Sécuriser Microsoft 365 : guide complet pour les PME

Microsoft 365 concentre tout ce qui fait fonctionner une entreprise : les emails, les fichiers, le calendrier, Teams, les mots de passe. C’est précisément pourquoi c’est la cible principale des attaquants. Selon le rapport Microsoft Digital Defense 2025, Microsoft 365 est impliqué dans 80 % des compromissions de comptes professionnels dans les PME européennes.

Un compte Microsoft 365 compromis, c’est l’accès à l’intégralité de la messagerie (donc aux mots de passe reçus par email), aux fichiers SharePoint, aux données clients, et souvent au moyen de lancer d’autres attaques contre vos partenaires et fournisseurs. La configuration par défaut de Microsoft 365 n’est pas conçue pour la sécurité maximale — elle est conçue pour la simplicité de déploiement. Ce guide couvre les étapes concrètes pour élever votre niveau de sécurité.

Avant de commencer, testez gratuitement la configuration email de votre domaine Microsoft 365. Notre outil vérifie SPF, DKIM, DMARC et les enregistrements DNS associés en quelques secondes.

Pourquoi Microsoft 365 est une cible prioritaire

La cible la plus riche du marché

Microsoft 365 est utilisé par plus de 50 % des PME françaises. Pour un attaquant, c’est un calcul simple : une technique qui fonctionne contre Microsoft 365 est exploitable contre la moitié des entreprises du marché. Le retour sur investissement est maximal.

Cette concentration crée aussi un problème structurel : un compte Microsoft 365 est la clé qui ouvre tout. L’email reçoit les codes de réinitialisation de mot de passe pour les autres services. OneDrive stocke les documents comptables et RH. SharePoint héberge les procédures internes. Teams contient des mois de conversations sensibles. Compromettre un seul compte — même celui d’un employé sans responsabilités particulières — donne souvent accès à bien plus que l’attaquant n’espérait.

Les trois vecteurs d’attaque dominants

L’AiTM (Adversary-in-the-Middle) contourne le MFA. C’est la technique qui a le plus progressé ces deux ans. Au lieu d’essayer de voler un mot de passe, l’attaquant place un serveur proxy entre l’utilisateur et la page de connexion Microsoft. L’utilisateur voit une vraie page Microsoft (ou une copie parfaite), saisit ses identifiants, complète son MFA — et l’attaquant capture en temps réel le jeton de session. Ce jeton permet de se connecter sans mot de passe ni MFA. Des kits comme EvilGinx2 ou Modlishka automatisent cette technique. Elle explique pourquoi le MFA seul n’est pas suffisant.

Le vol de jeton. Une fois qu’un employé est authentifié sur Microsoft 365, son navigateur conserve un jeton de session (cookie). Un malware sur le poste de travail, ou une pièce jointe malveillante ouverte dans le navigateur, peut extraire ce jeton et l’envoyer à l’attaquant, qui s’en sert pour se connecter sans identifiants. C’est ce qu’on appelle le « pass-the-cookie ».

Le consentement OAuth frauduleux. Un email de phishing invite l’utilisateur à autoriser une application tierce (un « add-in » apparemment légitime, une application de productivité, un outil de collaboration) à accéder à son compte Microsoft 365. L’utilisateur clique « Accepter » sur une vraie page Microsoft — et accorde à l’application malveillante un accès permanent à sa messagerie, à ses contacts, et parfois à OneDrive. Le MFA ne bloque pas ce scénario car la connexion initiale est légitime.

Ces trois vecteurs ont un point commun : ils contournent ou exploitent les mécanismes de sécurité standards. C’est pourquoi la configuration technique doit être multicouche.

Activer le MFA sur tous les comptes

Le MFA (authentification multifacteur) est la mesure à la fois la plus simple à déployer et la plus efficace. Selon Microsoft, le MFA bloque 99,9 % des attaques automatisées par credential stuffing et brute force. C’est le premier niveau de défense, non négociable.

Security Defaults versus Conditional Access

Microsoft propose deux façons d’activer le MFA sur un tenant.

