Defender for Office 365 aide à protéger les emails Microsoft 365 contre le phishing, les liens dangereux et les pièces jointes malveillantes. Pour une PME de moins de 50 utilisateurs, l’enjeu n’est pas de déployer une sécurité complexe, mais de configurer une sécurité mail lisible, suivie et adaptée aux utilisateurs exposés : direction, comptabilité, RH, commerciaux ou responsables administratifs.
Safe Links, Safe Attachments, anti-phishing avancé et quarantaine peuvent réduire les risques, à condition d’être bien réglés et compris.
Réponse courte :
Defender for Office 365 renforce la sécurité mail de Microsoft 365 avec Safe Links, Safe Attachments, anti-phishing avancé et politiques de protection. En PME, il faut d’abord distinguer la protection de base Exchange Online Protection, activer les politiques adaptées, cibler les profils sensibles et prévoir la gestion de la quarantaine.
Votre PME utilise Microsoft 365 au quotidien et vous voulez mieux protéger vos emails contre le phishing, les liens dangereux et les pièces jointes suspectes ? Axorys peut vous aider à vérifier Exchange Online Protection, configurer Defender for Office 365, cibler les utilisateurs sensibles, gérer la quarantaine et documenter les protections de messagerie.
Microsoft Defender for Office 365 est une protection Microsoft pour les emails et certains outils collaboratifs de Microsoft 365. Il complète Exchange Online Protection, souvent abrégé EOP, qui fournit déjà un filtrage de base pour les boîtes Exchange Online.
Defender for Office 365 vise surtout les attaques par phishing, les liens dangereux, les pièces jointes suspectes, certains malwares et les tentatives de Business Email Compromise, ou BEC. En français, on parle souvent de fraude au président, d’usurpation de dirigeant ou de faux email de fournisseur.
Il s’administre dans le portail Microsoft Defender. Il ne doit pas être confondu avec Defender for Endpoint, qui concerne plutôt la protection des postes et serveurs.
Microsoft décrit Defender for Office 365 comme une protection contre des attaques plus sophistiquées, avec notamment Safe Links, Safe Attachments, la protection contre l’usurpation d’utilisateur ou de domaine, et des fonctions liées aux emails, Teams, SharePoint et OneDrive selon les cas. (Microsoft Learn)
Exchange Online Protection est la protection de base de Microsoft pour les boîtes Exchange Online. Defender for Office 365 ajoute une couche plus avancée, surtout contre les attaques ciblées, les URL malveillantes et les pièces jointes suspectes.
| Élément | Exchange Online Protection | Defender for Office 365 |
|---|---|---|
| Rôle principal | Filtrage de base des emails cloud | Protection avancée mail et collaboration |
| Couvre | Spam, malware connu, anti-phishing de base, anti-spoofing | Safe Links, Safe Attachments, anti-phishing avancé, investigation selon plan |
| Inclus | Boîtes Exchange Online | Selon licence ou add-on |
| Objectif | Bloquer les menaces connues et volumétriques | Réduire phishing ciblé, liens dangereux, pièces jointes suspectes |
| Administration | Microsoft Defender / Exchange selon réglages | Portail Microsoft Defender |
| Limite | Moins avancé contre les attaques ciblées | Doit être configuré, suivi et compris |
Microsoft présente Defender for Office 365 Plan 1 comme une protection contre le phishing avancé, les malwares zero-day et d’autres menaces email, avec Safe Links, Safe Attachments et détection des menaces en temps réel. (Microsoft Learn)
Dans une PME, la question n’est donc pas “Microsoft protège-t-il déjà les emails ?”. La bonne question est : “les protections adaptées aux risques de l’entreprise sont-elles activées, ciblées et suivies ?”
