Les grandes entreprises ont des équipes sécurité dédiées, des audits annuels, des outils SIEM. Les PME ont Microsoft 365, un abonnement souscrit en urgence lors d'un déménagement ou d'une crise Covid, et depuis plus grand monde ne touche à la configuration.
C'est précisément pour ça qu'un audit O365 est plus utile en PME qu'ailleurs. Pas parce que les risques sont plus graves — mais parce qu'ils sont plus souvent invisibles et jamais traités.
SPF, DMARC, DKIM — la base qui manque
Ces trois enregistrements DNS servent à une chose : prouver qu'un email envoyé depuis votre domaine vient bien de vous. Sans eux, n'importe qui peut envoyer un email en se faisant passer pour votre adresse. Vos clients, vos fournisseurs, vos collaborateurs — tous peuvent recevoir un email de "comptabilite@votre-entreprise.fr" qui ne vient pas de chez vous.
- SPF — déclare quels serveurs sont autorisés à envoyer pour votre domaine. Une ligne dans votre DNS. Souvent absente ou mal configurée quand plusieurs outils d'envoi coexistent (CRM, ERP, routeur email tiers).
- DKIM — signe cryptographiquement chaque email. Les destinataires peuvent vérifier que le message n'a pas été altéré en transit.
- DMARC — dit quoi faire quand SPF ou DKIM échoue : ne rien faire, mettre en quarantaine, ou rejeter. Sans politique DMARC en "reject", les deux premiers n'ont qu'une valeur indicative.
~all (softfail) au lieu de -all (rejet strict), un DKIM jamais activé sur Exchange Online, et aucun enregistrement DMARC. Le domaine est techniquement "configuré" mais offre zéro protection contre le spoofing.
Les règles de transfert — exfiltration silencieuse
C'est l'un des indicateurs les plus clairs d'un compte compromis, et l'un des moins surveillés. Quand un attaquant prend le contrôle d'une boîte mail, il crée souvent une règle de transfert automatique vers une adresse externe. Tous les emails entrants partent discrètement ailleurs — sans que l'utilisateur ne voie rien d'anormal dans son Outlook.
Ces règles peuvent tourner pendant des semaines ou des mois. Contrats, factures, communications internes — tout passe. La compromission initiale est peut-être résolue depuis longtemps, la règle de transfert, elle, est toujours active.
- Règles au niveau des boîtes individuelles — créées par l'utilisateur ou par un attaquant via Outlook Web App. Invisibles depuis l'admin center si personne ne les cherche.
- Règles de transport globales — configurées au niveau du tenant par un admin. Plus rares, mais impact potentiel sur tous les emails de l'organisation.
Applications OAuth tierces — l'accumulation invisible
Chaque fois qu'un utilisateur clique sur "Autoriser" pour connecter un outil externe à son compte Microsoft 365, il délègue un accès permanent. Lecture des emails, accès au calendrier, modification des fichiers OneDrive — selon les permissions accordées. Et contrairement à un mot de passe, cet accès ne périme pas.
Au bout de deux ou trois ans, un tenant PME accumule facilement plusieurs dizaines d'applications autorisées. Outils de productivité abandonnés, essais gratuits jamais résiliés, applications d'anciens prestataires. La plupart des utilisateurs ne savent même plus qu'ils ont accordé ces accès.
- Revue des applications autorisées par utilisateur — qui a autorisé quoi, quelles permissions, quand pour la dernière fois. La date de dernière activité est souvent le meilleur indicateur d'une application orpheline.
- Permissions larges à surveiller — "Mail.ReadWrite", "Files.ReadWrite.All", "Calendars.ReadWrite". Ces étendues donnent un accès complet aux données concernées.
- Politique de consentement utilisateur — par défaut, les utilisateurs peuvent consentir eux-mêmes à n'importe quelle application. Restreindre ça aux admins, ou a minima exiger une validation admin pour les permissions sensibles.
Licences inutilisées — ce qu'on paye sans le savoir
C'est le point qui surprend le plus les dirigeants de PME lors d'un premier audit. Microsoft 365 facture à la licence active, et les licences s'accumulent discrètement au fil des départs, des changements de poste, des migrations d'outils.
- Comptes désactivés avec licence active — un collaborateur parti dont le compte a été bloqué mais pas déprovisionné. La licence continue d'être facturée chaque mois.
- Modules non utilisés inclus dans l'abonnement — Intune, Defender for Endpoint, Azure Information Protection sont souvent inclus dans les plans Business Premium ou E3. Ces modules coûtent une fraction du prix du plan complet s'ils sont souscrits séparément — mais dans les faits, personne ne les utilise et personne ne sait qu'ils sont là.
- Plans sur-dimensionnés — des utilisateurs avec des licences E3 ou E5 qui n'ont besoin que d'Exchange et Teams. L'écart de prix entre un plan de base et un plan premium peut représenter plusieurs milliers d'euros par an sur une PME de 30 personnes.
AuditMS vérifie automatiquement SPF, DMARC, les règles de transfert, les apps OAuth et les licences inutilisées — et présente les résultats par module avec un score de sécurité en moins de 2 minutes.
Lancer l'audit sur mon tenantPourquoi maintenant et pas plus tard ?
Les risques identifiés ici ne déclenchent pas d'alerte. Personne ne vous prévient qu'une règle de transfert a été créée sur la boîte du dirigeant, ni que votre domaine est usurpable depuis trois ans faute de DMARC. Ils sont actifs, silencieux, et ils grossissent dans le temps.
Un audit O365 ne prend pas une journée. Il prend le temps de savoir quoi chercher. Le reste, c'est une liste de corrections — pour la plupart rapides, sans coût supplémentaire, et qui réduisent concrètement la surface d'exposition.
La seule mauvaise raison d'attendre, c'est de ne pas avoir commencé.