Le partage externe dans Microsoft 365 est le moteur de la collaboration moderne. Il permet aux collaborateurs d'échanger fluidement avec des partenaires, clients ou fournisseurs sans quitter leur environnement de travail.

Cependant, cette facilité d'usage peut se transformer en risque majeur si elle n'est pas maîtrisée. L'accumulation de liens d'accès et d'invités externes crée une surface d'attaque souvent invisible pour les équipes IT.

Un chiffre illustre ce défi : chez l'un de nos clients (environ 3 000 utilisateurs), nous avons identifié plus de 35 330 liens anonymes actifs uniquement sur OneDrive for Business. Chacun de ces liens représente une porte potentiellement ouverte sur vos données.

Voici comment sécuriser ces usages sans bloquer la productivité.

Mise à jour 2026 : Cet article intègre les dernières évolutions des options de partage (SharePoint, OneDrive) et la standardisation des canaux partagés (Teams Connect) pour une collaboration sécurisée.

Comprendre les types de partage : Invités vs Liens 

Avant d'aborder les outils, il est crucial de distinguer les deux mécanismes fondamentaux de partage externe dans l'écosystème Microsoft 365.

1. Les invités authentifiés (Guest Users / B2B)

L'utilisateur externe est invité via son adresse email professionnelle. Un compte "Invité" est créé dans votre annuaire Microsoft Entra ID (anciennement Azure AD).

• Avantage : Traçabilité totale. Vous savez qui accède à quoi. L'accès peut être révoqué centralement et soumis à l'authentification multifacteur (MFA).
• Usage recommandé : Collaboration durable, projets, accès à des équipes Teams ou sites SharePoint.

2. Les liens de partage dans Microsoft 365

Microsoft 365 propose quatre types de liens de partage, classés du plus sécurisé au moins sécurisé.

1. "Personnes spécifiques" (Specific people) - Recommandé par défaut

• Seules les adresses email désignées explicitement peuvent accéder au lien
• Nécessite une authentification Microsoft 365
• Le lien reste valide même s'il est transféré, mais seules les personnes autorisées peuvent l'ouvrir
• Usage recommandé : Collaboration B2B avec des partenaires identifiés

2. "Personnes disposant déjà d'un accès" (People with existing access)

• Ce lien ne modifie aucune permission
• Il sert uniquement à faciliter l'accès à un fichier pour des personnes qui disposent déjà de droits sur celui-ci (membres d'un site, d'une équipe, etc.)
• Usage recommandé : Partage rapide de l'URL d'un fichier en interne sans étendre les permissions

3. "Personnes de votre organisation" (People in your organization)

• Accessible à toute personne disposant d'un compte dans votre tenant Microsoft 365
• Ne fonctionne pas pour les utilisateurs externes, même invités
• Point de vigilance : Peut poser des problèmes de conformité si le lien circule largement en interne (ex: données RH, R&D, Finance)
• Usage recommandé : Documentation générale, ressources non sensibles à diffusion interne large

4. "Toute personne disposant du lien" (Anyone / Liens anonymes) - Type le moins sécurisé

• Par défaut, aucune authentification requise
• Protections configurables par l'administrateur :
• Expiration obligatoire (ex: 7, 15, 30 jours)
• Mot de passe requis (transforme le lien anonyme en lien à authentification légère)
• Blocage du téléchargement (mode "View only" / "Affichage uniquement")
• Opacité totale : Impossible de savoir qui a consulté le fichier (aucune traçabilité dans les logs d'audit standard)
• Usage recommandé UNIQUEMENT : Documents publics, non sensibles, nécessitant une diffusion très large sans friction (ex: menu cantine, communiqué de presse, formulaire d'inscription événement)

Rappel de sécurité : Un document classifié Confidentiel, Interne ou contenant des données personnelles ne doit JAMAIS être partagé via un lien anonyme.

Les spécificités du partage par outil

Partages externes via Outlook

L'envoi de pièces jointes classiques diminue au profit des liens cloud. Lorsqu'un utilisateur attache un fichier depuis OneDrive ou SharePoint, Outlook génère un lien de partage.

