Dans un contexte d’adoption accélérée du télétravail et de migration vers des services de collaboration cloud, de nombreuses organisations ont déployé Microsoft Office 365 (O365) dans des délais contraints.
La Cybersecurity and Infrastructure Security Agency (CISA) alerte sur le fait que ces déploiements rapides peuvent entraîner des configurations de sécurité incomplètes, augmentant significativement l’exposition aux attaques. (voir https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-120a)
Ce post synthétise les recommandations officielles de la CISA visant à renforcer la posture de sécurité des environnements O365.
Enjeux de sécurité identifiés
Les analyses menées par la CISA mettent en évidence plusieurs risques majeurs :
- Compromission de comptes administrateurs à privilèges élevés
- Exploitation de protocoles d’authentification hérités ne supportant pas le MFA
- Insuffisance de journalisation et de détection des activités suspectes
- Manque de visibilité centralisée sur la posture de sécurité O365
Ces faiblesses sont régulièrement exploitées par des acteurs malveillants pour :
- voler des identifiants,
- maintenir une persistance dans le tenant,
- mener des campagnes de phishing ou d’exfiltration de données.
Recommandations clés de la CISA
La CISA recommande la mise en œuvre immédiate des mesures suivantes :
- Authentification multifacteur (MFA)
- Activer le MFA pour tous les administrateurs, en priorité les Administrateurs globaux.
- Étendre le MFA à l’ensemble des utilisateurs, y compris les comptes standards.
Le MFA est identifié comme la mesure la plus efficace contre le vol d’identifiants.
- Protection des comptes à privilèges
- Limiter strictement l’usage du rôle Administrateur global.
- Utiliser les rôles Azure AD intégrés via le RBAC.
- Appliquer systématiquement le principe du moindre privilège.
- Journalisation et traçabilité
- Activer le Unified Audit Log (UAL) dans le Centre de sécurité et de conformité.
- S’assurer que les événements couvrent :
- Exchange Online
- SharePoint / OneDrive
- Azure AD
- Microsoft Teams
- Détection et alertes
Activer des alertes de sécurité sur les comportements anormaux, notamment :
- connexions depuis des localisations suspectes,
- volumes d’envoi d’e-mails anormaux.
Réduire le délai de détection et de réponse aux incidents.
- Désactivation des protocoles hérités
Désactiver les protocoles POP3, IMAP, SMTP Auth lorsque cela est possible.
À défaut, restreindre leur usage à des comptes identifiés via des politiques d’Accès Conditionnel Azure AD. Rappel : Les protocoles hérités ne supportent pas le MFA et constituent une surface d’attaque critique.
- Pilotage de la posture de sécurité
Exploiter Microsoft Secure Score pour :
- mesurer la posture de sécurité O365,
- prioriser les actions d’amélioration.
Utiliser Secure Score comme outil de pilotage continu, en complément des politiques internes.
- Supervision centralisée (SIEM)
- Intégrer les journaux O365 avec le SIEM de l’organisation.
- Corréler les événements cloud avec les autres sources de sécurité pour une détection transverse des menaces.
Pour faire rapide :
La CISA recommande l’adoption d’une stratégie cloud structurée, intégrant sécurité, détection et réponse aux incidents, afin de sécuriser efficacement la transition vers O365.
Les actions prioritaires sont :
- MFA généralisé,
- protection renforcée des comptes à privilèges,
- journalisation et alerting actifs,
- réduction de la surface d’attaque (protocoles hérités),
- supervision centralisée via SIEM.
Ces mesures constituent le socle minimal de sécurité attendu pour un environnement Microsoft Office 365 exposé à Internet.
Laurent TERUIN | 01/04/2026
Travailler ensemble 