Microsoft 365 est devenu indispensable dans beaucoup de PME. Les mails, les fichiers, les réunions, les comptes utilisateurs et les partages passent souvent par le même environnement.
Tout peut sembler normal au quotidien.
Les mails arrivent. Outlook s’ouvre. Teams fonctionne. Les fichiers se synchronisent.
Mais derrière, le tenant Microsoft 365 peut cacher des risques : ancien salarié encore actif, compte administrateur mal protégé, partage OneDrive ouvert à l’extérieur, sauvegarde jamais testée, alertes non lues.
Un audit Microsoft 365 sert à voir clair. Il permet de vérifier ce qui est bien configuré, ce qui manque et ce qu’il faut corriger en priorité.
En fait, l’objectif n’est pas de produire un rapport technique que personne ne lit. L’objectif est de donner à votre PME une liste claire des risques, des preuves et un plan d’action. C’est souvent le premier pas avant de cadrer une infogérance Microsoft 365.
Cet article est dédié aux PME de 10 à 50 utilisateurs et vise à vous expliquer comment sécuriser votre locataire (tenant) Microsoft de manière simplifiée mais complète.
Votre PME utilise Microsoft 365 mais vous ne savez pas si le tenant est correctement sécurisé ? Axorys peut auditer votre environnement, prioriser les risques et cadrer les actions à mener.
Microsoft 365 n’est plus seulement une boîte mail.
Dans une PME, il porte souvent :
Quand tout est bien géré, Microsoft 365 simplifie le travail.
Quand rien n’est contrôlé, les problèmes s’accumulent sans bruit.
Un exemple très courant : un salarié quitte l’entreprise. Son compte reste actif. Sa licence est toujours payée. Ses accès SharePoint existent encore. Personne ne s’en aperçoit, car “tout marche”.
Autre exemple : un compte administrateur n’a pas d’authentification multifacteur. Le mot de passe fuit. L’accès au tenant devient possible pour une personne extérieure.
Un audit permet donc de répondre à des questions très concrètes :
Pour replacer ce diagnostic dans une vision plus large, consultez les guides Microsoft 365 pour PME.
Un bon audit ne regarde pas un seul point. Il vérifie tout ce qui peut exposer l’entreprise : comptes, droits, messagerie, fichiers, appareils, sauvegardes et alertes.
| Zone auditée | Ce qu’il faut vérifier | Risque si ce n’est pas maîtrisé | Page Axorys à consulter |
|---|---|---|---|
| Comptes utilisateurs | Comptes actifs, anciens salariés, invités | Accès oubliés ou non justifiés | Administration du tenant Microsoft 365 |
| Comptes administrateurs | Nombre d’admins, rôles, MFA | Prise de contrôle du tenant | Comptes administrateurs Microsoft 365 |
| MFA | Activation sur les admins et utilisateurs | Connexion possible avec un simple mot de passe | MFA Microsoft 365 PME |
| Entra ID | Identités, accès, invités, connexions | Comptes mal contrôlés | Cybersécurité Microsoft 365 |
| Accès conditionnel | Règles selon lieu, appareil, risque | Accès autorisés dans de mauvais contextes | Accès conditionnel Entra ID pour PME |
| Licences | Licences inutiles ou mal attribuées | Dépenses inutiles, fonctions mal utilisées | Infogérance Microsoft 365 |
| Exchange Online | Boîtes, règles, redirections, domaines | Perte de mails, phishing, usurpation | Dépannage Outlook et Exchange |
| Outlook | Incidents, synchronisation, profils | Support récurrent et perte de temps | Dépannage Outlook et Exchange |
| SharePoint | Sites, bibliothèques, propriétaires | Droits documentaires flous | Administration SharePoint Microsoft 365 |
| OneDrive | Partages, fichiers personnels pro | Données bloquées chez un utilisateur | Droits SharePoint et OneDrive |
| Teams | Équipes, propriétaires, invités | Espaces dispersés, droits mal compris | Administration SharePoint Microsoft 365 |
| Partages externes | Liens anonymes, invités, dossiers partagés | Fuite de documents | Droits SharePoint et OneDrive |
| DLP | Données sensibles, règles, alertes | Fuite de données confidentielles | DLP Microsoft 365 |
| Sauvegarde | Périmètre, fréquence, restauration | Données impossibles à récupérer | Sauvegarde Microsoft 365 PME |
| Archivage | Conservation, rétention, besoins métier | Confusion entre archive et sauvegarde | Archivage Microsoft 365 |
| Secure Score | Score, recommandations, évolution | Sécurité non pilotée | Microsoft Secure Score pour PME |
| Service Health | Incidents Microsoft, état des services | Mauvais diagnostic lors d’une panne | Service Health Microsoft 365 |
| Reporting | Synthèse, priorités, suivi mensuel | Audit sans passage à l’action | Infogérance Microsoft 365 |
L’audit touche donc plusieurs sujets : cybersécurité Microsoft 365, administration SharePoint Microsoft 365, messagerie, sauvegarde, DLP Microsoft 365 et pilotage.
