Le partage externe dans Microsoft 365 est le moteur de la collaboration moderne. Il permet aux collaborateurs d'échanger fluidement avec des partenaires, clients ou fournisseurs sans quitter leur environnement de travail.

Cependant, cette facilité d'usage peut se transformer en risque majeur si elle n'est pas maîtrisée. L'accumulation de liens d'accès et d'invités externes crée une surface d'attaque souvent invisible pour les équipes IT.

Un chiffre illustre ce défi : chez l'un de nos clients (environ 3 000 utilisateurs), nous avons identifié plus de 35 330 liens anonymes actifs uniquement sur OneDrive for Business. Chacun de ces liens représente une porte potentiellement ouverte sur vos données.

Voici comment sécuriser ces usages sans bloquer la productivité.

Mise à jour 2026 : Cet article intègre les dernières évolutions des options de partage (SharePoint, OneDrive) et la standardisation des canaux partagés (Teams Connect) pour une collaboration sécurisée.

Comprendre les types de partage : Invités vs Liens 

Avant d'aborder les outils, il est crucial de distinguer les deux mécanismes fondamentaux de partage externe dans l'écosystème Microsoft 365.

1. Les invités authentifiés (Guest Users / B2B)

L'utilisateur externe est invité via son adresse email professionnelle. Un compte "Invité" est créé dans votre annuaire Microsoft Entra ID (anciennement Azure AD).

• Avantage : Traçabilité totale. Vous savez qui accède à quoi. L'accès peut être révoqué centralement et soumis à l'authentification multifacteur (MFA).
• Usage recommandé : Collaboration durable, projets, accès à des équipes Teams ou sites SharePoint.

2. Les liens de partage dans Microsoft 365

Microsoft 365 propose quatre types de liens de partage, classés du plus sécurisé au moins sécurisé.

1. "Personnes spécifiques" (Specific people) - Recommandé par défaut

• Seules les adresses email désignées explicitement peuvent accéder au lien
• Nécessite une authentification Microsoft 365
• Le lien reste valide même s'il est transféré, mais seules les personnes autorisées peuvent l'ouvrir
• Usage recommandé : Collaboration B2B avec des partenaires identifiés

2. "Personnes disposant déjà d'un accès" (People with existing access)

• Ce lien ne modifie aucune permission
• Il sert uniquement à faciliter l'accès à un fichier pour des personnes qui disposent déjà de droits sur celui-ci (membres d'un site, d'une équipe, etc.)
• Usage recommandé : Partage rapide de l'URL d'un fichier en interne sans étendre les permissions

3. "Personnes de votre organisation" (People in your organization)

• Accessible à toute personne disposant d'un compte dans votre tenant Microsoft 365
• Ne fonctionne pas pour les utilisateurs externes, même invités
• Point de vigilance : Peut poser des problèmes de conformité si le lien circule largement en interne (ex: données RH, R&D, Finance)
• Usage recommandé : Documentation générale, ressources non sensibles à diffusion interne large

4. "Toute personne disposant du lien" (Anyone / Liens anonymes) - Type le moins sécurisé

• Par défaut, aucune authentification requise
• Protections configurables par l'administrateur :
• Expiration obligatoire (ex: 7, 15, 30 jours)
• Mot de passe requis (transforme le lien anonyme en lien à authentification légère)
• Blocage du téléchargement (mode "View only" / "Affichage uniquement")
• Opacité totale : Impossible de savoir qui a consulté le fichier (aucune traçabilité dans les logs d'audit standard)
• Usage recommandé UNIQUEMENT : Documents publics, non sensibles, nécessitant une diffusion très large sans friction (ex: menu cantine, communiqué de presse, formulaire d'inscription événement)

Rappel de sécurité : Un document classifié Confidentiel, Interne ou contenant des données personnelles ne doit JAMAIS être partagé via un lien anonyme.

Les spécificités du partage par outil

Partages externes via Outlook

L'envoi de pièces jointes classiques diminue au profit des liens cloud. Lorsqu'un utilisateur attache un fichier depuis OneDrive ou SharePoint, Outlook génère un lien de partage.

