Microsoft Defender pour Office 365 est aujourd'hui l'une des solutions de sécurité les plus déployées dans les environnements Microsoft 365. Elle protège efficacement contre le phishing, les malwares et les liens malveillants. Pourtant, 80 % des violations de données en entreprise ne proviennent pas d'attaques externes : elles résultent d'erreurs internes, de partages excessifs et de permissions mal gérées. Des risques que Defender, par conception, n'adresse pas.
Comprendre ce que couvre réellement Defender pour Office 365, et ce qu'il laisse exposé, est un prérequis pour toute stratégie de sécurité M365 sérieuse.
Au programme de cet article :
Microsoft Defender pour Office 365 est un service de sécurité avancé, complémentaire aux protections natives incluses dans tous les abonnements M365. Il se décline en deux plans aux périmètres distincts.
Le Plan 1 est inclus dans Microsoft 365 Business Premium. Il couvre les organisations de taille intermédiaire avec des capacités de protection contre les menaces zero-day, le phishing avancé et les liens ou pièces jointes malveillants.
Le Plan 2 est inclus dans les abonnements entreprise Microsoft 365 E5, A5 et G5. Il intègre toutes les fonctionnalités du Plan 1 et y ajoute des capacités d'investigation avancée, d'automatisation de la réponse aux incidents et de simulation d'attaques.
Les deux plans sont également disponibles en module complémentaire pour de nombreux abonnements M365.
|
Fonctionnalité |
Plan 1 |
Plan 2 |
|
Liens fiables (Safe Links) |
Oui |
Oui |
|
Pièces jointes fiables (Safe Attachments) |
Oui |
Oui |
|
Anti-phishing avancé |
Oui |
Oui |
|
Protection Microsoft Teams |
Oui |
Oui |
|
Threat Explorer |
Non |
Oui |
|
Investigation et réponse automatisées (AIR) |
Non |
Oui |
|
Simulation d'attaques |
Non |
Oui |
|
Hunting avancé |
Non |
Oui |
Defender pour Office 365 couvre quatre grandes capacités de protection.
Les liens fiables (Safe Links) vérifient chaque URL au moment du clic, y compris dans les emails, Teams, Word, Excel, PowerPoint et OneNote. Un lien qui semble légitime à la réception peut avoir été compromis entre-temps : Safe Links analyse l'URL en temps réel et bloque l'accès si elle s'avère malveillante.
Les pièces jointes fiables (Safe Attachments) analysent chaque fichier joint dans un environnement sandbox isolé avant sa livraison à l'utilisateur. Cette protection zero-day neutralise les malwares inconnus qui contournent les filtres antivirus classiques.
L'anti-phishing avancé s'appuie sur des modèles de machine learning pour détecter les campagnes d'hameçonnage sophistiquées, incluant l'usurpation d'identité (spoofing) et les attaques ciblées par compromission de messagerie professionnelle (BEC).
La protection Microsoft Teams, étendue au Plan 1, permet aux utilisateurs de signaler des messages malveillants et aux administrateurs de bloquer directement depuis le portail Defender les domaines et adresses identifiés comme dangereux.
Defender pour Office 365 a été conçu pour protéger les flux entrants : emails, liens, pièces jointes. Sa logique est celle d'un filtre périmétrique avancé. Il ne cartographie pas l'état des permissions internes, ne détecte pas les partages excessifs et n'intervient pas sur les droits accumulés au fil du temps dans SharePoint, OneDrive ou Teams.
Or, un tenant Microsoft 365 configuré par défaut autorise le partage externe non restreint. Les utilisateurs créent des liens anonymes, partagent des dossiers avec "toute l'entreprise", conservent des accès invités longtemps après la fin d'un projet. Ces configurations ne génèrent aucune alerte dans Defender.