Tout commence par les comptes.
Un compte, c’est une porte d’entrée. S’il n’est plus utile, il doit être fermé. S’il est sensible, il doit être protégé.
Dans une PME, on trouve souvent :
Le premier travail de l’audit consiste à faire le tri.
Qui travaille encore dans l’entreprise ? Qui est parti ? Qui accède depuis l’extérieur ? Quel compte sert à quoi ? Qui peut décider de le supprimer ?
Ce n’est pas un détail administratif. C’est la base de la sécurité Microsoft 365.
Un compte oublié peut donner accès à des mails, des fichiers SharePoint, des documents OneDrive ou des conversations Teams. Une administration du tenant Microsoft 365 permet ensuite de garder cette liste propre dans la durée.
Les comptes administrateurs sont les comptes les plus sensibles.
Pourquoi ? Parce qu’ils peuvent modifier les réglages du tenant, créer des comptes, changer des droits, accéder à des zones critiques ou désactiver certaines protections.
Un audit doit donc vérifier :
L’administrateur global est le rôle le plus puissant dans Microsoft 365. Dans une PME, il ne doit pas être distribué largement.
Le bon principe est simple : chaque personne doit avoir les droits nécessaires, pas plus.
L’audit doit aussi vérifier une pratique importante : séparer le compte de travail quotidien du compte d’administration. Lire ses mails avec un compte administrateur augmente inutilement le risque.
Pour approfondir ce point, consultez la page dédiée aux comptes administrateurs Microsoft 365.
Le MFA signifie authentification multifacteur.
En pratique, cela veut dire qu’un mot de passe ne suffit pas. L’utilisateur doit confirmer son identité avec un second facteur : application mobile, notification, code ou autre méthode autorisée.
C’est l’une des protections les plus importantes pour une PME.
Entra ID est le service Microsoft qui gère les identités et les accès. C’est lui qui aide à savoir qui se connecte, depuis où, avec quel appareil et vers quelle application.
L’accès conditionnel ajoute des règles.
Exemples simples :
Microsoft décrit l’accès conditionnel Entra comme un moteur de stratégie Zero Trust qui rassemble des signaux, prend des décisions et applique des règles d’accès.
Source : Microsoft Entra Conditional Access
Dans un audit Microsoft 365 PME, il faut vérifier :
Le but n’est pas de créer une usine à gaz. Le but est d’empêcher les scénarios les plus risqués.
Pour aller plus loin : accès conditionnel Entra ID pour PME et MFA Microsoft 365 PME.
La messagerie reste une cible prioritaire.
C’est par mail que passent les fausses factures, les tentatives de phishing, les pièces jointes douteuses et les liens piégés.
Un audit Microsoft 365 doit donc examiner Exchange Online et Outlook.
Les points à vérifier :
Quelques mots simples.
SPF, DKIM et DMARC servent à mieux authentifier les mails de votre domaine. Leur rôle est de limiter l’usurpation et d’améliorer la confiance des serveurs qui reçoivent vos messages.
Defender for Office 365 aide à renforcer la protection contre le phishing, les liens dangereux et certaines pièces jointes.
Microsoft recommande des configurations Standard ou Strict pour renforcer les protections de messagerie comme l’anti-phishing, les pièces jointes et les liens.
Source : Recommended settings for EOP and Defender for Office 365
Dans une PME, ces réglages ont un impact direct. Un domaine mal configuré peut provoquer des mails qui n’arrivent pas. Une règle suspecte peut transférer des messages vers l’extérieur. Une boîte partagée mal gérée peut créer des incidents récurrents.