Les Security Defaults sont activés par défaut sur tous les nouveaux tenants depuis 2020. Ils imposent le MFA à tous les utilisateurs lors de toute connexion, bloquent l’authentification héritée, et protègent les administrateurs avec un niveau de contrôle renforcé. C’est la solution sans configuration pour les PME sans responsable informatique à temps plein.

Le Conditional Access (accès conditionnel, disponible à partir de Business Premium ou Azure AD P1) permet de définir des règles granulaires : imposer le MFA seulement pour certaines applications, exclure les appareils gérés connus, bloquer les connexions depuis certains pays, adapter la politique par groupe d’utilisateurs. C’est la solution recommandée dès que vous avez un responsable informatique actif.

Les deux approches sont mutuellement exclusives : si vous activez le Conditional Access, les Security Defaults doivent être désactivés. Ne désactivez pas les Security Defaults sans avoir configuré des politiques de Conditional Access équivalentes.

Configurer le MFA étape par étape

Pour les Security Defaults :

1. Portail Azure → Azure Active Directory → Propriétés → Gérer les paramètres de sécurité par défaut
2. Activez « Activer les paramètres de sécurité par défaut » → Enregistrer

Pour le MFA via Conditional Access :

1. Portail Azure → Azure Active Directory → Sécurité → Accès conditionnel
2. Nouvelle stratégie → nommez-la « MFA pour tous les utilisateurs »
3. Utilisateurs : inclure « Tous les utilisateurs » ; exclure les comptes de service si nécessaire
4. Applications cloud : « Toutes les applications cloud »
5. Contrôles d’octroi : cochez « Exiger l’authentification multifacteur »
6. Activez la stratégie en mode « Rapport uniquement » pendant 7 jours pour vérifier l’absence d’impact avant le passage en « Activé »

Prioriser les comptes à haut risque

Tous les comptes ne présentent pas le même niveau de risque. L’ordre de déploiement recommandé :

1. Administrateurs globaux et administrateurs Exchange : ces comptes peuvent modifier la configuration de sécurité du tenant entier. Une compromission donne un contrôle total sur l’organisation. Déployez le MFA en premier, idéalement avec des comptes distincts réservés à l’administration, séparés des comptes de travail quotidien.
2. Direction et accès aux données financières : les cibles préférées des attaques BEC (Business Email Compromise) et des fraudes au président.
3. Tous les autres employés : déployez progressivement en commençant par les services les plus exposés (commercial, RH, comptabilité).

Choisir la bonne méthode MFA

Microsoft Authenticator (recommandé pour la majorité des utilisateurs) : l’application envoie une notification push sur le smartphone. L’utilisateur valide en appuyant sur « Approuver ». Facile à utiliser, bonne résistance au phishing classique. Attention : une attaque par « fatigue MFA » (envoyer des dizaines de notifications push jusqu’à ce que l’utilisateur approuve par lassitude) fonctionne sur cette méthode. Microsoft a ajouté une protection « Number Matching » qui demande à l’utilisateur de saisir un code affiché à l’écran — activez-la.

FIDO2 / clés matérielles (recommandé pour les administrateurs) : des clés USB physiques (YubiKey, par exemple) qui signent cryptographiquement l’authentification. Elles résistent aux attaques AiTM car elles vérifient le domaine du site avant de signer. C’est la seule méthode MFA réellement résistante au phishing avancé. Le coût est d’environ 50 à 70 euros par clé.

SMS (à éviter) : vulnérable au SIM swapping (portabilité malveillante du numéro) et à l’interception. À utiliser seulement pour les comptes dont l’utilisateur ne peut pas installer d’application smartphone.

Configurer Defender for Office 365

Defender for Office 365 est la couche de filtrage avancé des emails intégrée à Microsoft 365. Il va au-delà du filtre anti-spam basique en analysant les liens, les pièces jointes et les comportements d’usurpation d’identité.

Plan 1 versus Plan 2

Plan 1 (inclus dans Business Premium, disponible en add-on) couvre :

• Safe Links : réécriture des URLs et vérification au clic
• Safe Attachments : ouverture des pièces jointes en environnement isolé (sandbox)
• Anti-phishing avancé : protection contre l’usurpation de domaine et d’utilisateur

Plan 2 (inclus dans E5 ou en add-on) ajoute :

• Attack Simulator : simulation d’attaques de phishing intégrée (limitée, sans personnalisation avancée)
• Threat Explorer : investigation manuelle des menaces
• Automated Investigation and Response (AIR) : réponse automatique aux incidents
• Threat Trackers : suivi des campagnes actives

Pour une PME sans analyste sécurité à temps plein, le Plan 1 couvre les besoins courants. Le Plan 2 est utile si vous avez quelqu’un pour exploiter les outils d’investigation.

