Comment auditer son tenant Microsoft 365

La majorité des tenants Microsoft 365 que je croise en PME ont le même problème : personne n'a jamais fait le tour de la configuration depuis la mise en place. L'abonnement a été souscrit, les licences distribuées, et on est passé à autre chose. Sauf que pendant ce temps, la surface d'attaque grossit.

Auditer son tenant, ce n'est pas forcément faire appel à un prestataire externe. C'est d'abord savoir quoi regarder. Voilà les quatre domaines à couvrir.

1. Les identités — le point d'entrée le plus exploité

La quasi-totalité des compromissions Microsoft 365 commencent par un compte utilisateur. Pas par une faille technique sophistiquée — par un compte sans MFA, un mot de passe réutilisé, ou un admin qui se connecte depuis n'importe où sans contrôle.

MFA activé sur tous les comptes — pas seulement les admins. Un compte utilisateur lambda avec accès aux emails et OneDrive est suffisant pour un attaquant.
Nombre d'admins globaux — deux maximum. Chaque admin global supplémentaire est une surface d'attaque de plus.
Comptes inactifs — les comptes qui ne se sont pas connectés depuis 90 jours sont souvent oubliés mais restent actifs. Ce sont des cibles idéales.
Authentification legacy — IMAP basic, EWS, ActiveSync sans MFA. Ces protocoles contournent le Conditional Access et sont massivement utilisés dans les attaques par credential stuffing.
Conditional Access — c'est ici que la plupart des tenants PME décrochent. Très peu ont des politiques CA en place, alors que c'est le mécanisme le plus efficace pour contrôler les accès.

Entra admin center → Protection → Accès conditionnel

Ce qu'on voit souvent : un tenant sans aucune politique Conditional Access, avec plusieurs admins globaux dont le compte du dirigeant utilisé au quotidien pour tout — emails, Teams, et administration Azure.

2. Les appareils — ce qui touche les données sans qu'on le sache

Intune est souvent l'abonnement qu'on paye sans vraiment l'utiliser. Pourtant c'est lui qui répond à une question simple : est-ce que les appareils qui accèdent à vos données d'entreprise sont gérés et conformes ?

Taux de conformité — combien d'appareils actifs ne respectent pas les politiques de conformité définies.
Chiffrement — BitLocker sur Windows, FileVault sur Mac. Un ordinateur portable volé sans chiffrement, c'est toutes les données accessibles.
Appareils non inscrits — des utilisateurs qui accèdent à leurs emails depuis un appareil personnel non géré. Aucune visibilité, aucun contrôle.

Intune admin center → Appareils → Conformité

3. La messagerie — des risques souvent invisibles

Exchange Online concentre trois types de risques distincts qu'on a tendance à mélanger : l'usurpation de domaine, l'exfiltration silencieuse, et les accès tiers non contrôlés.

SPF, DMARC, DKIM — sans ces enregistrements DNS, n'importe qui peut envoyer des emails en se faisant passer pour votre domaine. C'est la base, et elle est régulièrement absente.
Règles de transfert inbox — une règle qui transfère silencieusement tous les emails vers une adresse externe est un signe classique de compromission. Ça peut tourner pendant des mois sans être détecté.
Applications OAuth tierces — chaque fois qu'un utilisateur autorise une app tierce à accéder à ses emails ou son calendrier, cette app a un accès permanent. Sans revue régulière, ça s'accumule.
Licences inutilisées — des comptes désactivés ou inactifs qui consomment encore des licences payantes. C'est souvent là que le bât blesse en PME : on paye pour des modules ou des utilisateurs qui n'en ont plus besoin.

Microsoft 365 admin center → Utilisateurs · Security & Compliance → Politiques

4. Teams — la collaboration ouverte par défaut

Teams est configuré par défaut pour faciliter la collaboration, pas pour la restreindre. Ce qui est pratique au quotidien peut devenir un problème de sécurité si personne ne s'en occupe.

Politique d'invitation des invités — qui peut inviter des comptes externes ? Par défaut, souvent tout le monde, y compris les guests eux-mêmes.
Apps tierces — les utilisateurs peuvent installer des applications depuis le store Teams sans validation. Certaines demandent des permissions larges sur vos données.
Comptes invités actifs — des partenaires, prestataires, anciens collaborateurs qui ont encore accès à des canaux Teams. Sans revue régulière, la liste grossit.

Teams admin center → Utilisateurs → Accès invité · Applications Teams → Stratégies d'autorisation

AuditMS vérifie automatiquement tous ces points sur votre tenant et génère un score de sécurité par module en moins de 2 minutes.

Lancer l'audit sur mon tenant

Par où commencer ?

Si vous partez de zéro, attaquez dans cet ordre : d'abord le MFA sur tous les comptes, ensuite bloquez l'authentification legacy, puis mettez en place une politique Conditional Access minimale. Ces trois actions couvrent l'essentiel du risque identités.

Pour la messagerie, vérifiez SPF et DMARC sur votre domaine principal — c'est une manipulation DNS de 15 minutes qui élimine le risque de spoofing. Pour Intune et Teams, c'est souvent une question de savoir ce qui est déjà en place avant de décider quoi faire.

Un audit, même rapide, donne une base. Sans ça, vous gérez dans l'obscurité.