Microsoft 365 est le système nerveux central de la plupart des PME québécoises : courriel, fichiers, réunions, communication interne. C'est aussi l'une des surfaces d'attaque les plus ciblées par les cybercriminels. Après avoir audité plus de 120 tenants de PME de 10 à 500 employés, voici ce que nous trouvons systématiquement.
Problème 1 : Le MFA n'est pas activé pour tous les utilisateurs
Dans 68 % des tenants que nous auditons, le MFA n'est pas obligatoire pour tous les utilisateurs. Souvent, les dirigeants et les comptes de service en sont exemptés "pour la commodité". Ce sont précisément ces comptes que les attaquants ciblent en priorité.
Correction : Activer les paramètres de sécurité par défaut Microsoft (Security Defaults) ou déployer des politiques d'accès conditionnel si votre abonnement le permet (Business Premium, E3+).
Problème 2 : Des anciens employés avec des accès actifs
En moyenne, nous trouvons 7 % de comptes actifs appartenant à des employés qui ont quitté l'organisation. Dans un cas récent, un compte inactif depuis 14 mois avait encore accès à un SharePoint contenant des contrats clients et des données financières.
Correction : Implémenter un processus de départ qui désactive les comptes le jour du départ, révoquer les sessions actives et transférer les données selon une procédure documentée.
Problème 3 : Des règles de redirection de courriels vers des boîtes externes
C'est l'indicateur le plus alarmant d'une compromission. Dans 23 % des tenants audités, nous trouvons des règles de redirection actives — souvent créées à l'insu du propriétaire du compte, après une compromission initiale. Ces règles transmettent silencieusement tous les courriels entrants (ou certains, filtrés par mots-clés) vers une boîte externe contrôlée par l'attaquant.
Correction : Audit immédiat de toutes les règles de transport et de redirection. Activer Microsoft Defender for Office 365 avec les politiques anti-phishing configurées.
Problème 4 : SharePoint et OneDrive avec des partages publics non contrôlés
Les liens "Tout le monde peut accéder" créés pour partager rapidement un fichier avec un partenaire restent actifs indéfiniment dans la plupart des tenants. Nous trouvons régulièrement des contrats confidentiels, des données RH et des rapports financiers accessibles publiquement via des liens générés des mois ou des années auparavant.
Problème 5 : Des licences inutilisées ou mal assignées
En moyenne, nos audits identifient 22 % de licences Microsoft 365 inutilisées ou assignées à des utilisateurs dont les besoins ne correspondent pas au niveau de licence. Pour une PME de 50 employés avec des licences Business Premium à 26 $ USD/mois, c'est potentiellement 3 380 $ USD par an en licences non utilisées.
Problème 6 : Aucune sauvegarde indépendante du tenant
Microsoft ne sauvegarde pas vos données Microsoft 365. La corbeille SharePoint et la rétention des courriels sont des fonctionnalités de récupération limitées, pas une sauvegarde. La suppression accidentelle ou malveillante de données peut être irréversible après 93 jours. Une solution de sauvegarde tierce (Veeam Backup for M365, Acronis Cyber Protect Cloud) est indispensable.
Comment procéder
Un audit Microsoft 365 complet chez Groupe Miracom couvre ces six points et une vingtaine d'autres contrôles de sécurité et de conformité. Le rapport inclut un score de maturité comparable aux benchmarks de l'industrie et un plan de remédiation priorisé. Pour la majorité des PME, les corrections les plus critiques peuvent être appliquées dans les 48 heures suivant l'audit.