Configurer Safe Links

Safe Links réécrit tous les liens dans les emails et dans les documents Office. Quand un utilisateur clique sur un lien, Microsoft vérifie en temps réel si l’URL est malveillante avant de rediriger.

1. Portail Microsoft 365 Defender → Stratégies & règles → Stratégies de menace → Safe Links
2. Politique globale → activez la protection pour les emails et les applications Office
3. Options recommandées :
   • Activer « Suivi des clics » pour les rapports
   • Activer « Ne pas permettre aux utilisateurs de cliquer vers l’URL d’origine »
   • Activer la protection pour les liens dans les documents Office 365
4. Créez une politique spécifique pour les administrateurs avec les contrôles les plus stricts

Limitation connue : Safe Links protège les liens dans les emails entrants. Les liens dans les messages Teams ou dans les fichiers partagés via des services tiers ne sont pas tous couverts. Informez vos utilisateurs que même un lien « bleu » vérifié peut mener vers une page de phishing si le site a été compromis après la vérification.

Configurer Safe Attachments

Safe Attachments ouvre chaque pièce jointe dans un environnement virtuel isolé avant de la livrer. Si la pièce jointe déclenche un comportement malveillant, elle est bloquée.

1. Portail Microsoft 365 Defender → Stratégies & règles → Stratégies de menace → Pièces jointes fiables
2. Nouvelle stratégie → nommez-la « Safe Attachments - Tous utilisateurs »
3. Action : sélectionnez « Bloquer » (bloque les pièces jointes malveillantes et livre les propres) ou « Remplacer dynamiquement » (livre l’email mais avec la pièce jointe en attente d’analyse)
4. Activez « Rediriger les pièces jointes avec les pièces jointes détectées » vers une adresse d’analyse

Impact sur les délais de livraison : l’analyse en sandbox prend entre 1 et 5 minutes pour la plupart des pièces jointes. Les utilisateurs voient l’email sans la pièce jointe pendant ce délai. C’est un compromis à communiquer à l’avance.

Politiques anti-phishing avancées

Les politiques anti-phishing de Defender vont au-delà du filtrage de contenu. Elles détectent :

• L’usurpation de domaine interne : un email prétendant venir de @votredomaine.fr mais envoyé depuis un serveur externe
• L’usurpation d’utilisateurs sensibles : un email qui imite le nom du directeur général ou du directeur financier
• L’intelligence sur les boîtes aux lettres : détection des comportements atypiques basés sur les habitudes de communication habituelles

Configuration recommandée :

1. Portail Microsoft 365 Defender → Stratégies & règles → Stratégies de menace → Anti-hameçonnage
2. Modifiez la politique par défaut ou créez une politique spécifique
3. Activez la protection contre l’usurpation d’identité des utilisateurs : ajoutez les adresses de la direction et des personnes avec accès financier
4. Activez la protection contre l’usurpation de domaine : ajoutez vos domaines et les domaines de vos fournisseurs critiques
5. Niveau d’action : « Déplacer vers les dossiers de courrier indésirable » pour les premiers jours, puis « Mettre en quarantaine » après validation

ZAP : la purge automatique

ZAP (Zero-hour Auto Purge) est une fonctionnalité souvent méconnue. Quand Microsoft identifie qu’un email déjà livré dans les boîtes des utilisateurs est malveillant (après analyse différée ou grâce à de nouvelles données de renseignement), ZAP le déplace automatiquement vers le dossier spam ou le met en quarantaine.

ZAP est activé par défaut sur les tenants récents. Vérifiez qu’il est bien actif dans vos politiques anti-phishing et anti-malware. Il traite rétroactivement les emails des 48 dernières heures.

Mettre en place le Conditional Access

Le Conditional Access est l’outil le plus puissant du dispositif Microsoft 365 pour contrôler précisément qui peut se connecter, depuis où, et dans quelles conditions. Voici les politiques prioritaires pour une PME.

