Microsoft 365

01 juillet 2026

Phishing Microsoft 365 : quand vos partages amplifient le risque

Un lien SharePoint cliqué, un mot de passe saisi sur une fausse page de connexion. En quelques secondes, un collaborateur vient de compromettre son compte Microsoft 365. La réaction habituelle : réinitialiser le mot de passe et activer le MFA en urgence.

Ce réflexe est nécessaire. Il ne suffit pas.

Selon Microsoft (Learn, 2025), dès qu'un attaquant accède à un compte M365, il dispose immédiatement des droits sur la boite mail, les dossiers SharePoint et les fichiers OneDrive de l'utilisateur. L'étendue réelle du dommage ne dépend pas du mot de passe volé. Elle dépend de ce que l'utilisateur avait le droit de voir, et de tout ce qui lui avait été partagé au fil du temps, souvent sans que personne ne s'en souvienne.

Au programme de cet article :


 

Ce qu'un attaquant peut faire avec un compte M365 compromis

Lorsqu'un compte Microsoft 365 est compromis, l'attaquant n'hérite pas seulement d'une boite mail. Il hérite d'une identité numérique complète.

Selon Microsoft (Learn, 2025), cela inclut l'accès immédiat aux dossiers SharePoint associés à l'utilisateur, à son OneDrive, aux conversations Teams et aux fichiers partagés dans les canaux auxquels il appartient. L'attaquant peut lire, télécharger et exfiltrer silencieusement, sans déclencher d'alerte particulière, puisque ses actions ressemblent à celles d'un utilisateur légitime.

Le danger ne s'arrête pas à l'exfiltration directe. Une compromission de compte M365 ouvre la voie au Business Email Compromise (BEC) : l'attaquant utilise l'identité volée pour envoyer des messages à des collègues ou partenaires, en se faisant passer pour l'utilisateur légitime. Selon Proofpoint (Human Factor Report, 2021), le vol d'identifiants représente près des deux tiers des attaques sur les environnements cloud. La confiance accordée à un expéditeur interne rend ces attaques particulièrement efficaces.

Deux tiers des RSSI estiment que la sécurisation des données cloud requiert des outils spécifiques, distincts des outils de détection classiques (CESIN, Baromètre 2024). La raison est simple : les actions d'un attaquant sur un compte compromis sont, par nature, légitimes aux yeux du tenant.

Le vrai risque d'une compromission M365 n'est pas le mot de passe volé en lui-même : c'est l'ensemble des droits d'accès que le compte avait accumulés, et que l'attaquant hérite instantanément.


 

Le surpartage M365 : un amplificateur de risque invisible

Un compte compromis donne accès à ce que son propriétaire peut voir. Plus ce périmètre est large, plus l'attaquant peut en faire. C'est là que le surpartage M365 devient un multiplicateur de dommages.

Dans un tenant Microsoft 365, le partage externe est activé par défaut sur SharePoint Online et OneDrive en l'absence de politique de gouvernance explicite (Microsoft Learn, 2026). Les liens anonymes permettent à toute personne disposant de l'URL d'accéder aux fichiers concernés, sans authentification. Un attaquant qui identifie ces liens depuis un compte compromis peut les transmettre ou les exploiter sans laisser de trace dans les journaux d'accès authentifiés.

Le problème structurel est l'accumulation silencieuse. Lors des changements de poste, des fins de projets ou des départs de prestataires, les droits accordés ne sont que rarement révoqués. Les collaborateurs conservent des accès à des espaces qui ne les concernent plus. Un compte compromis hérite donc non seulement des permissions actuelles de l'utilisateur, mais aussi de toutes celles accumulées depuis son arrivée dans l'organisation.

Ce mécanisme est connu des attaquants. Une analyse de Proofpoint (H1 2020) indique que les utilisateurs sont sept fois plus susceptibles de cliquer sur un lien SharePoint ou OneDrive malveillant que sur un lien classique. Les espaces collaboratifs inspirent une confiance que les emails de phishing ne bénéficient plus. Un attaquant ayant pris pied dans un compte peut exploiter cette confiance pour se déplacer latéralement dans l'organisation, via des fichiers partagés ou des canaux Teams.

Sur un tenant mal gouverné, la compromission d'un seul compte peut donner accès à des centaines de fichiers et d'espaces qui ne lui appartiennent pas, mais auxquels il a été associé au fil du temps.


 

Copilot aggrave l'exposition en cas de compromission

L'introduction de Copilot dans les environnements Microsoft 365 modifie l'équation de façon significative.

Copilot accède à l'ensemble des données auxquelles l'utilisateur a droit : fichiers SharePoint, conversations Teams, messages Outlook, documents OneDrive. Cette capacité est précisément ce qui le rend utile. Elle devient un risque majeur si le compte est compromis.

Un attaquant ayant pris le contrôle d'un compte avec Copilot activé dispose d'un outil de recherche et de synthèse sur l'ensemble du patrimoine informationnel de l'utilisateur. Il peut formuler des requêtes en langage naturel pour localiser des documents sensibles, des données financières, des informations RH ou des éléments contractuels, sans naviguer manuellement dans les arborescences SharePoint. Copilot reste accessible tant que la session du compte n'a pas été révoquée par l'équipe IT.

Microsoft précise (Learn, 2026) que les permissions accordées avant la mise en place de politiques de restriction restent exploitables par Copilot, même pour des utilisateurs extérieurs aux groupes de sécurité définis ultérieurement. Les partages historiques ne sont pas automatiquement filtrés.