Defender for Office 365 existe en plusieurs niveaux. Pour une petite structure, il faut éviter de choisir uniquement sur le nom du plan. Le bon choix dépend des risques, des licences déjà détenues et de la capacité à suivre les alertes.
| Plan | Ce qu’il apporte | Pour quel besoin PME |
|---|---|---|
| Defender for Office 365 Plan 1 | Safe Links, Safe Attachments, anti-phishing avancé, détection temps réel | Bonne base pour protéger les utilisateurs |
| Defender for Office 365 Plan 2 | Plan 1 + investigation, réponse automatisée, Threat Explorer, Attack Simulation Training | PME plus exposée ou besoin de suivi avancé |
| Microsoft 365 Business Premium | Inclut Defender for Office 365 Plan 1 selon Microsoft | Souvent cohérent pour une PME déjà sur Business Premium |
| Add-on Defender | Ajout possible selon licence | À étudier si Business Basic / Standard |
| Microsoft 365 E5 | Capacités avancées larges | Souvent trop large pour une petite PME, sauf contexte particulier |
Microsoft indique que Defender for Office 365 Plan 1 est disponible dans certains abonnements PME comme Microsoft 365 Business Premium, avec Safe Links, Safe Attachments et la détection des menaces en temps réel. (Microsoft Learn)
Pour une PME de 10 à 20 postes, Plan 1 suffit souvent à poser une bonne base de protection email. Plan 2 devient utile si l’entreprise veut aller plus loin sur l’investigation, les simulations de phishing ou les réponses plus avancées.
Defender for Office 365 regroupe plusieurs protections. Le plus important est de comprendre ce qu’elles font, sans transformer le sujet en jargon sécurité.
| Protection | À quoi ça sert | Exemple PME |
|---|---|---|
| Safe Links | Vérifie les liens dangereux | Un lien de phishing est bloqué au clic |
| Safe Attachments | Analyse les pièces jointes suspectes | Un faux PDF de facture est isolé avant livraison |
| Anti-phishing | Détecte usurpation et imitation | Faux email du dirigeant vers la comptabilité |
| Anti-spoofing | Limite les expéditeurs usurpés | Domaine imité ou expéditeur non authentifié |
| Quarantaine | Retient des messages suspects | L’utilisateur ne reçoit pas directement un email risqué |
| Threat Explorer | Investigation et recherche de menaces | Retrouver qui a reçu un email suspect |
| Attack Simulation Training | Simulations phishing | Former les utilisateurs exposés |
Threat Explorer et Attack Simulation Training relèvent plutôt de scénarios plus avancés, souvent liés à Defender for Office 365 Plan 2. Pour une PME, Safe Links, Safe Attachments, anti-phishing et quarantaine sont déjà les points à maîtriser.
Safe Links protège contre les liens malveillants utilisés dans les emails de phishing et certaines attaques. Il analyse et réécrit les URL dans les emails entrants, puis vérifie les liens au moment du clic dans les emails, Teams et les applications Microsoft 365 prises en charge. Cette vérification intervient en plus de la protection anti-spam et anti-malware classique. (Microsoft Learn)
C’est utile parce qu’un lien peut sembler propre à la réception, puis devenir malveillant plus tard. Safe Links aide à traiter ce cas.
Dans une PME, il faut surtout expliquer aux utilisateurs pourquoi certains liens ont un aspect différent ou pourquoi une page Microsoft peut s’afficher avant l’ouverture d’un site. Sans explication, certains collaborateurs peuvent croire à un bug ou à une alerte inutile.
Safe Links ne doit pas être présenté comme une garantie absolue. Un utilisateur doit rester attentif aux signaux simples : demande urgente, faux dirigeant, pièce jointe inattendue, lien vers un formulaire inconnu, changement de RIB ou pression inhabituelle.
Safe Attachments ajoute une couche d’analyse sur les pièces jointes. Microsoft indique que cette fonction utilise un environnement virtuel pour vérifier les pièces jointes nuisibles, comme malware, ransomware ou phishing, avant livraison au destinataire. (Microsoft Learn)
Dans la pratique, cela peut aider face à un faux PDF de facture, un fichier Office piégé ou une pièce jointe reçue après une usurpation de fournisseur.
Le point de vigilance est le délai. Certaines pièces jointes peuvent être retardées pendant l’analyse. Dans une PME, il faut expliquer ce comportement aux utilisateurs exposés, surtout la comptabilité, les achats et l’administration.