Bloquer l’authentification héritée

C’est la politique la plus urgente si votre tenant est ancien. L’authentification héritée (POP3, IMAP, SMTP AUTH, clients Office antérieurs à 2013) ne supporte pas le MFA. Un attaquant qui dispose d’un mot de passe peut s’en servir directement sans déclencher le second facteur.

1. Portail Azure → Accès conditionnel → Nouvelle stratégie
2. Utilisateurs : tous les utilisateurs
3. Applications cloud : toutes les applications cloud
4. Conditions → Applications clientes : cochez « Clients Exchange ActiveSync » et « Autres clients »
5. Contrôles d’octroi : Bloquer l’accès
6. Activez d’abord en mode « Rapport uniquement » pendant 3 à 5 jours pour identifier les applications internes qui utilisent encore ces protocoles

Attention avant d’activer : certains équipements de bureau (imprimantes multifonctions, scanners qui envoient par email, applications métier) utilisent SMTP AUTH. Identifiez-les d’abord dans les rapports du mode simulation. Vous devrez migrer ces équipements vers des comptes applicatifs avec des droits restreints, ou utiliser le relais SMTP de Microsoft 365.

Exiger le MFA pour les actions à risque élevé

Une approche plus fine que le MFA pour tous consiste à exiger le MFA uniquement pour les actions sensibles :

• Connexion depuis un appareil non reconnu (pas joint au domaine, pas inscrit dans Intune)
• Connexion depuis une nouvelle localisation géographique
• Accès aux applications d’administration (portail Azure, Exchange Admin Center)
• Modification des méthodes d’authentification

Stratégie : MFA pour accès admin
Utilisateurs : groupe « Administrateurs »
Applications : Microsoft Azure Management, Exchange Admin Center
Contrôles : Exiger MFA + Exiger un appareil conforme (si Intune est déployé)

Restreindre par localisation géographique

Si vos employés travaillent exclusivement en France (ou dans un périmètre géographique connu), bloquez les connexions depuis les autres pays. Cette politique bloque les attaques automatisées qui proviennent d’autres continents.

1. Accès conditionnel → Emplacements nommés → Créer un emplacement de pays
2. Sélectionnez les pays autorisés (France, et les pays où travaillent vos éventuels employés en déplacement)
3. Stratégie de blocage : tous les utilisateurs / toutes les applications / condition : emplacement hors liste → Bloquer

Cas particulier des déplacements professionnels : prévoyez une procédure pour débloquer temporairement un utilisateur en déplacement à l’étranger, ou utilisez l’exclusion dynamique par groupe pour les voyageurs fréquents.

Restreindre aux appareils gérés

Si vous utilisez Microsoft Intune pour gérer les appareils de vos employés, exiger un « appareil conforme » dans les politiques de Conditional Access garantit que seuls les appareils enregistrés et à jour peuvent accéder aux données sensibles.

Cette politique est particulièrement utile pour bloquer les connexions depuis les appareils personnels non sécurisés ou les terminaux compromis.

Configurer SPF, DKIM et DMARC pour Microsoft 365

L’authentification email protège votre domaine contre l’usurpation : sans ces protocoles, n’importe qui peut envoyer un email en se faisant passer pour @votredomaine.fr. Voici la configuration spécifique à Microsoft 365. Pour une explication détaillée de chaque protocole, consultez notre guide complet SPF/DKIM/DMARC.

SPF pour Microsoft 365

Microsoft 365 utilise spf.protection.outlook.com comme mécanisme SPF. Si Microsoft 365 est votre seul service d’envoi :

v=spf1 include:spf.protection.outlook.com -all

Si vous combinez Microsoft 365 avec d’autres services (CRM, outil marketing, transactionnel) :

v=spf1 include:spf.protection.outlook.com include:spf.brevo.com -all

Cet enregistrement TXT est à créer à la racine de votre domaine (hôte @ ou vide selon votre registrar). Le -all en fin de ligne indique aux serveurs destinataires de rejeter tout email provenant d’un serveur non listé.

