safe Links). Sur le plan Standard, il faut le souscrire séparément (5-7 €/utilisateur/mois) — c'est l'un des meilleurs investissements sécurité possibles dans M365.
5. Politique de mots de passe forte (et pas d'expiration)
Configurez la longueur minimum à 12 caractères, l'interdiction des mots de passe communs (Microsoft Entra le fait via la liste globale d'interdiction). Surtout : désactivez l'expiration des mots de passe. C'est contre-intuitif, mais l'ANSSI et le NIST le recommandent depuis 2017 : l'expiration force les utilisateurs à choisir des mots de passe faibles incrémentaux (« Passw0rd1! » → « Passw0rd2! »). Mieux vaut un long mot de passe unique stocké dans un gestionnaire.
6. Activer la journalisation et les alertes
Microsoft 365 conserve les logs d'audit pendant 90 jours par défaut (180 jours en Business Premium). Encore faut-il que la journalisation soit activée — elle l'est dans la majorité des cas, mais à vérifier dans compliance.microsoft.com → Audit.
Configurez aussi des alertes automatiques sur les événements critiques : connexion depuis un pays inhabituel, modification de règles de boîte mail (signe classique d'une compromission), création d'un nouvel administrateur, partage de fichier sensible.
7. Politiques d'accès conditionnel sur les comptes admin
Pour les comptes Global Admin et Privileged Role Admin, configurer une politique d'accès conditionnel qui exige :
- FIDO2 obligatoire (pas de TOTP, pas de SMS).
- Bloquer toute connexion en dehors de la France ou des pays où l'entreprise opère.
- Bloquer les appareils non gérés (Intune ou Conditional Access dispose de cette option).
Activer aussi Privileged Identity Management (PIM) si vous êtes en Business Premium ou E3+ : les rôles admin sont activés à la demande, pas en permanence. L'attaquant qui vole un compte admin trouve un compte sans aucun privilège actif.
Le « Microsoft Secure Score » : votre tableau de bord
Microsoft fournit gratuitement un score de sécurité pour votre tenant, accessible dans security.microsoft.com → Secure Score. Il liste toutes les recommandations applicables et donne un score sur 100. La cible pour une PME bien sécurisée : au moins 70. La majorité des PME auditées sont entre 25 et 45.
C'est aussi le tableau de bord qu'un assureur cyber regardera lors d'une revue de votre dossier.
À retenir
Ce que Scryptoura fait pour vous
Notre Diagnostic Découverte inclut systématiquement un audit Microsoft 365 : votre Secure Score actuel, la liste des réglages manquants, le plan de mise en conformité. Notre offre Cybersécurité couvre ensuite le déploiement coordonné de tous ces paramètres.