Aller au contenu

Sécurité Microsoft 365 et Exchange Online

Les clients Microsoft 365 et le système d’authentification sous-jacent Entra ID (Azure AD) disposent de nombreuses options de configuration différentes pour permettre à votre entreprise de mettre en œuvre différents niveaux de sécurité. Beaucoup de ces options ne sont pas activées par défaut. Bien que ce document ne couvre pas toutes les options de sécurité disponibles, ni n’aborde d’autres technologies telles que la gestion des appareils et la prévention des pertes de données (DLP), il fournit des conseils à nos clients sur les paramètres recommandés pour renforcer la protection de l’identité et réduire les risques de compromission de la messagerie professionnelle (BEC ou Business Email Compromise).

Les conseils d’utilisation sont divisés en deux sections, les paramètres recommandés et les paramètres optionnels. Nous encourageons tous les clients à utiliser les paramètres recommandés. Nous vous suggérons également de considérer et d’étudier les paramètres optionnels, et de les appliquer en fonction de votre environnement.

Toute modification envisagée de l’environnement doit être examinée et testée après avoir consulté la documentation correspondante de Microsoft. Nous vous recommandons d’effectuer les modifications par lots, et de les appliquer à des comptes de test, des utilisateurs pilotes et des services de petite taille avant de les déployer dans toute l’organisation. Assurez-vous d’avoir configuré un compte d’accès d'urgence comme décrit ci-dessous, pour éviter d’être verrouillé.

Conseils d’utilisation des licences

Certains des éléments de configuration ci-dessous sont disponibles pour tous les clients M365, quelles que soient les licences utilisées. Cependant, la plupart d’entre elles nécessiteront au moins une licence « Entra ID P1 » pour être disponibles dans votre locataire. D’autres exigeront une licence « Entra ID P2 ». La licence « Entra ID P1 » est comprise dans les packs M365 Business Premium E3/A3. Les licences « Entra ID P2 » sont disponibles dans les packs M365 E5/A5.

Si votre licence n’inclut pas au moins une licence « Entra ID P1 », nous vous recommandons vivement d’utiliser les paramètres de sécurité par défaut de Microsoft. Il s’agit d'un ensemble de stratégies de sécurité de base contrôlées par Microsoft. Voir Paramètres de sécurité par défaut dans Microsoft Entra ID - Microsoft Entra.

Pour l’intégration des alertes Microsoft au service Sophos MDR, vous devrez disposer au minimum de la licence « Entra ID P1 ». Nous vous recommandons cependant d’utiliser « Entra ID P2 », pour recevoir un plus grand nombre d’alertes générées par Microsoft. Retrouvez plus de renseignements sur ces alertes dans les articles ci-dessous :

Nous vous recommandons de demander des informations supplémentaires sur les licences à votre spécialiste des licences Microsoft.

Éléments de configuration recommandés

  • Activer la journalisation d’audit unifiée


    Assurez-vous que le journal d’audit enregistre l’activité de tous les services.

    Géolocalisation : Portail Defender > Audit

  • Configurer les stratégies d’alerte


    Les stratégies d’alerte génèrent des notifications par email lorsque certains événements à haut risque se produisent dans Exchange. Nous vous recommandons de vous assurer que ces alertes soient envoyées aux administrateurs Exchange Online.

    Géolocalisation : Portail Defender > Stratégies et règles > Stratégie d’alerte

    Bloquer la connexion pour toutes les boîtes de réception partagées

    • Les boîtes de réception partagées sont souvent des cibles faciles avec des mots de passe faibles et sans authentification multifacteur. Nous vous recommandons de modifier les autorisations pour bloquer directement les connexions aux boîtes de réception partagées afin qu’elles ne soient accessibles que via des comptes d’utilisateur authentifiés.
    • Géolocalisation : Centre d’administration > Utilisateurs

    Bloquer les utilisateurs qui transfèrent automatiquement des messages en dehors de l’organisation

    • Une pratique cybercriminelle courante est d’infiltrer la messagerie d’un utilisateur puis de configurer des règles d’envoi vers des comptes externes. Nous vous recommandons de bloquer la création de règles de transfert automatique vers des destinataires externes.
    • Géolocalisation : Portail Defender > Stratégies et règles > Stratégies de menaces > Antispam (stratégie sortante).

Éléments de configuration facultatifs

  • Appliquer des stratégies de sécurité prédéfinies (Email Protection)


    Microsoft publie deux ensembles de stratégies de sécurité pour définir la manière dont la protection Exchange Online gère les menaces. Nous vous recommandons d’utiliser au moins le groupe de stratégies « Protection standard » pour vous protéger contre les menaces par email. Si, en supplément, vous utilisez une solution de filtrage du spam externe, assurez-vous de consulter le fournisseur de ce produit avant de modifier ces paramètres.

    Géolocalisation : Portail Defender > Stratégies et règles > Stratégies de menaces > Stratégies de sécurité prédéfinies

    Référence :