Liste de contrôle gratuite de sécurité Microsoft 365 pour PME | 2026 Francais

Microsoft 365 est le système d'exploitation par défaut des PME. Email, stockage de fichiers, collaboration, identité — tout passe par là. Cela en fait la cible de plus haute valeur de votre organisation, et les attaquants le savent.

Les attaques de phishing ciblant les tenants Microsoft 365 ont augmenté de 58 % en 2024. Microsoft est désormais la marque la plus usurpée dans les campagnes de phishing d'identifiants, avec 45 % des emails de phishing se faisant passer pour des notifications Microsoft. Parallèlement, 64 % des entreprises ont subi une attaque BEC (Business Email Compromise) en 2024, avec des pertes moyennes de 150 000 $ par incident.

Le problème n'est pas Microsoft 365 en soi — c'est que 99 % des violations cloud résultent de mauvaises configurations évitables (Gartner). La plupart des fonctionnalités de sécurité existent mais ne sont pas activées par défaut. Cette liste de contrôle de sécurité Microsoft 365 vous guide à travers plus de 40 étapes de durcissement alignées sur les bases CISA SCuBA et les CIS Benchmarks.

Résumé rapide

Le MFA bloque 99 %+ des attaques par identifiants — activez-le pour chaque utilisateur.
Augmentation de 58 % des attaques de phishing ciblant les tenants M365 en 2024.
64 % des entreprises ont subi des attaques BEC en 2024 (perte moy. 150 000 $).
99 % des violations cloud sont dues à des mauvaises configurations évitables.
Microsoft est la marque n°1 usurpée en phishing (45 % des emails de phishing d'identifiants).
Cette liste couvre 40+ étapes de durcissement sur Entra ID, Exchange, Teams, SharePoint et Defender.
Alignée sur les bases CISA SCuBA, CIS M365 Foundations Benchmark et les bonnes pratiques Microsoft.

Pourquoi votre tenant Microsoft 365 est une cible de haute valeur

Le paysage des menaces

Statistique	Source
Le MFA bloque plus de 99 % des attaques par identifiants	Microsoft
Augmentation de 58 % des attaques de phishing ciblant M365 (2024)	Hoxhunt / AI-Techpark
64 % des entreprises ont subi des attaques BEC en 2024 ; perte moy. 150 000 $	Hoxhunt 2024
Microsoft est la marque n°1 usurpée en phishing (45 % des emails)	Sources multiples 2024
99 %+ des violations cloud dues à des mauvaises configurations	Gartner 2025
40 % des emails BEC sont générés par IA	Hoxhunt 2025
Le phishing est la méthode d'attaque dans 33,3 % des attaques email	Hornetsecurity 2024
43,3 % des violations email de santé impliquaient Microsoft 365	BusinessWire 2025
Les attaques de phishing Teams ont explosé depuis avril 2024	Microsoft / SCWorld
CISA a mandaté la conformité SCuBA pour les tenants M365 fédéraux d'ici juin 2025	CISA BOD 25-01

La liste de contrôle de sécurité Microsoft 365

Section 1 : Identité et accès — Entra ID (Azure AD)

Activer le MFA pour tous les utilisateurs — Activez les Paramètres de sécurité par défaut (gratuit) ou configurez des politiques d'Accès conditionnel.
Bloquer l'authentification héritée — Désactivez POP3, IMAP, SMTP AUTH et les anciens protocoles clients.
Imposer Microsoft Authenticator ou FIDO2 — Découragez le MFA par SMS (risque de SIM swap).
Limiter les comptes Administrateur général — Maximum 2-4. Utilisez des rôles de moindre privilège.
Activer Privileged Identity Management (PIM) — Activation juste-à-temps pour les rôles admin.
Créer des comptes d'accès d'urgence (break-glass) — Au moins 2 comptes cloud exclus de l'Accès conditionnel.
Implémenter des politiques d'Accès conditionnel — MFA pour tous, bloquer auth héritée, exiger appareils conformes, bloquer connexions risquées.
Activer les politiques de risque de connexion et utilisateur — Bloquer ou contester automatiquement les connexions risquées.
Désactiver le consentement utilisateur aux apps tierces — Empêcher le phishing par consentement OAuth.
Réviser et supprimer les comptes invités obsolètes — Audit trimestriel des comptes externes.

Section 2 : Sécurité email — Exchange Online

Configurer les enregistrements SPF — Publiez un enregistrement TXT SPF avec -all (échec dur).
Activer la signature DKIM — Générez et publiez les clés DKIM pour tous les domaines.
Implémenter DMARC — Commencez avec p=quarantine puis passez à p=reject.
Activer les politiques anti-phishing — Protection contre l'usurpation d'identité des dirigeants.
Activer Safe Links — Réécriture et analyse des URLs au moment du clic.
Activer Safe Attachments — Détonation des pièces jointes en sandbox.
Bloquer le transfert email externe — Règle de transport pour interdire le transfert automatique.
Activer la journalisation d'audit des boîtes aux lettres — Vérifiez qu'elle est active.
Ajouter des avertissements d'expéditeur externe — Bannière ou préfixe "[EXTERNE]" sur les emails externes.
Restreindre la création de groupes de distribution — Empêcher les utilisateurs de créer des groupes non restreints.

