Checklist sécurité Microsoft 365 pour PME suisses (2026)

Pourquoi Microsoft 365 est une cible privilégiée

Quand un attaquant cible une PME, il cherche le chemin le plus court. Microsoft 365 coche toutes les cases : tout le monde l'utilise, beaucoup de comptes sont protégés par un simple mot de passe, et un seul compte compromis ouvre l'accès à la messagerie, aux fichiers SharePoint et à OneDrive.

Concrètement, j'ai vu trois scénarios revenir en boucle dans des PME locales :

• Un comptable d'une fiduciaire à Bienne dont la boîte mail a servi à émettre de fausses factures pendant trois jours.
• Un cabinet d'avocats dont les documents confidentiels ont été synchronisés via OneDrive sur un PC personnel infecté.
• Un bureau d'architectes dont le compte administrateur — sans MFA — a été utilisé pour créer une règle de transfert silencieuse.

Aucun de ces incidents n'aurait demandé un investissement majeur pour être évité. Juste de la configuration.

1. MFA et accès conditionnel

La première vérification, et de loin la plus rentable : l'authentification multifacteur (MFA) doit être active sur tous les comptes, sans exception. Pas seulement sur les administrateurs. Pas seulement sur les comptes "sensibles". Tous.

À vérifier précisément :

• MFA active pour 100 % des utilisateurs, y compris les boîtes partagées via leurs délégués.
• Méthode privilégiée : application Microsoft Authenticator avec notification, plutôt que SMS.
• Authentification "legacy" (POP, IMAP, SMTP basique) désactivée. Ces protocoles contournent la MFA.
• Idéalement, une politique d'accès conditionnel qui bloque les connexions depuis l'étranger si votre activité est purement suisse.

Si vous ne deviez activer qu'une seule chose après avoir lu cet article, ce serait la MFA partout. C'est ce qui bloque la grande majorité des intrusions opportunistes.

2. Partages externes OneDrive et SharePoint

Par défaut, un utilisateur de votre tenant peut partager n'importe quel fichier avec n'importe qui sur Internet, via un simple lien "toute personne disposant du lien". C'est pratique. C'est aussi exactement comme cela que des documents internes finissent indexés par Google.

À vérifier :

• Politique de partage externe : limiter à "utilisateurs invités existants" ou à des domaines autorisés.
• Durée de validité des liens : 30 jours maximum par défaut.
• Liens "Anyone" désactivés, ou à minima réservés à certaines bibliothèques.
• Notification quand un utilisateur partage avec un domaine externe inhabituel.

Faites le test : connectez-vous comme un utilisateur lambda et essayez de partager un document sensible à une adresse Gmail. Si ça passe sans friction, vous avez un sujet.

3. Comptes administrateur

Les comptes administrateur global sont la cible numéro un. Quelques principes non négociables :

• Pas de licence Office sur un compte admin global. Pas d'email, pas de Teams, pas de Word. Ces comptes servent uniquement à administrer.
• Au moins deux comptes admin global, pour ne pas vous verrouiller dehors si l'un est compromis ou perdu.
• MFA obligatoire avec une méthode forte (Authenticator + biométrie).
• Connexions admin auditées : qui se connecte, depuis où, quand.
• Le compte que vous utilisez pour lire vos emails au quotidien n'est jamais un compte administrateur.

4. Règles de boîte mail suspectes

Quand un attaquant prend le contrôle d'une boîte mail, le premier réflexe est rarement de tout vider. Il crée une règle de transfert silencieuse : tous les emails reçus sont copiés vers une adresse externe, ou les emails contenant le mot "facture" sont déplacés dans un dossier caché. L'utilisateur ne se rend compte de rien pendant des semaines.

À vérifier régulièrement (idéalement automatiquement) :

• Aucune règle de transfert externe (forwarding) active.
• Aucune règle qui déplace ou supprime des emails contenant des mots-clés financiers.
• Aucune règle créée hors heures de bureau ou depuis un pays inhabituel.

Microsoft propose une alerte native pour cela. Encore faut-il l'avoir activée.

5. Audit logs et alertes

Sans journal d'audit, vous ne saurez pas ce qui s'est passé après un incident. Vérifiez que l'audit unifié est activé sur votre tenant (il l'est par défaut depuis 2023, mais à confirmer sur les tenants anciens) et que les journaux sont conservés au moins 90 jours.

Alertes minimales à configurer :

• Connexion réussie depuis un pays inhabituel.
• Connexions multiples échouées (tentative de brute force).
• Élévation de privilèges (ajout d'un compte au rôle admin).
• Création de règle de transfert externe.
• Téléchargement massif depuis OneDrive ou SharePoint.

6. Sauvegarde tierce

Microsoft sauvegarde son infrastructure. Microsoft ne sauvegarde pas vos donnéesau sens où une PME l'entend. Un employé qui supprime un dossier SharePoint, un ransomware qui chiffre OneDrive, une compromission qui dure trois mois : la rétention native ne vous sauvera pas.

Une PME suisse sérieuse a une solution de sauvegarde tierce dédiée à Microsoft 365 (Veeam, AvePoint, Acronis, Datto, etc.), avec rétention longue durée et restauration granulaire. Ce n'est plus du luxe en 2026.

Conclusion : par où commencer ?

Si vous ne disposez que d'une demi-journée, attaquez dans cet ordre :

1. MFA pour tout le monde.
2. Désactiver les protocoles legacy.
3. Auditer les règles de boîte mail existantes.
4. Restreindre les partages externes.

Ces quatre actions bloquent l'écrasante majorité des scénarios d'intrusion réels que je vois dans les PME romandes.

Si vous préférez ne pas gérer ça en interne, le M365 Security Check couvre exactement cette checklist, en livrant un rapport de 15 à 25 pages avec un plan d'action priorisé. Forfait fixe, 750 CHF, sous 5 à 7 jours ouvrables.