• Point de vigilance : Contrairement aux idées reçues, le type de lien par défaut dans Outlook n'est pas nécessairement "Anonyme". Il dépend de la configuration définie par l'administrateur au niveau du tenant.
• La réalité terrain : L'utilisateur oublie souvent de vérifier les permissions via l'option "Gérer l'accès" avant l'envoi.
• Conseil : Configurez votre tenant pour que le lien par défaut soit "Personnes spécifiques" afin de limiter l'exposition accidentelle.

Partages externes via OneDrive

OneDrive est l'espace personnel de l'utilisateur, mais c'est souvent là que réside le plus grand volume de "Shadow IT" autorisé. L'interface de partage propose des options de sécurité granulaires qu'il faut exploiter :

• Expiration du lien : Obligatoire pour les liens anonymes (si configuré par l'IT).
• Mot de passe : Couche de sécurité supplémentaire pour les liens "Toute personne".
• Blocage du téléchargement : Permet la consultation sans fuite du fichier source (mode "Review only").

Les administrateurs peuvent imposer des restrictions globales (ex: interdire les liens "Toute personne" sur OneDrive tout en les laissant sur SharePoint).

Partages externes via SharePoint : les trois niveaux à maîtriser

SharePoint est la fondation documentaire de tout l'écosystème Microsoft 365. Contrairement à OneDrive, qui gère l'espace personnel d'un collaborateur, SharePoint structure la collaboration d'équipe à l'échelle d'un site entier. Un partage mal configuré à ce niveau n'expose pas un fichier isolé : il peut potentiellement ouvrir l'accès à des centaines de documents en même temps.

L'architecture en trois niveaux

Le partage externe dans SharePoint fonctionne selon une logique de cascade stricte, que beaucoup d'organisations sous-estiment :

La règle absolue : si l'option de partage d'un site et l'option de partage au niveau de l'organisation ne correspondent pas, la valeur la plus restrictive s'applique toujours. Un site ne peut pas être plus permissif que son tenant. En revanche, un administrateur tenant qui n'a pas restreint les partages externes laisse chaque propriétaire de site libre d'inviter des externes, sans intervention IT. C'est là que naissent les surpartages silencieux. (Source : Microsoft Learn)

Point d'attention : l'ajout d'un externe au groupe "Membres" d'un site lui donne accès à l'ensemble du contenu du site, selon l'héritage des permissions. Le principe du moindre privilège s'impose : un externe qui a besoin de consulter un document n'a pas besoin d'être "Membre" (modification). Le rôle "Visiteur" (lecture seule) est suffisant dans la grande majorité des cas.

Changement majeur 2026 : la fin du One-Time Passcode

Jusqu'ici, un partenaire externe sans compte Microsoft pouvait accéder à un document SharePoint partagé via un code à usage unique (OTP) envoyé par email. Ce mécanisme, pratique mais peu traçable, disparaît en 2026.

Le calendrier confirmé par Microsoft :

• Mai 2026 : les nouveaux partages basculent sur Microsoft Entra B2B
• Juillet 2026 : premiers refus d'accès sur les anciens partages OTP existants
• Août 2026 : retraite complète du mécanisme OTP

Concrètement, tout externe qui accédait à vos documents SharePoint via un code OTP et qui ne dispose pas d'un compte invité Entra ID verra son accès refusé à partir de juillet 2026. Pour restaurer l'accès, il faudra soit créer un compte invité, soit re-partager le document via un lien compatible Entra B2B.

Les organisations qui ont accumulé des partages SharePoint sans gouvernance stricte vont découvrir à ce moment des centaines d'accès orphelins. Les entreprises qui s'y préparent maintenant éviteront les accès refusés, assainiront leurs partages hérités et renforceront leur gouvernance documentaire. C'est précisément le bon moment pour auditer l'existant, identifier les accès concernés et les traiter avant les premiers blocages.

Les Data Access Governance Reports : l'outil natif trop souvent ignoré

Microsoft met à disposition, nativement dans le Centre d'administration SharePoint, des rapports de gouvernance des accès aux données. Peu d'organisations les activent. Ils permettent pourtant de détecter les points de surexposition avant qu'ils ne deviennent des incidents.