Section 3 : Sécurité des appareils et endpoints

Inscrire les appareils dans Microsoft Intune — Exiger l'inscription pour accéder aux données (Business Premium).
Exiger la conformité des appareils — Bloquer les appareils non conformes via Accès conditionnel.
Activer le chiffrement BitLocker — Chiffrement complet du disque via politique Intune.
Appliquer les politiques de protection des applications — Conteneuriser les données d'entreprise sur mobile.
Exiger les mises à jour automatiques du système — Configurer les anneaux de mise à jour pour le déploiement rapide des correctifs.

Section 4 : Sécurité Microsoft Teams

Restreindre l'accès externe — Autoriser uniquement les domaines approuvés.
Désactiver la participation anonyme aux réunions — Exiger l'authentification.
Bloquer les uploads de fichiers des utilisateurs externes — Dans les canaux Teams.
Désactiver l'installation d'apps tierces par les utilisateurs — Approbation admin requise.
Restreindre la création d'équipes — Limiter à des groupes de sécurité spécifiques.
Former les employés au phishing Teams — Les attaquants usurpent les services IT dans Teams.

Section 5 : Sécurité SharePoint et OneDrive

Définir le partage par défaut sur « Personnes spécifiques » — Éviter le partage ouvert.
Désactiver les liens de partage anonymes — Ou définir des dates d'expiration (7-30 jours max).
Bloquer la synchronisation depuis les appareils non gérés — OneDrive sync uniquement depuis les appareils gérés.
Activer les étiquettes de confidentialité — Classer les documents et appliquer le chiffrement.
Auditer l'activité de partage externe — Rapports mensuels dans le Centre d'administration SharePoint.

Section 6 : Surveillance, journalisation et réponse

Consulter Microsoft Secure Score chaque semaine — Sur security.microsoft.com.
Activer le journal d'audit unifié — Vérifier dans le portail de conformité Microsoft Purview.
Configurer des alertes — Transferts email inhabituels, téléchargements massifs, changements de rôles admin, voyages impossibles.
Exécuter l'évaluation CISA SCuBAGear — Outil gratuit pour scanner votre tenant.
Activer la simulation d'attaque Defender — Simulations de phishing mensuelles.
Créer une procédure de réponse aux incidents M365 — Qui appeler, comment désactiver les comptes compromis.

Guide de priorisation

Priorité	Action	Coût	Impact
🔴 P0 — Aujourd'hui	Activer MFA pour tous (Paramètres par défaut)	Gratuit	Bloque 99 %+ des attaques par identifiants
🔴 P0 — Aujourd'hui	Bloquer l'authentification héritée	Gratuit	Ferme le contournement MFA
🔴 P0 — Aujourd'hui	Configurer SPF + DKIM + DMARC	Gratuit	Empêche l'usurpation d'email
🟠 P1 — Cette semaine	Limiter les comptes Admin général à 2-4	Gratuit	Réduit la surface d'attaque admin
🟠 P1 — Cette semaine	Bloquer le transfert email externe	Gratuit	Empêche l'exfiltration de données
🟡 P2 — Ce mois	Activer les politiques anti-phishing	Business Premium	Bloque les usurpations d'identité
🟡 P2 — Ce mois	Restreindre l'accès externe Teams	Gratuit	Bloque le phishing Teams
🟢 P3 — Ce trimestre	Déployer Intune + conformité appareils	Business Premium	Applique la sécurité des endpoints
🟢 P3 — Ce trimestre	Exécuter l'évaluation SCuBAGear	Gratuit	Valide contre les bases CISA

Erreurs courantes

Activer le MFA uniquement pour les admins — Les attaquants ciblent les comptes utilisateurs ordinaires. Le MFA doit couvrir tous les comptes.
Ignorer l'authentification email — Sans SPF, DKIM et DMARC avec p=reject, n'importe qui peut envoyer des emails semblant provenir de votre domaine.
Laisser l'authentification héritée activée — Un seul protocole hérité ouvert crée une porte dérobée.
Trop de rôles admin — Pas besoin de 10 Administrateurs généraux. Utilisez des rôles dédiés.
Traiter SharePoint comme un système de fichiers privé — Le partage par défaut peut exposer des données au public.
Ignorer Microsoft Secure Score — Un tableau de bord gratuit qui vous dit exactement quoi corriger.
Pas de stratégie de sauvegarde pour M365 — Les politiques de rétention Microsoft ne sont pas une sauvegarde.

