Combien de temps faut-il pour durcir un tenant Microsoft 365 ?

En moyenne une journée. Le matin est consacré à l'audit du tenant et l'analyse du Secure Score de base. L'après-midi, les 40+ règles CIS sont appliquées, Defender for Office 365 est configuré et les politiques DLP sont activées. La surveillance SOC 24/7 démarre immédiatement. Les ajustements fins se font dans les jours suivants selon les retours utilisateurs.

Les benchmarks CIS Microsoft 365 sont-ils adaptés aux PME ?

Oui. Les benchmarks CIS (Center for Internet Security) pour Microsoft 365 sont divisés en deux niveaux : Level 1 (recommandé pour toutes les organisations) et Level 2 (pour les environnements à haute sécurité). Nous appliquons le Level 1 intégralement et sélectionnons les règles Level 2 pertinentes pour le contexte de chaque PME. L'objectif est d'atteindre un Secure Score supérieur à 70% sans gêner les utilisateurs.

Safe Links et Safe Attachments sont-ils inclus dans Business Premium ?

Oui. Microsoft 365 Business Premium inclut Defender for Office 365 Plan 1 avec Safe Links et Safe Attachments. C'est la licence que nous recommandons pour les PME car elle inclut aussi Intune (gestion des appareils), l'accès conditionnel Entra ID et les fonctionnalités de protection de l'information (MIP). Les PME n'ont généralement pas besoin des licences E3 ou E5 pour être correctement protégées.

La DLP de Microsoft 365 est-elle suffisante ou faut-il un outil tiers ?

Pour la majorité des PME, la DLP native de Microsoft 365 est largement suffisante. Elle couvre les principaux canaux (Exchange, SharePoint, OneDrive, Teams) et propose des modèles préconfigurés pour les données sensibles (numéros de carte bancaire, RIB, données personnelles RGPD). Les entreprises avec des exigences réglementaires spécifiques (santé, finance) peuvent avoir besoin d'un complément, mais c'est rare en PME.

Comment savoir si mon tenant a déjà été compromis ?

Plusieurs signes doivent alerter : règles de transfert de mails que vous n'avez pas créées, connexions depuis des pays inhabituels dans les logs d'audit, applications OAuth inconnues avec des permissions élevées, ou un Secure Score qui baisse sans explication. Notre audit initial vérifie tous ces indicateurs de compromission (IoC). En cas de doute, notre SOC peut analyser les logs d'audit sur les 90 derniers jours.

Le hardening M365 est-il compatible avec les solutions de sauvegarde ?

Oui, totalement. Le hardening du tenant ne modifie pas les données — il sécurise les accès et les configurations. Notre solution de sauvegarde Microsoft 365 continue de fonctionner normalement après le hardening. D'ailleurs, la sauvegarde est complémentaire : le hardening prévient les attaques, la sauvegarde protège contre la perte de données. Les deux sont inclus dans notre offre Cyber Sécurité à 44€/poste/mois.

Hardening M365 PME : CIS Benchmark, Defender, DLP, Secure Score — Guide Complet

Le modèle de responsabilité partagée Microsoft 365

Comme pour Azure, Microsoft applique un modèle de responsabilité partagée sur Microsoft 365. Microsoft assure la disponibilité du service (uptime 99,9%), la sécurité physique des datacenters et la protection de l'infrastructure. Vous êtes responsable de tout le reste : configuration de sécurité du tenant, gestion des accès, protection des données et supervision des alertes.

En pratique, un tenant M365 « out of the box » est configuré pour la facilité d'usage, pas pour la sécurité : protocoles obsolètes actifs, partage externe non restreint, pas de DLP, Defender en mode basique. Le Secure Score moyen d'un tenant non configuré tourne autour de 20%.

Auditer mon tenant M365 — diagnostic gratuit

Le Secure Score Microsoft 365 : votre indicateur de sécurité

Le Microsoft Secure Score est une note sur 100 calculée en temps réel par Microsoft en fonction des configurations de sécurité activées sur votre tenant. C'est l'indicateur officiel de votre niveau de protection.

Pourquoi le Secure Score est critique

< 30% : Votre tenant est une cible facile. Les attaques automatisées (password spraying, phishing de masse) ont de grandes chances de réussir.
30-50% : Les bases sont posées (MFA activé) mais de nombreuses surfaces d'attaque restent exposées.
50-70% : Niveau correct. Les principales protections sont en place, les risques les plus courants sont couverts.
> 70% : Niveau cible Dhala. Les configurations avancées (DLP, accès conditionnel, Defender for Office 365) sont actives. Consultez notre étude de cas : de 21% à 76,94%.