• Point de vigilance : Contrairement aux idées reçues, le type de lien par défaut dans Outlook n'est pas nécessairement "Anonyme". Il dépend de la configuration définie par l'administrateur au niveau du tenant.
• La réalité terrain : L'utilisateur oublie souvent de vérifier les permissions via l'option "Gérer l'accès" avant l'envoi.
• Conseil : Configurez votre tenant pour que le lien par défaut soit "Personnes spécifiques" afin de limiter l'exposition accidentelle.

Partages externes via OneDrive

OneDrive est l'espace personnel de l'utilisateur, mais c'est souvent là que réside le plus grand volume de "Shadow IT" autorisé. L'interface de partage propose des options de sécurité granulaires qu'il faut exploiter :

• Expiration du lien : Obligatoire pour les liens anonymes (si configuré par l'IT).
• Mot de passe : Couche de sécurité supplémentaire pour les liens "Toute personne".
• Blocage du téléchargement : Permet la consultation sans fuite du fichier source (mode "Review only").

Les administrateurs peuvent imposer des restrictions globales (ex: interdire les liens "Toute personne" sur OneDrive tout en les laissant sur SharePoint).

Partages externes via SharePoint

SharePoint structure la collaboration d'équipe. Le partage externe s'y effectue à deux niveaux :

1. Au niveau du site : Ajout d'invités dans le groupe "Visiteurs" (lecture seule) ou "Membres" (accès à la modification). L'externe a alors accès à tout le contenu du site, selon l’héritage des permissions mis en place.
2. Au niveau du fichier/dossier : Partage granulaire via des liens, identique à OneDrive.

Le risque de gouvernance : Sans outils tiers, il est très complexe pour un propriétaire de site d'avoir une vue consolidée de qui accède à quoi (mélange de membres du site et de liens de partage uniques).

Partages externes via Microsoft Teams

Teams est devenu le hub central des accès externes.

Accès Invité (Guest Access) : L'ajout classique d'un membre externe à une équipe. L'invité accède à tous les canaux (sauf privés), aux fichiers SharePoint associés et au chat.

Canaux partagés (Shared Channels) : Cette fonctionnalité de collaboration B2B avancée permet d'inviter des utilisateurs externes d'autres organisations Microsoft 365 à participer uniquement à un canal spécifique, sans leur donner accès au reste de l'équipe.

Prérequis techniques :

• Nécessite une licence Microsoft 365 Business Standard, Business Premium, E3, E5 ou supérieure
• Requiert une configuration administrative préalable (activation de la fonctionnalité au niveau tenant)
• Impose un accord de partage B2B (Azure AD B2B Direct Connect) entre les deux organisations
• Limité à 50 membres externes par canal partagé

Contrairement à l'accès Invité classique, les canaux partagés créent un site SharePoint distinct dédié uniquement à ce canal, indépendant du site de l'équipe principale.

Récapitulatif de l’architecture Teams par contexte :

• Fichiers partagés dans un chat 1:1 ou chat de groupe : Stockés dans le OneDrive Entreprise de l'utilisateur qui a partagé le fichier. Si le fichier est supprimé du OneDrive source, il devient inaccessible dans le chat.
  
  
• Fichiers des canaux standards (Standard Channels) : Stockés dans la bibliothèque de documents SharePoint du site associé à l'équipe Teams. Tous les membres de l'équipe ayant accès au canal peuvent accéder à ces fichiers via SharePoint.
  
  
• Fichiers des canaux partagés (Shared Channels) : Stockés dans un site SharePoint dédié créé automatiquement et spécifiquement pour ce canal partagé. Ce site est distinct du site SharePoint de l'équipe principale. Cette séparation permet un contrôle granulaire des permissions et une meilleure isolation des données partagées avec des externes.

Impact gouvernance : Cette architecture en silos multiples complexifie les stratégies de sauvegarde, de DLP et de rétention. Il est recommandé d'inventorier ces sites dédiés via PowerShell pour assurer une couverture complète des politiques de conformité.