Le rapport State of Multicloud Security de Microsoft (2024) établit que sur l'ensemble des permissions accordées dans les environnements cloud, 98 % ne sont jamais utilisées.(source : 2024 | Microsoft Security Blog) Ces droits dormants constituent une surface d'attaque invisible pour Defender. En cas de compromission d'un compte, un attaquant dispose d'un accès disproportionné à des ressources que personne ne surveille.
C'est précisément sur ce périmètre que se concentrent la majorité des incidents : des données sensibles accessibles à un groupe bien trop large, des accès externes actifs depuis des mois, des permissions héritées jamais révoquées après une réorganisation.
Microsoft Copilot pour M365 raisonne sur l'ensemble des données auxquelles un utilisateur a accès. Il n'accorde aucun nouveau droit, mais il parcourt tous les fichiers, emails et espaces collaboratifs accessibles pour formuler ses réponses.
Conséquence directe : si un utilisateur a accès, sans le savoir, à un document confidentiel (un plan social, des données RH, des résultats financiers non publiés) parce que les permissions n'ont jamais été correctement configurées, Copilot peut lui présenter ce document en réponse à une requête anodine. L'exposition n'est pas nouvelle. Copilot la rend simplement visible.
Defender pour Office 365 ne protège pas contre ce risque. Il filtre les menaces qui entrent dans le tenant, pas les données qui circulent à l'intérieur en raison d'une mauvaise gouvernance des accès. La sécurité des données Microsoft 365 nécessite donc une approche à deux niveaux : filtrage des menaces externes d'un côté, gouvernance des permissions internes de l'autre.
96 % des entreprises se déclarent préoccupées par les enjeux de sécurité liés au déploiement de Copilot. Ce chiffre reflète une prise de conscience réelle : un déploiement Copilot sans audit préalable des permissions est un déploiement à risque. Pour aller plus loin sur ce sujet, voir Copilot Microsoft 365 : 6 risques de sécurité et comment les maîtriser.
Defender pour Office 365 et la gouvernance des accès ne sont pas des solutions concurrentes : elles adressent des risques différents et se complètent.
Defender couvre les menaces qui arrivent de l'extérieur. La gouvernance des permissions couvre les risques qui naissent de l'intérieur : surpartage SharePoint, accès invités non révoqués, données sensibles accessibles à toute l'organisation, partages externes Microsoft 365 non contrôlés.
Pour reprendre le contrôle sur ce périmètre, trois catégories de risques concentrent l'essentiel de l'exposition : les partages anonymes (liens "tout le monde"), les permissions étendues à l'ensemble de l'entreprise, et les accès externes inactifs depuis plusieurs mois.
La revue des droits d'accès sur M365 est le point de départ structurant. Elle permet d'identifier précisément quels utilisateurs ont accès à quoi, sur quels espaces collaboratifs, et de lancer les corrections ciblées.
Le dispositif DETOX d'IDECSI a été conçu pour répondre à cette problématique de façon pragmatique et mesurable. En 4 à 6 semaines, sans mobiliser de ressources IT supplémentaires, il audite l'ensemble des permissions du tenant et implique directement les utilisateurs dans la correction de leurs propres partages via l'interface MyDataSecurity. Sur plus d'un million d'utilisateurs accompagnés, on observe en moyenne 7 remédiations par utilisateur. Lors de la première campagne, 50 % des risques identifiés sont supprimés.
Microsoft Defender pour Office 365 est un composant indispensable de toute stratégie de sécurité M365. Il protège efficacement contre les vecteurs d'attaque les plus courants : phishing, malwares, liens malveillants. Mais il ne voit pas les risques qui naissent de l'intérieur du tenant : les permissions accumulées, les partages excessifs, les accès dormants.
Une posture de sécurité complète associe les deux approches. Defender filtre les menaces entrantes. Une plateforme de gouvernance des accès adresse l'exposition interne des données, avant qu'un incident, ou Copilot, ne la révèle.
Vous souhaitez évaluer l'exposition réelle de votre tenant ? Demandez une évaluation gratuite auprès des équipes IDECSI.