Quatre rapports sont disponibles :

• Rapport sur les autorisations de site : vue complète de la structure des permissions sur tous les sites SharePoint, avec identification des sites ayant l'accès utilisateur le plus large
• Rapport sur les liens de partage actifs : identifie les sites où des liens anonymes ou à large audience ont été créés récemment
• Rapport "Tout le monde sauf les utilisateurs externes" : signale les sites où du contenu est partagé avec l'ensemble de l'organisation interne, exposant potentiellement des données sensibles à grande échelle
• Rapport sur les étiquettes de confidentialité : vérifie que les fichiers classifiés sont bien protégés par les politiques de sécurité appropriées

Ces rapports nécessitent des licences spécifiques : une licence M365 E3, E5 ou A5 de base, combinée à une licence Microsoft 365 Copilot ou SharePoint Advanced Management. Si votre organisation ne dispose pas de ces licences, seul un sous-ensemble de rapports est accessible. (source : Microsoft Learn)

Deux limites importantes à connaître. Premièrement, pour les organisations sans gestion avancée SharePoint, la collecte de données doit être activée manuellement avant de pouvoir générer les rapports d'activité. Si aucun rapport n'est généré pendant trois mois, la collecte s'interrompt et doit être réactivée. Secondement, ces rapports donnent une vue macro par site. Ils ne permettent pas d'identifier qui a partagé quel fichier avec qui, ni de piloter une remédiation utilisateur par utilisateur. (Source : Microsoft Learn)

C'est précisément le périmètre qu'adresse Permission Explorer : visibilité fichier par fichier, par utilisateur et par niveau de sensibilité, avec alerting temps réel sur les répertoires à risque, sans les contraintes de licence des rapports natifs.

Checklist opérationnelle par profil

La gouvernance SharePoint ne se joue pas uniquement dans le Centre d'administration. Elle repose sur trois acteurs : l'administrateur qui pose les règles du tenant, le propriétaire de site qui les applique à son périmètre, et l'utilisateur qui génère les partages au quotidien. Sans outillage adapté, ce dernier maillon reste invisible et c'est lui qui concentre l'essentiel du risque.

Partages externes via Microsoft Teams

Teams est devenu le hub central des accès externes.

Accès Invité (Guest Access) : L'ajout classique d'un membre externe à une équipe. L'invité accède à tous les canaux (sauf privés), aux fichiers SharePoint associés et au chat.

Canaux partagés (Shared Channels) : Cette fonctionnalité de collaboration B2B avancée permet d'inviter des utilisateurs externes d'autres organisations Microsoft 365 à participer uniquement à un canal spécifique, sans leur donner accès au reste de l'équipe.

Prérequis techniques :

• Nécessite une licence Microsoft 365 Business Standard, Business Premium, E3, E5 ou supérieure
• Requiert une configuration administrative préalable (activation de la fonctionnalité au niveau tenant)
• Impose un accord de partage B2B (Azure AD B2B Direct Connect) entre les deux organisations
• Limité à 50 membres externes par canal partagé

Contrairement à l'accès Invité classique, les canaux partagés créent un site SharePoint distinct dédié uniquement à ce canal, indépendant du site de l'équipe principale.

Récapitulatif de l’architecture Teams par contexte :

• Fichiers partagés dans un chat 1:1 ou chat de groupe : Stockés dans le OneDrive Entreprise de l'utilisateur qui a partagé le fichier. Si le fichier est supprimé du OneDrive source, il devient inaccessible dans le chat.
  
  
• Fichiers des canaux standards (Standard Channels) : Stockés dans la bibliothèque de documents SharePoint du site associé à l'équipe Teams. Tous les membres de l'équipe ayant accès au canal peuvent accéder à ces fichiers via SharePoint.
  
  
• Fichiers des canaux partagés (Shared Channels) : Stockés dans un site SharePoint dédié créé automatiquement et spécifiquement pour ce canal partagé. Ce site est distinct du site SharePoint de l'équipe principale. Cette séparation permet un contrôle granulaire des permissions et une meilleure isolation des données partagées avec des externes.

Impact gouvernance : Cette architecture en silos multiples complexifie les stratégies de sauvegarde, de DLP et de rétention. Il est recommandé d'inventorier ces sites dédiés via PowerShell pour assurer une couverture complète des politiques de conformité.