Cadres et normes référencés

Cadre	Pertinence
CISA SCuBA (BOD 25-01)	Bases de configuration sécurisées pour les services M365
CIS Microsoft 365 Foundations Benchmark	Guide de durcissement pour Entra ID, Exchange, Teams, SharePoint
Microsoft Security Defaults	Base gratuite : MFA, blocage auth héritée
NIST SP 800-63B-4	Directives d'authentification et MFA
Architecture Zero Trust	Vérification explicite, moindre privilège, supposer la violation

Citations et références

Microsoft — Le MFA bloque plus de 99 % des attaques par identifiants. MFA obligatoire pour les connexions admin M365 d'ici février 2026.
Hoxhunt / AI-Techpark 2024 — Augmentation de 58 % du phishing ciblant M365. Microsoft, marque la plus usurpée.
Hoxhunt 2025 — 64 % des entreprises ont subi des attaques BEC en 2024 ; 40 % des emails BEC générés par IA.
Gartner 2025 — Plus de 99 % des violations cloud résultent de mauvaises configurations évitables.
Hornetsecurity 2024 — Analyse de 55,6 milliards d'emails : phishing en tête (33,3 %).
CISA BOD 25-01 — Conformité SCuBA mandatée. Outil SCuBAGear disponible gratuitement.
CIS — M365 Foundations Benchmark couvrant Entra ID, Exchange, Teams, SharePoint.
Microsoft / SCWorld 2024 — Explosion du phishing Teams depuis avril 2024.

Comment Cyberlords peut vous aider

Chez Cyberlords, nous aidons les PME à :

Réaliser un audit complet de sécurité Microsoft 365 — Scan de votre tenant contre les bases CISA SCuBA et CIS Benchmarks avec rapport de remédiation priorisé.
Implémenter le durcissement de cette liste — Configuration du MFA, Accès conditionnel, authentification email, politiques Defender et inscription Intune.
Exécuter des simulations de phishing — Tests via la simulation d'attaque Defender pour Office 365.
Surveiller et répondre — Services de sécurité gérés avec surveillance continue et support de réponse aux incidents.

Contactez l'équipe Cyberlords dès aujourd'hui.

Questions fréquemment posées

Quel est le paramètre de sécurité M365 le plus important ?

L'authentification multi-facteurs (MFA). Microsoft confirme que le MFA bloque plus de 99 % des attaques par identifiants. Activez-le pour chaque utilisateur, pas uniquement les administrateurs. Au minimum, activez les Paramètres de sécurité par défaut, une fonctionnalité gratuite qui impose le MFA sur tout votre tenant. Pour un contrôle plus granulaire, passez aux politiques d'Accès conditionnel (Business Premium).

Microsoft 365 est-il sécurisé par défaut ?

Non. Microsoft 365 offre de nombreuses fonctionnalités de sécurité, mais la plupart ne sont pas activées par défaut. Gartner estime que plus de 99 % des violations cloud résultent de mauvaises configurations évitables. Vous devez configurer proactivement le MFA, l'Accès conditionnel, les politiques anti-phishing, l'authentification email (SPF/DKIM/DMARC), la journalisation d'audit et la prévention des pertes de données.

Qu'est-ce que CISA SCuBA et pourquoi est-ce important ?

CISA SCuBA fournit des bases de configuration sécurisées pour les services M365. Sous la directive BOD 25-01, les agences fédérales devaient implémenter toutes les bases SCuBA d'ici juin 2025. CISA recommande fortement à toutes les organisations d'adopter ces bases. L'outil gratuit SCuBAGear vérifie automatiquement votre tenant.

Ai-je besoin de Business Premium pour la sécurité ?

Business Premium fournit l'Accès conditionnel, Defender Plan 1, Intune et Azure Information Protection. Même avec Business Basic, vous pouvez activer les Paramètres de sécurité par défaut (MFA gratuit), configurer SPF/DKIM/DMARC, bloquer l'authentification héritée et restreindre le partage SharePoint.

Comment protéger M365 contre le phishing ?

Superposez les défenses : politiques anti-phishing dans Defender, DMARC/DKIM/SPF, blocage de l'authentification héritée, simulation d'attaque, Safe Links et Safe Attachments, restriction du transfert externe et bannières d'expéditeur externe.

Faut-il bloquer l'authentification héritée ?

Oui, immédiatement. Les protocoles hérités ne supportent pas le MFA, créant un contournement direct. Les Paramètres de sécurité par défaut les bloquent automatiquement.

Comment sécuriser Microsoft Teams ?

Restreignez l'accès externe aux domaines approuvés, désactivez la participation anonyme, bloquez le partage de fichiers externe, exigez l'approbation admin pour les apps tierces et formez les employés au phishing Teams.

Qu'est-ce que Microsoft Secure Score ?

Une mesure gratuite de votre posture de sécurité sur security.microsoft.com. Consultez-le chaque semaine et priorisez les actions à fort impact.

liste contrôle sécurité microsoft 365 aperçu

Décisions clés, risques et actions d'implémentation pour la sécurité Microsoft 365.