Bonnes pratiques de sécurité pour 2026

Sécuriser le partage externe ne signifie pas le bloquer, mais l'encadrer. Voici les recommandations prioritaires à diffuser auprès des métiers.

1. Maîtriser strictement les liens anonymes

Le lien "Toute personne disposant du lien" doit être l'exception, pas la règle.

• Usage autorisé : Uniquement pour des documents publics, non sensibles ou destinés à une audience très large (ex: menu de cantine, communiqué de presse, documentation générique).
• Règle d'or : Un document confidentiel ne doit jamais être partagé en lien anonyme.
• Action IT : Imposer techniquement une expiration courte (ex: 30 jours) sur tous les liens anonymes et restreindre les droits à "Lecture seule" par défaut.

2. Privilégier les liens "Personnes Spécifiques"

Pour toute collaboration B2B :

• Utilisez l'option "Personnes spécifiques". Cela garantit que seule l'adresse email destinataire pourra ouvrir le fichier, même si le mail est transféré.
• Appliquez le principe de moindre privilège : donnez les droits de modification uniquement si nécessaire. Le mode "Affichage uniquement" (View only) est souvent suffisant.

3. Industrialiser la revue des accès

Un partage légitime au début d'un projet devient un risque de sécurité une fois le projet terminé. La sécurité des données repose sur leur cycle de vie.

• Nettoyage trimestriel : Encouragez les propriétaires de données à revoir leurs partages.
• Indices visuels : Surveillez l'icône "Ce site a des invités externes" dans Teams et utilisez la vue "Partagé par vous" dans OneDrive.
• Conformité : Ces revues sont indispensables pour répondre aux exigences réglementaires (RGPD, NIS2, DORA) concernant la maîtrise de la chaîne d'approvisionnement et des accès tiers.

Reprendre le contrôle avec une vue unifiée

Pour les équipes IT/SSI :

Pour les utilisateurs :

Malgré les efforts de Microsoft, l'interface native 365 reste fragmentée. Un utilisateur ne dispose pas d'une console unique pour voir l'ensemble de ses partages actifs sur OneDrive, SharePoint et Teams. Cette absence de visibilité freine la responsabilisation des utilisateurs.

Pour pallier ce manque, il est nécessaire d'outiller les collaborateurs avec une solution comme MyDataSecurity.

MyDataSecurity agit comme un tableau de bord de sécurité personnel pour chaque utilisateur :

• Centralisation : Une vue unique sur tous les accès (invités, liens anonymes, internes).
• Détection des risques : Identification immédiate des partages obsolètes, des liens anonymes sur des données sensibles ou des invités inactifs.
• Remédiation rapide : L'utilisateur peut corriger, prolonger ou révoquer un accès en un clic, sans passer par le support IT.

En redonnant la visibilité aux propriétaires des données, vous transformez chaque collaborateur en acteur de la sécurité de l'organisation.

Conclusion : De la restriction à la responsabilisation

La sécurité des partages externes ne se joue plus uniquement dans le centre d'administration Microsoft 365. Si les politiques techniques (expiration forcée, restriction des domaines, MFA) constituent le socle de votre défense, elles ne suffisent plus face à la volatilité et au volume des collaborations actuelles.

En 2026, l'enjeu pour les DSI et RSSI est de passer d'une logique de contrôle subi à une logique de gouvernance partagée. La protection des données n'est pas un frein à la productivité si elle est intelligible pour le collaborateur. En outillant vos utilisateurs pour qu'ils visualisent et nettoient leurs propres accès, vous réduisez drastiquement la dette de sécurité de votre tenant sans alourdir la charge de l'équipe IT.

L'objectif final est clair : maintenir la fluidité des échanges métier tout en garantissant que chaque lien externe actif est légitime, sécurisé et nécessaire.

Vous souhaitez évaluer l'exposition actuelle de vos données Microsoft 365 ?

Découvrez comment MyDataSecurity permet d'auditer et d'assainir votre environnement collaboratif en impliquant directement les propriétaires de la donnée.

Demander une démo de MyDataSecurity  

➡️   Une question ?