Pour la suite, consultez le dépannage Outlook et Exchange, la page SPF, DKIM et DMARC Microsoft 365 ou Defender for Office 365 PME.
Les fichiers sont souvent plus sensibles que les mails.
Contrats, devis, documents RH, pièces comptables, dossiers clients, documents juridiques : tout peut se retrouver dans SharePoint, OneDrive ou Teams.
Il faut donc savoir qui peut lire, modifier, télécharger ou partager.
L’audit doit vérifier :
Exemple très concret : un collaborateur partage un dossier OneDrive avec un client. Six mois plus tard, le lien existe toujours. Le dossier a changé. De nouveaux fichiers ont été ajoutés. Personne ne sait qui peut encore consulter quoi.
Autre cas fréquent : Teams est utilisé sans règle. Chaque projet crée son équipe. Les fichiers se dispersent. Les droits deviennent difficiles à lire.
Un audit remet de l’ordre.
Il ne reconstruit pas toute l’architecture documentaire, mais il identifie les zones à risque : sites sans propriétaire, dossiers trop ouverts, liens externes, invités oubliés, fichiers sensibles mal rangés.
Pour aller plus loin : administration SharePoint Microsoft 365, droits SharePoint et OneDrive et différence entre SharePoint et OneDrive.
DLP signifie Data Loss Prevention, ou prévention des fuites de données.
Le principe est simple : éviter que des données sensibles sortent de l’entreprise sans contrôle.
Dans une PME, les données sensibles peuvent être :
L’audit doit vérifier si une protection existe déjà.
Les bonnes questions :
Microsoft Purview permet de mettre en place la DLP avec des stratégies qui aident à identifier, surveiller et protéger les données sensibles dans les applications d’entreprise, les appareils et certains flux web.
Source : Microsoft Purview DLP
L’idée n’est pas de bloquer tous les échanges. Une PME doit continuer à travailler avec ses clients, partenaires et prestataires.
L’idée est de repérer les flux dangereux : fichier RH envoyé au mauvais destinataire, document financier partagé trop largement, dossier client accessible par un invité oublié.
Pour approfondir : prévention des fuites de données et Microsoft Purview DLP pour PME.
Un compte bien protégé ne suffit pas toujours.
Si l’appareil utilisé est perdu, infecté, non mis à jour ou personnel, les données Microsoft 365 restent exposées.
L’audit doit donc regarder les appareils qui accèdent aux mails et fichiers.
À vérifier :
Intune permet de gérer les appareils et de vérifier leur conformité. Une politique de conformité peut, par exemple, demander qu’un appareil soit chiffré, à jour ou protégé avant d’accéder aux données.
Microsoft Intune utilise des politiques de conformité pour évaluer la configuration des appareils gérés et protéger les données de l’organisation quand les conditions ne sont pas respectées.
Source : Microsoft Intune device compliance
Dans une PME, c’est très pratique pour répondre à une question simple : quels appareils ont vraiment le droit d’accéder aux données de l’entreprise ?
Pour aller plus loin : Intune Microsoft 365 Business Premium PME.
C’est un point souvent mal compris.
Microsoft 365 propose plusieurs mécanismes. Mais ils ne répondent pas tous au même besoin.
La rétention sert à conserver ou supprimer des données selon des règles.
L’archivage sert à garder certaines données dans une logique de conservation.
La sauvegarde sert à restaurer des données après un incident.
Un audit doit vérifier ce qui est réellement protégé :
La vraie question n’est pas : “Avons-nous une sauvegarde ?”
La vraie question est : “Avons-nous déjà restauré un mail, un fichier SharePoint ou un dossier OneDrive pour vérifier que cela fonctionne ?”
Microsoft 365 Backup vise la récupération et la restauration rapide des données en cas de suppression malveillante ou accidentelle.
Source : Microsoft 365 Backup
Une sauvegarde non testée reste une promesse. Pas une preuve.
Pour la suite : sauvegarde Microsoft 365 PME, archivage Microsoft 365 et rétention vs sauvegarde Microsoft 365.
Un audit utile ne doit pas seulement dire “voici les problèmes”.
Il doit aussi aider à piloter Microsoft 365 dans le temps.
Trois éléments sont importants.
Le premier : Secure Score.