Les actions qui font monter le score

Le Secure Score est composé de centaines de recommandations pondérées. Voici celles qui ont le plus d'impact :

Action	Impact score	Complexité
MFA pour tous les admins	Élevé	Faible
MFA pour tous les utilisateurs	Élevé	Moyen
Désactivation IMAP/POP	Moyen	Faible
Blocage transfert auto mails	Moyen	Faible
Safe Links activé	Moyen	Moyen
Safe Attachments activé	Moyen	Moyen
DLP activée	Moyen	Moyen
Accès conditionnel	Élevé	Moyen
Blocage apps OAuth	Moyen	Faible

Benchmarks CIS Microsoft 365 : les 40+ règles que nous appliquons

Les benchmarks du Center for Internet Security (CIS) sont la référence mondiale pour le hardening des systèmes. Nous appliquons les CIS Benchmarks for Microsoft 365 sur chaque tenant client.

Entra ID (ex-Azure AD)

MFA renforcé sur 100% des comptes (admin et utilisateurs) via Entra ID. Pas juste le SMS — nous privilégions Microsoft Authenticator ou les clés FIDO2.
Accès conditionnel : chaque connexion est évaluée selon l'utilisateur, l'appareil, la localisation et le niveau de risque. Un appareil non conforme ou une connexion depuis un pays à risque → accès bloqué.
Blocage des applications OAuth tierces : les utilisateurs ne peuvent plus consentir à donner accès aux données de l'entreprise à des apps non approuvées.
Désactivation des comptes invités inutilisés et revue trimestrielle des accès.

Exchange Online

Désactivation des protocoles obsolètes : IMAP, POP et SMTP Auth sont désactivés. Ces protocoles ne supportent pas le MFA et sont exploités par le password spraying.
Blocage du transfert automatique de mails vers l'extérieur — signe classique de compromission.
Journalisation des audits unifiée : chaque action admin et utilisateur est loggée et conservée.
Rétention étendue des éléments supprimés (30 jours minimum).
Balise d'avertissement pour les emails externes dans Outlook.

SharePoint et OneDrive

Restriction du partage externe : seuls les domaines autorisés peuvent recevoir des partages. Les liens "Tout le monde" sont désactivés ou limités dans le temps.
Expiration des liens anonymes : les liens de partage temporaires expirent automatiquement.
Blocage du téléchargement de fichiers infectés : SharePoint scanne les fichiers et bloque le téléchargement des fichiers détectés comme malveillants.
Quota et alertes de stockage pour prévenir l'exfiltration de données.

Microsoft Teams

Restriction des applications tierces dans Teams : seules les apps approuvées sont autorisées.
Blocage du partage de fichiers avec les utilisateurs externes non autorisés.
Politique de rétention sur les conversations et fichiers Teams.

Appliquer les benchmarks CIS sur mon tenant — contactez nos experts

Defender for Office 365 : la protection anti-phishing

Le phishing est le vecteur d'attaque n°1 sur les environnements Microsoft 365. Defender for Office 365 (inclus dans Business Premium) fournit trois couches de protection :

Safe Links — scan des liens en temps réel

Chaque lien dans un email est réécrit et scanné au moment du clic — pas au moment de la réception. C'est crucial car de nombreuses attaques utilisent des liens qui deviennent malveillants après l'envoi (technique dite "time-bombing").

Safe Links protège aussi les liens dans Teams, les documents Office et les fichiers SharePoint/OneDrive.

Safe Attachments — sandbox pour les pièces jointes

Chaque pièce jointe suspecte est ouverte dans une sandbox Microsoft avant d'atteindre la boîte de réception. Si le fichier exécute du code malveillant, il est neutralisé. L'utilisateur reçoit un remplacement avec un avertissement.

Safe Attachments fonctionne pour tous les types de fichiers : Word, Excel, PDF, archives ZIP, et même les fichiers Office avec macros.

Anti-usurpation (anti-spoofing)

Defender protège contre les attaques d'usurpation d'identité :

Impersonation Protection : détection des emails qui imitent vos dirigeants ou partenaires de confiance (fraude au président).
Anti-spoofing : vérification SPF, DKIM et DMARC pour bloquer les emails envoyés depuis des domaines usurpés.
Mailbox Intelligence : apprentissage des habitudes de communication de chaque utilisateur pour détecter les anomalies.

Ces protections techniques se combinent avec nos campagnes de sensibilisation phishing pour entraîner les utilisateurs à repérer les tentatives de phishing qui passent les filtres.