Désactiver Safe Attachments parce qu’un fichier met parfois plus de temps à arriver est rarement une bonne réponse. Il vaut mieux comprendre la cause, vérifier les politiques et documenter les exceptions réelles.
Microsoft propose des politiques prédéfinies, notamment Standard et Strict. Elles permettent d’appliquer des réglages de sécurité recommandés sans créer une multitude de règles personnalisées. Microsoft précise aussi que la Built-in protection fournit une protection Safe Links et Safe Attachments de base aux utilisateurs éligibles non couverts par Standard, Strict ou des politiques personnalisées. (Microsoft Learn)
| Politique | Usage recommandé | Point de vigilance |
|---|---|---|
| Built-in protection | Socle minimal automatique | Ne remplace pas un vrai cadrage |
| Standard | Majorité des utilisateurs | Bon équilibre protection / friction |
| Strict | Profils exposés | Risque de faux positifs plus élevé |
| Personnalisée | Besoins spécifiques | À documenter et maintenir |
| Exception | Cas métier réel | À revoir régulièrement |
Dans une petite entreprise sans DSI interne, il vaut mieux commencer par des politiques prédéfinies bien comprises que par des dizaines de règles personnalisées que personne ne saura maintenir.
Une approche réaliste consiste à appliquer Standard à la majorité des utilisateurs, puis à tester Strict pour les profils les plus exposés : direction, finance, comptabilité, RH ou commerciaux.
Le déploiement doit rester progressif. L’objectif est de protéger sans bloquer inutilement les utilisateurs.
Ordre recommandé :
Il ne faut pas activer une politique stricte pour tout le monde sans pilote. Cela peut créer des faux positifs, des demandes de libération de messages et une perte de confiance dans l’outil.
L’anti-phishing avancé aide à détecter les tentatives d’usurpation d’identité. L’objectif est de repérer des messages qui imitent un dirigeant, un fournisseur, un domaine proche du vôtre ou un contact fréquent.
Les attaques de type fraude au président ciblent souvent la direction, la comptabilité, la finance, les RH ou les personnes qui peuvent valider un paiement, envoyer un document ou modifier une information sensible.
Microsoft indique que les politiques anti-phishing dans Defender for Office 365 peuvent inclure des paramètres d’impersonation, permettant de spécifier des adresses ou domaines expéditeurs à protéger. (Microsoft Learn)
À vérifier en PME :
SPF, DKIM et DMARC restent utiles pour authentifier le domaine et limiter l’usurpation. Mais ce n’est pas le même sujet. Defender ajoute une couche de détection et de protection. Les deux se complètent. Pour le volet domaine et DNS, voir l’article sur les emails Microsoft 365 qui n’arrivent pas avec SPF, DKIM et DMARC.
La quarantaine retient certains messages suspects. C’est utile, mais cela doit être géré. Si personne ne sait qui valide un message bloqué, l’entreprise risque deux erreurs : libérer un message dangereux ou bloquer un message métier important.
Microsoft explique que les politiques de quarantaine contrôlent ce que les utilisateurs peuvent faire avec les messages mis en quarantaine, et si des notifications de quarantaine sont activées. Microsoft précise aussi que certains messages, notamment malware ou phishing à haute confiance, ne peuvent pas être libérés par les utilisateurs eux-mêmes selon le cas. (Microsoft Learn)
| Sujet quarantaine | Bonne pratique PME |
|---|---|
| Responsable | Désigner une personne ou un prestataire |
| Notifications | Définir si les utilisateurs les reçoivent |
| Demandes de libération | Prévoir qui valide |
| Faux positifs | Les documenter et les suivre |
| Messages critiques | Vérifier avant libération |
| Allow lists | Les limiter et les justifier |
| Revue | Prévoir une revue périodique |
| Preuve | Garder ticket, capture ou export si besoin |
Un utilisateur ne doit pas tout libérer sans comprendre. Un prestataire ne doit pas non plus bloquer sans expliquer. La bonne pratique est de documenter les décisions répétitives.
Defender for Office 365 réduit le risque, mais il ne supprime pas toutes les tentatives. Certains emails restent crédibles, surtout quand ils s’appuient sur un contexte réel : facture attendue, fournisseur connu, demande de virement, faux message du dirigeant ou faux partage OneDrive.