Microsoft Secure Score fournit un résumé numérique de la posture de sécurité. Il s’appuie sur des configurations, des comportements utilisateurs et d’autres mesures de sécurité. Microsoft précise aussi que ce n’est pas une mesure absolue du risque de compromission.
Source : Microsoft Secure Score
En clair : c’est un bon indicateur de progression, mais ce n’est pas un diagnostic complet.
Le deuxième : Service Health.
Service Health permet de suivre l’état des services Microsoft 365, les incidents, les avis et les impacts possibles sur les utilisateurs.
Source : Service Health Microsoft 365
Le troisième : le tableau de bord Health.
Le tableau de bord Health du centre d’administration Microsoft 365 aide à comprendre l’état des applications et services de l’organisation.
Source : Microsoft 365 Health Dashboard
Pour une PME, ces outils permettent de mieux répondre aux questions du quotidien :
Ces indicateurs peuvent être intégrés à un suivi avec le Microsoft Secure Score pour PME et le Service Health Microsoft 365.
Un audit doit être lisible.
Pas besoin d’un document de 80 pages rempli de captures et de termes obscurs. Une PME a besoin de comprendre vite ce qui va bien, ce qui ne va pas et quoi faire ensuite.
Les livrables utiles sont :
La synthèse dirigeant est essentielle.
Elle doit permettre de décider sans se perdre dans la technique : que corriger tout de suite ? Que planifier ? Que déléguer ?
L’audit ne corrige pas tout automatiquement. Il montre les risques et prépare l’action.
Si l’entreprise n’a pas les ressources internes, l’étape suivante peut être de confier l’administration Microsoft 365.
Un audit sans suite ne sert pas à grand-chose.
La valeur arrive quand les constats deviennent des actions.
La bonne trajectoire :
C’est souvent à ce moment qu’une infogérance Microsoft 365 devient pertinente.
Le prestataire ne se contente pas d’intervenir en urgence. Il suit les comptes, les droits, les alertes, les incidents, les sauvegardes et le reporting.
Pour une entreprise locale, un prestataire d’infogérance à Paris peut aussi simplifier les échanges, le support utilisateur et le suivi régulier.
Un audit Microsoft 365 est un contrôle de votre environnement Microsoft 365. Il vérifie les comptes, les administrateurs, le MFA, Entra ID, Exchange Online, Outlook, SharePoint, OneDrive, Teams, les sauvegardes, les alertes et les partages externes.
Parce qu’un tenant peut fonctionner tout en étant mal sécurisé. Une PME peut avoir des comptes oubliés, des droits trop larges, des partages externes ouverts ou des sauvegardes non testées sans le savoir.
Les points les plus sensibles sont les comptes administrateurs, le MFA, Entra ID, l’accès conditionnel, les partages SharePoint et OneDrive, la sécurité mail, les sauvegardes et les alertes Microsoft 365.
Non. Secure Score est un indicateur utile, mais il ne remplace pas un audit complet. Il doit être complété par une analyse des comptes, des droits, des partages, des sauvegardes, des appareils et des usages réels.
Oui. Il faut vérifier ce qui est sauvegardé, à quelle fréquence, sur quels services et avec quels tests de restauration. Une sauvegarde jamais testée ne suffit pas à protéger l’entreprise.
Il faut corriger les risques critiques, protéger les comptes administrateurs, renforcer le MFA, fermer les accès inutiles, réduire les partages externes, tester les sauvegardes et mettre en place un suivi mensuel.
Un tenant Microsoft 365 peut fonctionner tous les jours et rester fragile.
Les utilisateurs envoient leurs mails. Les fichiers se synchronisent. Les réunions Teams se lancent. Mais derrière, des risques peuvent rester invisibles : comptes oubliés, administrateurs trop nombreux, MFA absent, fichiers trop partagés, sauvegardes non testées.
L’audit Microsoft 365 sert à rendre ces risques visibles.
Il donne une photo claire du tenant, classe les priorités et prépare un plan d’action. Pour une PME, c’est souvent le meilleur point de départ : vérifier, corriger, documenter, puis décider ce qui doit être suivi en interne ou confié à un prestataire.
Votre PME utilise Microsoft 365 mais vous ne savez pas si le tenant est correctement sécurisé ? Axorys peut auditer votre environnement, prioriser les risques et cadrer les actions à mener.