DLP et protection des données Microsoft 365

Data Loss Prevention (DLP)

La DLP native de Microsoft 365 détecte et bloque automatiquement l'envoi de données sensibles par email, SharePoint, OneDrive et Teams :

Numéros de carte bancaire : détection automatique et blocage de l'envoi par email.
Données personnelles (RGPD) : numéros de sécurité sociale, adresses, données de santé.
RIB et coordonnées bancaires : prévention de la fraude financière.
Données confidentielles classifiées par vos Sensitivity Labels.

Les politiques DLP peuvent être en mode audit (notification sans blocage) ou blocage (l'action est empêchée). Nous commençons toujours en mode audit pour identifier les flux légitimes avant d'activer le blocage.

Sensitivity Labels (étiquettes de sensibilité)

Les Sensitivity Labels permettent de classifier vos documents selon leur niveau de sensibilité :

Public : documents sans restriction.
Interne : accessible uniquement aux employés.
Confidentiel : chiffrement automatique, partage restreint, impossible de copier/coller vers l'extérieur.
Hautement confidentiel : chiffrement + restrictions maximales + journalisation de chaque accès.

Les labels peuvent être appliqués manuellement par les utilisateurs ou automatiquement par des règles de classification (par exemple, tout document contenant un numéro de carte est automatiquement classé "Confidentiel").

Surveillance SOC 24/7 des alertes Microsoft 365

Configurer ne suffit pas — il faut surveiller. Notre SOC managé 24/7 analyse les logs de votre tenant M365 en temps réel pour détecter les anomalies :

Ce que notre SOC surveille

Règles de transfert de mails : création d'une règle de redirection non autorisée → signe de compromission de boîte mail.
Téléchargements de masse : un utilisateur qui télécharge des centaines de fichiers SharePoint en une heure → fuite de données potentielle.
Voyage improbable : connexion depuis Paris à 10h, puis depuis un autre continent à 11h → compte compromis.
Échecs MFA répétés : tentatives de contournement du MFA → attaque en cours.
Applications OAuth suspectes : une app inconnue obtient des permissions élevées → phishing par consentement.
Modifications des rôles admin : ajout non autorisé d'un admin global → escalade de privilèges.

Réponse aux incidents

Quand le SOC détecte une anomalie :

Containment : blocage immédiat du compte compromis, révocation des sessions actives.
Investigation : analyse des logs d'audit pour déterminer l'étendue de la compromission.
Remédiation : réinitialisation du mot de passe, revue des règles de transfert, suppression des apps OAuth suspectes.
Rapport : notification au client avec les actions prises et les recommandations.

Les alertes M365 sont corrélées avec Defender for Endpoint (XDR) pour une vue unifiée poste + cloud. Si un poste est compromis et qu'il accède à M365, les deux alertes sont corrélées automatiquement.

Connecter mon M365 au SOC 24/7 — devis gratuit

Conformité et exigences réglementaires

Le hardening M365 aide à répondre aux exigences des cyber-assureurs et des réglementations :

RGPD

DLP pour empêcher la fuite de données personnelles.
Retention Policies pour l'archivage légal.
Audit logs pour la traçabilité des accès aux données.

NIS2 / DORA

MFA renforcé et accès conditionnel — exigence de base NIS2.
Journalisation des événements de sécurité — obligatoire pour NIS2 et DORA.
Plan de réponse aux incidents — documenté et testé, avec notre SOC comme point de contact.

Cyber-assurances

La majorité des cyber-assureurs exigent désormais :

MFA sur tous les comptes (admin et utilisateurs).
Sauvegarde des données M365 indépendante de Microsoft.
EDR/XDR sur tous les postes.
Formation des utilisateurs au phishing.

Notre offre Cyber Sécurité à 44€/poste/mois coche toutes ces cases.

Intégration avec l'écosystème Dhala

La sécurisation M365 s'intègre avec l'ensemble de nos services :

Gestion des identités (IAM) : Entra ID, accès conditionnel et MFA — le socle de la sécurité M365.
Gestion de flotte MDM : Intune pour vérifier la conformité des appareils avant d'accéder aux données M365.
EDR/XDR & SOC managé : Defender for Endpoint corrélé avec les alertes M365 pour une vue unifiée.
Sauvegarde M365 : sauvegarde automatique des mails, OneDrive, SharePoint et Teams — indépendante de Microsoft.
Campagne phishing : sensibilisation des utilisateurs pour compléter les protections techniques.
Sécurisation Azure : même approche de hardening pour votre infrastructure cloud IaaS.

Sécuriser mon tenant Microsoft 365 — audit gratuit

Hardening Microsoft 365 pour PME : CIS Benchmark, Defender for Office 365, DLP et Secure Score

Sommaire