Attention à la limite des 10 lookups : spf.protection.outlook.com consomme plusieurs lookups DNS en interne. Si vous avez de nombreux services d’envoi, comptez vos lookups avec un outil de vérification avant d’activer un -all strict.

DKIM pour Microsoft 365

Microsoft 365 active DKIM automatiquement pour les domaines en *.onmicrosoft.com. Pour votre domaine personnalisé, il faut l’activer manuellement.

Microsoft utilise des enregistrements CNAME (et non TXT) pour DKIM, ce qui lui permet de faire tourner les clés automatiquement sans intervention de votre part :

1. Portail Microsoft 365 Defender → Stratégies & règles → Stratégies de menace → Paramètres d’authentification email → DKIM
2. Sélectionnez votre domaine
3. Microsoft vous donne deux enregistrements CNAME à créer dans votre DNS :
   • selector1._domainkey.votredomaine.fr → selector1-votredomaine-fr._domainkey.votredomaine.onmicrosoft.com
   • selector2._domainkey.votredomaine.fr → selector2-votredomaine-fr._domainkey.votredomaine.onmicrosoft.com
4. Créez ces deux enregistrements dans votre zone DNS (propagation : quelques minutes à 48 heures)
5. Revenez dans la console et activez la signature DKIM

Une fois DKIM activé, Microsoft fait tourner les clés automatiquement via le mécanisme selector1/selector2. Vous n’avez pas à gérer les rotations manuellement.

DMARC : la progression recommandée

DMARC coordonne SPF et DKIM et indique aux serveurs ce qu’ils doivent faire quand un email échoue aux vérifications. L’objectif final est p=reject, mais on y arrive progressivement.

Étape 1 : observation (p=none)

_dmarc.votredomaine.fr  TXT  "v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.fr; fo=1"

Pendant 2 à 4 semaines, vous recevez des rapports XML quotidiens qui listent toutes les sources d’envoi de votre domaine, avec les résultats SPF et DKIM pour chacune.

Étape 2 : quarantaine progressive (p=quarantine)

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@votredomaine.fr; fo=1

Commencez à 25 % (paramètre pct=) pour limiter l’impact d’éventuels faux positifs. Montez à 50 %, 75 %, puis 100 % en surveillant les rapports.

Étape 3 : rejet (p=reject)

v=DMARC1; p=reject; rua=mailto:dmarc-reports@votredomaine.fr; fo=1

À ce stade, les emails envoyés en usurpant votre domaine sont refusés par les serveurs destinataires. C’est l’objectif.

Pour en savoir plus sur la migration vers p=reject et la gestion des cas limites, consultez notre guide migration DMARC reject dès sa disponibilité.

Les protocoles SPF et DMARC protègent votre domaine contre l’usurpation, mais ils ne couvrent pas les domaines sosies (votredomaine-secure.fr) ni les attaques depuis des comptes légitimes compromis.

Surveiller les connexions et les anomalies

La configuration de sécurité n’est utile que si vous détectez les incidents qui la contournent. Microsoft 365 génère des journaux riches — encore faut-il les surveiller.

Les journaux de connexion Azure AD

Le portail Azure AD (Entra ID) conserve les journaux de connexion sur 30 jours pour les tenants avec une licence P1 ou P2, et sur 7 jours pour les tenants de base.

Où regarder : Portail Azure → Microsoft Entra ID → Surveillance → Connexions

Ce qu’il faut surveiller :

• Connexions depuis des pays inhabituels : une connexion depuis un pays où aucun de vos employés ne travaille est un signal fort.
• Connexions impossibles : un utilisateur connecté depuis Paris à 9h00 et depuis Singapour à 9h30 — impossible en avion, probable sur des identifiants volés. Azure AD Identity Protection détecte ce pattern automatiquement (« Voyage atypique »).
• Spray de mots de passe : de nombreuses tentatives de connexion sur de nombreux comptes avec un faible nombre d’essais par compte pour éviter le verrouillage. Visible dans les journaux par un nombre élevé d’échecs de connexion sur une plage horaire réduite.
• Connexions depuis des adresses IP anonymisantes : Tor, VPN commerciaux, proxies — souvent utilisés par les attaquants pour masquer leur origine.

Azure AD Identity Protection

Identity Protection (disponible avec Azure AD P2, inclus dans E5 ou Business Premium) automatise la détection des connexions à risque.