Pour une structure de 10 à 20 postes, une courte sensibilisation bien ciblée vaut mieux qu’un long module générique que personne ne retient.
Les utilisateurs doivent savoir reconnaître :
Attack Simulation Training peut être utile, mais il relève plutôt de Defender for Office 365 Plan 2. Microsoft décrit Plan 2 comme ajoutant notamment des capacités d’investigation, de réponse, d’automatisation et de simulation de phishing. (Microsoft Learn)
La sensibilisation au phishing peut aussi être traitée séparément via une formation anti-phishing, surtout pour les équipes finance, RH et direction.
Defender for Office 365 protège la messagerie et certains usages collaboratifs. Il ne remplace pas les autres briques de sécurité Microsoft 365.
| Ne remplace pas | Pourquoi |
|---|---|
| MFA | Un compte compromis reste un risque majeur |
| SPF/DKIM/DMARC | L’authentification du domaine reste nécessaire |
| Formation anti-phishing | Les utilisateurs doivent reconnaître les signaux |
| Sauvegarde Microsoft 365 | Defender ne restaure pas les données supprimées |
| DLP | La fuite de données relève d’un autre périmètre |
| Defender for Endpoint | Les postes ont besoin d’une protection endpoint |
| Gestion des accès admin | Les droits élevés restent à cadrer |
| Procédure de réponse incident | Les alertes doivent être traitées |
Le MFA Microsoft 365 reste indispensable pour limiter le risque lié aux mots de passe volés. Voir le guide MFA Microsoft 365 en PME.
Les comptes administrateurs doivent aussi être protégés par le moindre privilège. Voir l’article sur les comptes admin Microsoft 365.
Dans une TPE/PME où l’informatique est souvent gérée à temps partiel, les erreurs viennent rarement d’un manque d’outil. Elles viennent surtout d’un manque de configuration, de suivi et de règles simples.
À éviter :
Ces erreurs se corrigent souvent avec une méthode simple : vérifier les licences, appliquer des politiques cohérentes, cibler les utilisateurs sensibles et documenter les exceptions.
Lors de nos audits Microsoft 365, nous voyons souvent des tenants où les boîtes mail existent depuis des années, mais où les politiques anti-phishing avancées n’ont jamais été revues.
Chez certaines petites structures, la question arrive après un faux email de dirigeant envoyé à la comptabilité. Le sujet n’est alors pas seulement de bloquer un message, mais de comprendre pourquoi il a pu arriver jusque-là.
Nous avons déjà vu des environnements où Safe Links et Safe Attachments étaient disponibles dans la licence, mais pas appliqués aux bons utilisateurs.
Un cas fréquent en PME : la quarantaine existe, mais personne ne sait qui doit valider un email bloqué ni comment vérifier qu’il est légitime.
Notre approche consiste à commencer par les profils exposés : direction, finance, RH, commerciaux, puis à étendre progressivement les protections au reste de l’entreprise.
Pour une PME, la sécurité mail doit rester compréhensible : des politiques claires, des exceptions rares, une quarantaine suivie et des utilisateurs formés.
Preuves utiles :
Ces preuves sont utiles dans le cadre d’une infogérance Microsoft 365, d’un audit ou d’une reprise d’administration.
Elles évitent une réponse trop vague du type : “la sécurité mail est active”. La bonne question est : quelles protections sont actives, pour qui, avec quelles exceptions et quelle revue ?
| Action | PME | Prestataire |
|---|---|---|
| Identifier les utilisateurs sensibles | Responsable | Appui |
| Vérifier les licences Defender | Appui | Responsable si mandat |
| Activer politiques prédéfinies | Validation | Responsable |
| Configurer Safe Links | Validation | Responsable |
| Configurer Safe Attachments | Validation | Responsable |
| Cadrer anti-phishing | Validation métier | Responsable |
| Gérer la quarantaine | Appui métier | Responsable ou support désigné |
| Documenter les exceptions | Validation | Responsable |
| Sensibiliser les utilisateurs | Responsable | Appui |
| Revoir les alertes | Appui | Responsable |
La PME valide les profils à protéger et les règles acceptables. Le prestataire configure, teste, documente et suit les alertes.
