Phishing Microsoft 365 : quand vos partages amplifient le risque
Lire l'articleSécurité / IT
10 octobre 2021
La cybersécurité entreprise n'est plus un sujet réservé à la DSI. Selon l'ANSSI (2026), la future loi Résilience qui transposera la directive NIS2 en droit français concernera environ 15 000 entités essentielles et importantes en France, contre près de 1 500 sous le précédent cadre NIS1. Cette bascule réglementaire engage directement la responsabilité des dirigeants sur la gestion des risques cyber, et plus seulement celle des équipes IT.
Une stratégie de cybersécurité entreprise efficace en 2026 repose sur sept piliers complémentaires : la conformité réglementaire, la gestion des identités et des accès, la détection et la supervision, la protection des données, la sensibilisation des collaborateurs, et deux piliers souvent absents des guides généralistes, la gouvernance des accès et des partages sur Microsoft 365, et l'impact de Copilot et de l'IA générative sur ces mêmes accès.
Au programme de cet article :
Au 18 juin 2026, la France n'a pas encore achevé la transposition de la directive NIS2 dans son droit national. Le projet de loi Résilience, qui regroupe NIS2, la directive REC et le règlement DORA, a été adopté en première lecture par le Sénat en mars 2025 et examiné par une commission spéciale à l'Assemblée nationale en septembre 2025. Selon l'ANSSI (2026), son adoption définitive est attendue lors d'une session parlementaire extraordinaire prévue en juillet 2026.
En attendant ce vote, l'ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), un document de travail qui détaille les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Les entreprises concernées peuvent déjà se pré-enregistrer sur la plateforme MonEspaceNIS2 pour anticiper leurs obligations plutôt que d'attendre la promulgation de la loi.
NIS2 impose dix mesures minimales de gestion des risques cyber, communes aux entités essentielles et importantes : politique d'analyse des risques, gestion des incidents, continuité d'activité, chiffrement, authentification multifacteur ou encore sécurisation de la chaîne d'approvisionnement en font partie. L'article 20 de la directive impose en outre aux organes de direction d'approuver ces mesures et d'en superviser la mise en œuvre, avec un risque de responsabilité personnelle en cas de manquement avéré.
Les sanctions distinguent deux catégories d'entités. Les entités essentielles risquent jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les entités importantes risquent jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires mondial. Ces montants s'ajoutent à ceux du RGPD, qui peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial pour les manquements les plus graves.
Pour un RSSI, NIS2, RGPD et DORA se chevauchent partiellement et méritent d'être cartographiés ensemble plutôt que traités isolément :
Une entreprise du secteur financier peut ainsi être simultanément soumise aux trois textes, avec des autorités de contrôle différentes selon le volet concerné.
Pour une entreprise concernée par NIS2, la conformité réglementaire engage désormais la responsabilité des dirigeants, pas uniquement celle de la DSI.
La gestion des identités et des accès, ou IAM, consiste à attribuer, suivre et révoquer les droits numériques de chaque utilisateur en fonction de son rôle dans l'entreprise. Sur un environnement Microsoft 365, cela couvre l'authentification des comptes via Microsoft Entra ID, l'attribution des licences et la définition des rôles d'administration.
Microsoft Entra ID propose des politiques d'accès conditionnel qui adaptent les exigences d'authentification au contexte de connexion, un module de gestion des identités à privilèges (PIM) qui limite dans le temps les droits d'administrateur, ainsi que des campagnes de revue d'accès (Access Reviews) pour recertifier périodiquement les droits attribués. L'authentification multifacteur reste recommandée en priorité sur les comptes à privilèges, qui restent la cible la plus rentable pour un attaquant.
Le départ d'un collaborateur reste l'un des angles morts les plus fréquents de l'IAM. Un compte non désactivé ou des droits non révoqués après un changement de poste restent une porte d'entrée active, invisible tant qu'aucun audit ne la signale.
Un IAM bien structuré ne suffit pas à lui seul : il définit qui peut se connecter, mais ne contrôle pas ce que chaque utilisateur partage ensuite avec ses droits légitimes. Cette distinction entre gestion des identités et gestion des données partagées est souvent absente des guides généralistes de cybersécurité entreprise, alors qu'elle conditionne directement l'exposition réelle des données sensibles. La gestion des identités et des accès pose les fondations d'une stratégie de cybersécurité entreprise, mais elle doit être complétée par un contrôle régulier de ce que les utilisateurs font de leurs droits une fois connectés.
Un SIEM (Security Information and Event Management) centralise les journaux d'activité de l'ensemble du système d'information pour détecter les comportements anormaux. Un SOC (Security Operations Center) exploite ces données pour qualifier les alertes et déclencher une réponse. Sur un environnement Microsoft 365, Microsoft Sentinel et les journaux d'audit Microsoft Purview alimentent généralement cette supervision. Un volume anormal de téléchargements depuis un compte, ou une connexion depuis un pays inhabituel, figurent parmi les signaux types remontés par ces outils.