Risques utilisateur détectés automatiquement :

• Identifiants apparus dans des fuites de données connues
• Comportements d’utilisation anormaux (changement brusque de patterns)
• Activité suspecte sur le compte

Risques de connexion détectés :

• Voyage impossible
• Propriétés de connexion inconnues (nouvel appareil, nouveau réseau)
• Adresse IP anonyme
• Intelligence sur les menaces (IP connue dans des campagnes d’attaque)

Configuration des alertes :

1. Portail Azure → Protection de l’identité → Stratégie de risque de connexion
2. Affectez la stratégie à « Tous les utilisateurs »
3. Condition : risque de connexion ≥ Moyen → exiger le MFA
4. Condition : risque de connexion ≥ Élevé → bloquer l’accès et déclencher une alerte

Configurer les alertes email

Sans alertes proactives, vous ne saurez qu’un compte a été compromis qu’après les dégâts.

Alertes à configurer dans le portail Microsoft 365 Defender :

1. Portail Defender → Paramètres → Microsoft 365 Defender → Notifications par email
2. Activez au minimum :
   • « Activité de transfert d’email susspecte » : un compte compromis configure souvent une règle de transfert automatique vers une adresse externe
   • « Connexion depuis un emplacement inhabituel »
   • « Compte utilisateur potentiellement compromis »
   • « Activité inhabituelle de fichiers » (téléchargement massif depuis SharePoint ou OneDrive)
3. Envoyez les alertes à une adresse email hors Microsoft 365 (si votre Microsoft 365 est compromis, vous recevrez quand même les alertes)

Audit des règles de boîte mail

Une des premières actions d’un attaquant après avoir compromis un compte est de créer une règle de transfert automatique ou de suppression silencieuse des alertes de sécurité. Vérifiez régulièrement :

1. Exchange Admin Center → Flux de messagerie → Règles de transport : cherchez des règles de transfert vers des domaines externes
2. Pour chaque boîte compromise suspectée, vérifiez les règles Outlook via PowerShell :

   Get-InboxRule -Mailbox "utilisateur@votredomaine.fr" | Select Name, ForwardTo, ForwardAsAttachmentTo, DeleteMessage

La sécurité technique ne suffit pas

Vous pouvez déployer l’intégralité des mesures décrites dans ce guide — MFA, Defender, Conditional Access, SPF/DKIM/DMARC, surveillance — et subir quand même une compromission.

Pourquoi les contrôles techniques sont contournables

Les attaques AiTM décrites en introduction contournent le MFA en volant les jetons de session après une authentification légitime. Defender for Office 365 peut bloquer 99 % des emails de phishing connus, mais le 1 % restant suffit. Un domaine de phishing enregistré la veille d’une attaque ciblée n’a pas de réputation négative dans les bases de données de menaces — il passe les filtres pendant les premières heures critiques.

Les règles de Conditional Access bloquent les connexions depuis des pays inhabituelss — mais pas depuis la France, où les attaquants utilisent de plus en plus des infrastructures hébergées localement pour contourner ces filtres.

La couche humaine fait la différence

Un employé qui sait reconnaître un email suspect peut bloquer une attaque que Defender a laissée passer. Un employé qui comprend pourquoi ne pas approuver une demande MFA non sollicitée résiste aux attaques de fatigue MFA. Un employé qui signale immédiatement une tentative de phishing permet une réponse rapide avant que d’autres collègues ne cliquent.

Cette compétence ne s’acquiert pas par une lecture de politique de sécurité. Elle s’acquiert par la pratique. Les simulations de phishing régulières exposent les employés à des tentatives réalistes dans un contexte sécurisé : quand ils cliquent, ils reçoivent une formation immédiate adaptée à la technique utilisée, au moment où ils sont le plus réceptifs.

Le taux de clic moyen sur une première simulation est de 30 à 40 % dans les PME françaises (Rapport nophi.sh 2025). Après 6 mois de simulations mensuelles, ce taux descend généralement sous 8 %. C’est le delta entre une organisation qui a configuré ses outils et une organisation qui a entraîné ses équipes.

