Sécuriser Microsoft 365 dans une PME : la checklist 2026 en 12 points

Pour la plupart des PME françaises, Microsoft 365 contient tout : la messagerie, les documents, les identités, parfois la téléphonie. C'est aussi la cible numéro un — un seul compte compromis suffit à déclencher fraude au président, exfiltration de données ou ransomware. La bonne nouvelle : 80 % du durcissement est gratuit et déjà inclus dans votre licence. Voici la checklist que j'applique chez mes clients.

Identité et accès (le cœur du sujet)

1. MFA obligatoire pour 100 % des comptes

Le réglage le plus important de cette liste. Activez l'authentification multi-facteurs par application (Microsoft Authenticator), pas par SMS — vulnérable au SIM swap. Aucune exception, surtout pas pour les dirigeants et la compta, qui sont les cibles prioritaires.

2. Bloquer l'authentification héritée (legacy auth)

Les vieux protocoles (POP, IMAP, SMTP basique) contournent la MFA. Ils sont responsables de la majorité des compromissions de comptes. Désactivez-les via une politique d'accès conditionnel — sauf besoin métier explicite et isolé.

3. Accès conditionnel basé sur le risque

Bloquez ou exigez une MFA renforcée pour les connexions depuis l'étranger, des IP inhabituelles ou des appareils non gérés. Une PME en France n'a aucune raison de voir ses comptes se connecter depuis l'Asie à 3h du matin.

4. Comptes admin séparés et protégés

Le compte qui administre M365 ne doit jamais servir à lire les mails au quotidien. Comptes d'administration dédiés, MFA obligatoire, et accès « juste-à-temps » quand c'est possible.

Messagerie et anti-phishing

5. SPF, DKIM et DMARC en mode reject

Sans ces trois enregistrements DNS correctement configurés, n'importe qui peut envoyer un email qui paraît venir de votre domaine. DMARC en politique reject empêche l'usurpation de @votre-entreprise.fr — c'est ce qui protège vos clients et partenaires d'une fraude en votre nom.

6. Anti-phishing et anti-spoofing Defender

Activez les politiques anti-phishing de Microsoft Defender for Office 365 : protection contre l'usurpation, détection des sosies de domaine, et bannière d'avertissement sur les emails externes. Le simple bandeau « expéditeur externe » réduit fortement les fraudes au président.

7. Désactiver le transfert automatique externe

La première chose que fait un attaquant après avoir compromis une boîte : créer une règle qui transfère discrètement tous les mails vers l'extérieur. Bloquez le transfert automatique externe par défaut, et surveillez la création de règles de boîte aux lettres.

Données et appareils

8. Politique de partage SharePoint / OneDrive maîtrisée

Par défaut, le partage est souvent trop permissif (« toute personne disposant du lien »). Limitez au partage interne ou aux invités authentifiés, avec expiration des liens. Beaucoup de fuites ne viennent pas d'un hack, mais d'un lien public oublié.

9. Gestion des appareils (au minimum les politiques de base)

Exigez un appareil conforme (chiffrement, code, à jour) pour accéder aux données. Même sans Intune complet, les politiques de base d'accès conditionnel par appareil ferment une porte majeure.

10. Rétention et corbeille : se protéger de la suppression

Activez des politiques de rétention pour qu'un attaquant (ou une erreur) ne puisse pas effacer définitivement mails et fichiers. Attention : la corbeille M365 n'est pas une sauvegarde (voir point 12).

Supervision et continuité

11. Activer et surveiller les journaux d'audit

Le journal d'audit unifié doit être actif (il l'est par défaut sur les licences récentes, à vérifier). Sans logs, vous ne saurez jamais ce qui s'est passé après un incident. Idéalement, ces journaux sont remontés vers un SIEM qui alerte en temps réel.

12. Une vraie sauvegarde tierce de Microsoft 365

Microsoft applique un modèle de responsabilité partagée : ils garantissent l'infrastructure, pas vos données. Un ransomware, une suppression malveillante ou une erreur peuvent détruire vos mails et fichiers au-delà des délais de rétention. Une sauvegarde tierce indépendante (immuable) de M365 est indispensable — c'est le point le plus souvent oublié en PME.

Aucun de ces 12 points ne demande un gros budget — surtout un peu de méthode et la bonne configuration. Pris ensemble, ils éliminent la grande majorité des scénarios d'attaque que je rencontre sur le terrain.