Selon le rapport IBM Cost of a Data Breach (2025), le coût moyen mondial d'une violation de données s'élève à 4,44 millions de dollars, en baisse de 9% par rapport à 2024, grâce à une détection et un confinement plus rapides. Le délai moyen pour identifier et contenir une violation atteint 241 jours, le plus court depuis neuf ans selon la même étude. En France, le coût moyen d'une violation de données atteint 3,59 millions d'euros en 2025, en baisse de 7% sur un an, d'après l'étude menée par le Ponemon Institute auprès de 34 organisations françaises.
Selon IBM (2025), les organisations qui déploient largement l'intelligence artificielle et l'automatisation dans leur SOC réduisent le coût moyen d'une violation de 1,9 million de dollars et raccourcissent son cycle de vie de 80 jours, par rapport à celles qui ne les utilisent pas. Cette automatisation réduit également la fatigue des analystes confrontés à un volume croissant d'alertes.
Un SIEM ou un SOC détecte les comportements anormaux après qu'un accès a déjà été accordé : il intervient en aval d'une gouvernance des identités et des accès qui reste la première ligne de défense.
La protection des données combine le chiffrement, la sauvegarde régulière et un plan de reprise d'activité testé périodiquement. Le chiffrement rend les données illisibles sans la clé de déchiffrement, y compris en cas d'exfiltration. NIS2 inscrit explicitement la continuité d'activité, incluant la gestion des sauvegardes et la reprise après sinistre, parmi ses dix mesures minimales de gestion des risques.
Selon l'ANSSI, qui a coréalisé avec le Club de la continuité d'activité (CCA) le guide Organiser un exercice de gestion de crise cyber, un plan de continuité d'activité robuste face au risque cyber repose sur des simulations de crise régulières, en complément des mesures de gouvernance, de protection et de défense déjà en place. Un PRA non testé perd une partie de sa valeur opérationnelle face à une situation réelle. La bonne pratique consiste à conserver plusieurs copies des données critiques sur des supports distincts, dont au moins une copie hors ligne ou immuable, inaccessible en cas de compromission du réseau principal.
Pour les environnements Microsoft 365, la résilience dépend aussi de la maîtrise du volume de données stockées. Un tenant saturé de données obsolètes ou en doublon complique la restauration après incident, ralentit les recherches lors d'un forensic et augmente la surface d'exposition en cas de compromission d'un compte.
La résilience opérationnelle d'une entreprise se mesure à sa capacité à reprendre une activité normale rapidement après un incident, pas seulement à l'absence d'incident.
Selon l'étude IFOP pour IDECSI et le CESIN (avril 2024), 49% des salariés des grandes entreprises françaises déclarent avoir déjà été visés par une tentative d'hameçonnage dans le cadre professionnel, soit deux points de plus qu'en 2019. La même étude révèle que 37% des salariés avouent avoir accès à des documents confidentiels partagés sans que cet accès soit toujours justifié par leur fonction, et 48% ont déjà stocké des données personnelles sur un appareil à usage professionnel.
Cette même enquête montre que 51% des salariés des grandes entreprises se disent inquiets pour la sécurité de leurs données professionnelles, en hausse de six points par rapport à 2019. Cette inquiétude croissante ne se traduit pas automatiquement par de meilleures pratiques : près d'un salarié sur trois évite certains outils numériques par crainte de problèmes de sécurité, ce qui freine la transformation digitale plutôt que de la sécuriser.
Les campagnes de simulation d'hameçonnage, couplées à une formation courte et régulière, permettent de mesurer la progression des réflexes des collaborateurs dans le temps plutôt que de se fier à une session de sensibilisation isolée en début d'année.
Sensibiliser les collaborateurs aux bonnes pratiques de partage et de gestion des accès reste le levier le moins coûteux pour réduire l'exposition des données, à condition de leur donner les moyens concrets d'agir sur leurs propres partages plutôt qu'un simple rappel théorique sans outil associé.
Les outils collaboratifs Microsoft 365 (Teams, SharePoint, OneDrive) ont rendu chaque utilisateur administrateur de ses propres partages. Selon Microsoft (Learn, 2026), le partage externe est activé par défaut sur l'ensemble de l'environnement SharePoint et OneDrive d'un tenant Microsoft 365, avec un niveau de partage organisationnel réglé par défaut sur Anyone, c'est-à-dire accessible par lien sans authentification.
Ce pilier est absent de la plupart des guides généralistes de cybersécurité entreprise, alors qu'il conditionne directement ce que Copilot et les autres outils d'IA générative peuvent exposer, comme détaillé au pilier suivant.
Selon les données IDECSI (2026), une revue de droits structurée sur un tenant Microsoft 365 permet de corriger en moyenne 7 risques par utilisateur dès la première campagne, sur un périmètre de plus d'un million d'utilisateurs traités. Les actions les plus fréquemment réalisées sont la suppression d'un accès, le changement de propriétaire d'une donnée et la suppression d'un partage anonyme. Lors de son dispositif DETOX, la communauté d'agglomération de Cergy-Pontoise a supprimé 50% des risques identifiés dès sa première campagne, puis 70% lors de la seconde.