Pour une entreprise qui utilise Microsoft 365 au quotidien sans administrateur dédié, la sécurité mail ne doit pas dépendre de réglages laissés par défaut. Un prestataire peut aider à vérifier les protections, cibler les utilisateurs sensibles et documenter les décisions.
Déclencheurs courants :
Ce sujet peut s’intégrer dans une démarche plus large de cybersécurité Microsoft 365 pour PME, avec les accès, les comptes admin, la messagerie et la sensibilisation.
Pour replacer l’article dans le cluster, consultez le guide Microsoft 365 pour PME de moins de 50 utilisateurs ou les guides Microsoft 365 PME.
Microsoft Defender for Office 365 renforce la sécurité des emails et outils collaboratifs Microsoft 365. Il protège contre le phishing, les liens dangereux, les pièces jointes malveillantes, certains malwares zero-day et les tentatives d’usurpation. Il complète Exchange Online Protection, mais ne remplace pas la vigilance utilisateur ni la sécurité des postes. (Microsoft Learn)
Exchange Online Protection fournit une protection de base contre spam, malware connu, phishing courant et usurpation. Defender for Office 365 ajoute des protections avancées comme Safe Links, Safe Attachments, anti-phishing avancé et, selon le plan, investigation, simulations et réponse automatisée. (Microsoft Learn)
Safe Links analyse et réécrit les URL dans les emails, puis vérifie les liens au moment du clic dans les emails, Teams et applications Microsoft 365 prises en charge. Cela aide contre les liens rendus malveillants après réception, mais les utilisateurs doivent rester formés à reconnaître les signaux suspects. (Microsoft Learn)
Safe Attachments ajoute une couche d’analyse en environnement virtuel pour vérifier les pièces jointes suspectes avant livraison. Cela réduit le risque, notamment pour certains malwares et ransomwares, mais aucune protection ne doit être présentée comme absolue. (Microsoft Learn)
Pas forcément. La politique Strict peut générer plus de faux positifs. Pour une PME, il est souvent préférable d’appliquer une politique Standard à la majorité, puis une politique plus stricte aux profils exposés : direction, comptabilité, RH, finance ou utilisateurs très ciblés.
Non. SPF, DKIM et DMARC authentifient le domaine et aident à limiter l’usurpation. Defender for Office 365 ajoute une couche de détection et de protection. Les deux approches se complètent.
Non. Defender for Office 365 protège surtout les emails, liens, pièces jointes et certains contenus de collaboration. Defender for Endpoint protège les postes et serveurs. Il ne faut pas confondre sécurité mail et protection endpoint.
Contactez un prestataire si vous ne savez pas quelles politiques sont actives, si la quarantaine n’est pas gérée, si Safe Links ou Safe Attachments ne sont pas vérifiés, si des faux emails de direction arrivent encore, ou si vous voulez sécuriser Microsoft 365 sans créer trop de blocages.
Defender for Office 365 peut améliorer la sécurité des emails Microsoft 365 en PME, mais il doit être configuré et suivi. Exchange Online Protection fournit une base. Defender ajoute Safe Links, Safe Attachments, anti-phishing avancé, politiques prédéfinies et outils de suivi selon le plan.
Pour une petite structure, le bon réflexe consiste à partir des risques réels : direction, comptabilité, RH, finance, commerciaux, liens suspects, pièces jointes, quarantaine et faux positifs.
Une bonne sécurité mail Microsoft 365 ne repose pas sur un seul bouton. Elle repose sur des politiques adaptées, des utilisateurs informés, une quarantaine suivie et des preuves de configuration.
Votre PME utilise Microsoft 365 au quotidien et vous voulez mieux protéger vos emails contre le phishing, les liens dangereux et les pièces jointes suspectes ? Axorys peut vous aider à vérifier Exchange Online Protection, configurer Defender for Office 365, cibler les utilisateurs sensibles, gérer la quarantaine et documenter les protections de messagerie.