Bonnes pratiques de sécurité pour 2026

Sécuriser le partage externe ne signifie pas le bloquer, mais l'encadrer. Voici les recommandations prioritaires à diffuser auprès des métiers.

1. Maîtriser strictement les liens anonymes

Le lien "Toute personne disposant du lien" doit être l'exception, pas la règle.

• Usage autorisé : Uniquement pour des documents publics, non sensibles ou destinés à une audience très large (ex: menu de cantine, communiqué de presse, documentation générique).
• Règle d'or : Un document confidentiel ne doit jamais être partagé en lien anonyme.
• Action IT : Imposer techniquement une expiration courte (ex: 30 jours) sur tous les liens anonymes et restreindre les droits à "Lecture seule" par défaut.

2. Privilégier les liens "Personnes Spécifiques"

Pour toute collaboration B2B :

• Utilisez l'option "Personnes spécifiques". Cela garantit que seule l'adresse email destinataire pourra ouvrir le fichier, même si le mail est transféré.
• Appliquez le principe de moindre privilège : donnez les droits de modification uniquement si nécessaire. Le mode "Affichage uniquement" (View only) est souvent suffisant.

3. Industrialiser la revue des accès

Un partage légitime au début d'un projet devient un risque de sécurité une fois le projet terminé. La sécurité des données repose sur leur cycle de vie.

• Nettoyage trimestriel : Encouragez les propriétaires de données à revoir leurs partages.
• Indices visuels : Surveillez l'icône "Ce site a des invités externes" dans Teams et utilisez la vue "Partagé par vous" dans OneDrive.
• Conformité : Ces revues sont indispensables pour répondre aux exigences réglementaires (RGPD, NIS2, DORA) concernant la maîtrise de la chaîne d'approvisionnement et des accès tiers.

Reprendre le contrôle avec une vue unifiée

Pour les équipes IT/SSI :

Pour les utilisateurs :

Malgré les efforts de Microsoft, l'interface native 365 reste fragmentée. Un utilisateur ne dispose pas d'une console unique pour voir l'ensemble de ses partages actifs sur OneDrive, SharePoint et Teams. Cette absence de visibilité freine la responsabilisation des utilisateurs.

Pour pallier ce manque, il est nécessaire d'outiller les collaborateurs avec une solution comme MyDataSecurity.

MyDataSecurity agit comme un tableau de bord de sécurité personnel pour chaque utilisateur :

• Centralisation : Une vue unique sur tous les accès (invités, liens anonymes, internes).
• Détection des risques : Identification immédiate des partages obsolètes, des liens anonymes sur des données sensibles ou des invités inactifs.
• Remédiation rapide : L'utilisateur peut corriger, prolonger ou révoquer un accès en un clic, sans passer par le support IT.

En redonnant la visibilité aux propriétaires des données, vous transformez chaque collaborateur en acteur de la sécurité de l'organisation.

Conclusion : De la restriction à la responsabilisation

La sécurité des partages externes ne se joue plus uniquement dans le centre d'administration Microsoft 365. Si les politiques techniques (expiration forcée, restriction des domaines, MFA) constituent le socle de votre défense, elles ne suffisent plus face à la volatilité et au volume des collaborations actuelles.

En 2026, l'enjeu pour les DSI et RSSI est de passer d'une logique de contrôle subi à une logique de gouvernance partagée. La protection des données n'est pas un frein à la productivité si elle est intelligible pour le collaborateur. En outillant vos utilisateurs pour qu'ils visualisent et nettoient leurs propres accès, vous réduisez drastiquement la dette de sécurité de votre tenant sans alourdir la charge de l'équipe IT.

L'objectif final est clair : maintenir la fluidité des échanges métier tout en garantissant que chaque lien externe actif est légitime, sécurisé et nécessaire.

Vous souhaitez évaluer l'exposition actuelle de vos données Microsoft 365 ?

Découvrez comment MyDataSecurity permet d'auditer et d'assainir votre environnement collaboratif en impliquant directement les propriétaires de la donnée.

Demander une démo de MyDataSecurity  

➡️   Une question ?