La gouvernance des accès et des partages M365 ne remplace pas l'IT : elle organise un partage de responsabilité où chaque utilisateur corrige ses propres accès sous la supervision des équipes de sécurité, qui pilotent la campagne et mesurent les résultats.
Microsoft 365 Copilot s'appuie sur Microsoft Graph et respecte les permissions existantes de l'utilisateur connecté : il n'accède à rien de plus que ce que cet utilisateur peut déjà consulter manuellement. C'est précisément ce qui transforme un problème de gouvernance latent en risque immédiat. Un partage oublié depuis cinq ans, invisible dans une arborescence de dossiers, devient instantanément découvrable par une simple question en langage naturel.
Ce mécanisme explique pourquoi Copilot ne crée pas de nouveau risque mais révèle les risques déjà présents dans le tenant. Une entreprise qui n'a jamais audité ses partages découvre généralement l'ampleur du problème au moment du déploiement de Copilot, pas avant.
Selon les données IDECSI (2026), chez BPCE, une campagne structurée de revue des accès et des partages sur Microsoft 365 a généré plus de 36 000 corrections, avec un taux de participation des utilisateurs supérieur à 55%. Ce volume, chez un acteur bancaire par ailleurs soumis à DORA, illustre l'ampleur des partages à risque qui s'accumulent silencieusement dans un tenant de grande taille, tous secteurs confondus.
Pour limiter ce risque avant un déploiement Copilot, l'ordre des opérations compte : auditer et corriger les partages existants en premier, plutôt que de déployer Copilot puis découvrir l'étendue du problème par la remontée d'incidents ou de plaintes internes.
Le pilier le plus négligé dans les guides généralistes de cybersécurité entreprise n'est donc pas technique : c'est le manque d'anticipation sur ce que l'IA générative va rendre visible.
Selon le rapport IBM Cost of a Data Breach (2025), une violation sur six implique désormais l'utilisation de l'IA par l'attaquant, le plus souvent pour générer des messages d'hameçonnage convaincants (37% des cas) ou des usurpations par deepfake (35% des cas). L'IA générative réduit le temps nécessaire pour rédiger un message de phishing crédible de plusieurs heures à quelques minutes.
Le ransomware reste une menace majeure malgré cette évolution. Selon la même étude, le coût moyen d'un incident d'extorsion ou de ransomware atteint 5,08 millions de dollars en 2025. Davantage d'organisations refusent désormais de payer la rançon (63% contre 59% l'année précédente), mais peu d'entre elles impliquent les forces de l'ordre, alors que cette implication réduit statistiquement le coût final de l'incident selon IBM.
Ce double mouvement, l'IA comme arme pour les attaquants et comme outil de détection plus rapide pour les défenseurs, rejoint directement le pilier de gouvernance des accès : un attaquant qui exploite l'IA pour générer un hameçonnage convaincant n'a besoin que d'un seul compte compromis pour accéder à tout ce que ce compte est autorisé à voir, exactement comme Copilot le ferait de manière légitime.
L'IA générative agit comme un amplificateur, pas comme un risque isolé : elle accélère à la fois la capacité d'attaque et l'ampleur de ce qu'un accès compromis peut exposer.
Les sept piliers d'une cybersécurité entreprise efficace en 2026, en synthèse :
Cinq questions rapides pour situer votre organisation sur les piliers présentés dans cet article :
Trois réponses positives ou plus signalent une maturité solide sur les fondamentaux. En dessous de ce seuil, le pilier correspondant à la première réponse négative mérite d'être traité en priorité, avant d'investir dans un nouveau dispositif.
Une stratégie de cybersécurité entreprise robuste en 2026 articule ces sept piliers sans en négliger aucun. Les piliers 6 et 7, gouvernance des accès et gouvernance face à l'IA générative, restent les plus souvent sous-estimés dans les guides généralistes, alors qu'ils déterminent l'exposition réelle des données face à Copilot et aux usages collaboratifs quotidiens.
Avant d'investir dans un nouvel outil de détection, un audit du tenant Microsoft 365 permet de mesurer l'ampleur réelle des accès et partages à risque, et de prioriser les actions correctives sur l'ensemble des sept piliers présentés ici.
Q6 : Copilot Microsoft 365 crée-t-il de nouveaux risques de sécurité ? R : Non, Copilot ne crée pas de nouveau risque, il révèle les risques déjà présents dans le tenant. Il s'appuie sur Microsoft Graph et respecte les permissions existantes de chaque utilisateur, ce qui signifie qu'un partage oublié ou mal configuré devient instantanément découvrable par une simple question en langage naturel. C'est pourquoi un audit des accès avant déploiement reste indispensable.
Articles récents
Abonnez-vous à la newsletter pour recevoir nos contenus chaque mois.
Nos articles
Ces articles peuvent
vous intéresser
Phishing Microsoft 365 : quand vos partages amplifient le risque
Lire l'article
Microsoft Defender pour Office 365 : fonctionnalités et limites
Lire l'article
Sécuriser les agents IA dans Microsoft 365 : bonnes pratiques 2026
Lire l'article
Microsoft Foundry : guide complet et enjeux pour la sécurité (2026)
Lire l'article