La directive NIS2 reconnaît explicitement cette complémentarité en rendant obligatoires à la fois les mesures techniques et la formation des employés. Les deux couches sont nécessaires. Ni l’une ni l’autre n’est suffisante seule.

Votre configuration Microsoft 365 est en place. Maintenant entraînez vos équipes. Lancez une première simulation de phishing gratuite pour mesurer votre point de départ — sans engagement, résultats en moins de 24 heures.

FAQ

Quelle différence entre Microsoft 365 E3 et E5 pour la sécurité ?

E3 inclut Defender for Office 365 Plan 1 (Safe Links, Safe Attachments basiques) et l’accès conditionnel. E5 ajoute Defender Plan 2 (investigation automatisée, chasse aux menaces avancée), Microsoft Sentinel, et les fonctionnalités avancées d’Identity Protection. Pour une PME sans équipe sécurité à temps plein, E3 couvre les bases. E5 apporte de la valeur dès que vous avez quelqu’un pour exploiter les alertes avancées.

Combien coûte Defender for Office 365 ?

Defender for Office 365 Plan 1 est inclus dans Microsoft 365 Business Premium (22,60 € par utilisateur par mois en 2026) et dans les licences E3/E5. Il est aussi disponible seul à environ 2 € par utilisateur par mois. Le Plan 2, avec les fonctionnalités d’investigation avancée, est inclus dans E5 ou disponible séparément à environ 5 € par utilisateur par mois.

Quelle méthode MFA privilégier pour Microsoft 365 ?

L’application Microsoft Authenticator (notifications push ou codes TOTP) est le bon équilibre entre sécurité et facilité d’utilisation pour la majorité des employés. Les clés FIDO2 (YubiKey, clé USB sécurisée) offrent une protection supérieure pour les comptes administrateurs car elles résistent aux attaques AiTM. Le SMS est à éviter : il est vulnérable au SIM swapping et à l’interception. Windows Hello for Business est une bonne option pour les postes Windows 11 gérés.

Qu’est-ce que l’authentification héritée et pourquoi la bloquer ?

L’authentification héritée (legacy auth) regroupe des protocoles anciens comme POP3, IMAP, SMTP AUTH, et les clients Office 2010 ou antérieurs. Ces protocoles ne supportent pas le MFA : un attaquant qui obtient un mot de passe peut s’en servir sans jamais déclencher la demande de second facteur. En 2026, Microsoft bloque par défaut l’authentification héritée sur les nouveaux tenants, mais de nombreuses PME ont encore des configurations anciennes qui l’autorisent. La vérifier et la bloquer est une priorité.

Comment sécuriser les boîtes mail partagées dans Microsoft 365 ?

Les boîtes partagées (contact@, factures@, rh@) sont des angles morts fréquents : elles n’ont pas de propriétaire unique et leur mot de passe est rarement changé. La bonne pratique : désactiver la connexion directe à la boîte partagée (la rendre inaccessible sans un compte nominatif), révoquer les licences directes si la boîte n’en a pas besoin, et auditer régulièrement les délégations d’accès. Si la boîte a une licence, activez le MFA comme pour tout autre compte.

Defender for Office 365 suffit-il à bloquer le phishing ?

Defender for Office 365 est une couche de protection technique solide : il bloque la majorité des emails de phishing connus, réécrit les liens suspects et analyse les pièces jointes en sandbox. Mais il ne bloque pas tout. Les attaques AiTM contournent le MFA en volant les jetons de session. Les emails de phishing ciblés (spear phishing) avec des domaines frais passent souvent les filtres les premiers jours. La couche humaine — des employés capables de reconnaître un email suspect — reste nécessaire en complément.

Faut-il configurer les Security Defaults ou le Conditional Access ?

Les Security Defaults sont activés par défaut sur les nouveaux tenants et conviennent aux organisations sans équipe IT à temps plein : ils activent le MFA pour tous les comptes et bloquent l’authentification héritée sans configuration. Le Conditional Access (disponible à partir de Microsoft 365 Business Premium ou Azure AD P1) offre un contrôle granulaire : politiques par groupe, par application, par localisation, par conformité des appareils. Pour une PME avec un responsable informatique actif, le Conditional Access est préférable dès que vous avez plus d’une dizaine d’utilisateurs.