Copilot agit ici comme un révélateur : il rend visibles, en quelques secondes, des données que l'attaquant n'aurait pas trouvées sans lui. Un surpartage invisible pour un utilisateur humain patient devient immédiatement exploitable via l'IA. Pour aller plus loin sur ce sujet, voir l'analyse détaillée des 6 risques de sécurité liés à Copilot M365.


 

Réduire la surface d'exposition avant qu'une compromission ne survienne

La réponse à une compromission de compte M365 est bien documentée : réinitialiser les identifiants, révoquer les sessions, auditer les règles de boite mail suspectes. Mais cette réponse reste corrective. Elle n'agit pas sur la surface d'exposition préexistante.

Selon les données présentées par IDECSI lors de ses webinaires, 80% des violations de données dans les organisations proviennent d'erreurs internes, pas d'attaques externes sophistiquées. La gouvernance des partages est le levier le plus direct pour limiter l'impact d'une compromission future.

La logique est simple : si un compte est compromis sur un tenant bien gouverné, l'attaquant ne voit que ce que cet utilisateur devait réellement voir. Si le tenant est mal gouverné, l'attaquant hérite de mois ou d'années d'accumulation de droits inutiles.

Trois actions concrètes permettent de réduire cette surface avant qu'un incident ne survienne. D'abord, identifier et supprimer les partages anonymes actifs sur SharePoint et OneDrive, ces liens fonctionnent sans authentification et sont les premiers exploités après une compromission. Ensuite, auditer les accès des utilisateurs externes : les prestataires et partenaires dont la mission est terminée conservent souvent des droits actifs, qu'un compte compromis peut utiliser pour rebondir. Enfin, impliquer les propriétaires de données dans la revue de leurs propres partages, ce sont eux qui savent si un accès est encore légitime ou non, pas l'équipe IT.

Selon les données IDECSI (2025), constatées sur plus d'un million d'utilisateurs traités, une campagne DETOX génère en moyenne 7 remédiations par utilisateur dès la première campagne. Sur la communauté d'agglomération de Cergy-Pontoise (3 000 utilisateurs), la première campagne a supprimé 50% des risques identifiés, et la deuxième 70% des risques restants. Le dispositif fonctionne en mode SaaS, sans infrastructure à déployer côté client, en 4 à 6 semaines.

Réduire les partages mal gérés avant une compromission, c'est réduire mécaniquement le rayon d'action de n'importe quel attaquant qui prend pied dans votre tenant M365.


 

Ce que cela implique pour la sensibilisation des utilisateurs

La gestion des partages ne peut pas reposer uniquement sur l'équipe sécurité. L'IT n'a pas la visibilité sur la légitimité de chaque partage : seul le propriétaire de la donnée sait si un prestataire a encore besoin d'accéder à ce dossier, ou si ce lien anonyme a été créé pour un usage ponctuel révolu.

La sensibilisation classique au phishing, reconnaître un email suspect, ne pas cliquer sur un lien inconnu, reste indispensable. Elle ne traite pas le problème des permissions accumulées. Un utilisateur parfaitement formé aux risques de phishing peut malgré tout laisser des centaines de fichiers accessibles à des personnes qui n'en ont plus besoin. C'est précisément l'angle mort que détaille l'article Sensibilisation cybersécurité M365 : pourquoi la formation seule ne suffit pas.

Une approche efficace couple la sensibilisation à une action corrective directe : donner à chaque utilisateur la liste de ses propres partages à risque, et les moyens de les corriger sans passer par un ticket IT. Cette responsabilisation produit des résultats mesurables — 7 corrections par utilisateur en moyenne dès la première campagne, selon les données IDECSI (2025) sur plus d'un million d'utilisateurs traités.

L'objectif n'est pas d'éliminer tout partage, mais d'installer une hygiène numérique durable sur les données partagées M365 : des campagnes de revue régulières, espacées de six mois, qui maintiennent le niveau d'exposition sous contrôle sans bloquer les usages collaboratifs.

Réduire la surface d'exposition, c'est faire en sorte que si un compte est un jour compromis, l'attaquant ne trouve rien qu'il ne devrait pas trouver.


Conclusion

Le phishing ne vole pas qu'un mot de passe. Il hérite de tout ce que l'utilisateur a accumulé comme permissions depuis son arrivée dans l'organisation, les partages actifs, les accès externes, les liens anonymes, les droits liés à d'anciens projets. Sur un tenant mal gouverné, la compromission d'un seul compte peut donner accès à un volume de données sans rapport avec le rôle réel de l'utilisateur.

Réduire cette surface d'exposition avant qu'un incident ne survienne est le levier le plus direct pour limiter l'impact d'une compromission future. Avec Copilot, ce levier devient urgent : l'IA rend immédiatement exploitable ce qui était jusqu'ici invisible pour un attaquant patient.

Vous souhaitez évaluer le niveau d'exposition de vos données partagées sur Microsoft 365 ? Demandez une démonstration de DETOX en 15 minutes.


FAQ

Nos articles

Ces articles peuvent
vous intéresser

Microsoft 365
Sécurité / IT

Microsoft Defender pour Office 365 : fonctionnalités et limites

Lire l'article
Microsoft 365
Sécurité / IT

Sécuriser les agents IA dans Microsoft 365 : bonnes pratiques 2026

Lire l'article
Microsoft 365
Sécurité / IT

Microsoft Foundry : guide complet et enjeux pour la sécurité (2026)

Lire l'article

Protection des données, discutons de votre projet ?

 

Contactez-nous
video background