L audit de sécurité Microsoft 365 est devenu un exercice incontournable pour toute organisation utilisant la suite cloud de Microsoft. Avec plus de 400 millions d utilisateurs, M365 concentre les données les plus sensibles des entreprises : emails, documents SharePoint, conversations Teams et identités Azure AD. Ce guide complet couvre les 7 domaines d audit essentiels, les outils spécialisés et les 50 contrôles de sécurité à vérifier. Chaque section inclut les commandes PowerShell et les requêtes KQL pour automatiser la collecte des preuves. Conçu pour les auditeurs, consultants et RSSI, ce guide s appuie sur le CIS Microsoft 365 Benchmark et les recommandations ANSSI.
En bref
- 7 domaines d audit couverts : identité, email, SharePoint, Teams, compliance, logs, Intune
- 50+ contrôles de sécurité vérifiés avec commandes PowerShell
- Basé sur le CIS Microsoft 365 Benchmark v3.0
- Applicable aux licences E3, E5 et Business Premium
Les 7 domaines d audit Microsoft 365
| Domaine | Contrôles | Criticité | Licence requise |
|---|---|---|---|
| 1. Entra ID (identité) | 12 | Critique | Toutes |
| 2. Exchange Online | 10 | Élevée | Toutes |
| 3. SharePoint / OneDrive | 8 | Élevée | Toutes |
| 4. Teams | 6 | Moyenne | Toutes |
| 5. Microsoft Defender | 6 | Critique | E5 / Defender P2 |
| 6. Audit Logs / Purview | 5 | Critique | E5 / E3+Audit P2 |
| 7. Intune (endpoints) | 5 | Élevée | E3+ / Intune P1 |
Domaine 1 : Audit Entra ID (Azure AD)
L identité est le nouveau périmètre de sécurité. Les contrôles Entra ID sont les plus critiques :
# Connexion à Microsoft Graph
Connect-MgGraph -Scopes "Directory.Read.All","Policy.Read.All"
# 1.1 Vérifier le MFA pour tous les admins
$admins = Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole | Where DisplayName -eq "Global Administrator").Id
foreach ($admin in $admins) {
$auth = Get-MgUserAuthenticationMethod -UserId $admin.Id
Write-Host "$($admin.DisplayName): $($auth.Count) méthodes MFA"
}
# 1.2 Vérifier les politiques d accès conditionnel
Get-MgIdentityConditionalAccessPolicy | Select DisplayName, State, Conditions, GrantControls
# 1.3 Comptes invités (B2B) et leurs droits
Get-MgUser -Filter "userType eq 'Guest'" -All | Measure-Object
Get-MgUser -Filter "userType eq 'Guest'" -All | Select DisplayName, Mail, CreatedDateTime
# 1.4 Applications OAuth tierces (consentements)
Get-MgServicePrincipal -All | Where {$_.AppOwnerOrganizationId -ne $tenantId} | Select DisplayName, AppId
Contrôles critiques à vérifier :
- MFA obligatoire pour tous les administrateurs (Global Admin, Exchange Admin, etc.)
- Conditional Access : au minimum une policy bloquant les connexions hors pays autorisés
- Legacy auth désactivé : IMAP, POP3, SMTP auth basic doivent être bloqués
- PIM (Privileged Identity Management) : les rôles admin doivent être JIT (just-in-time)
- Revue des consentements OAuth : bloquer le consentement utilisateur, exiger l approbation admin
Domaine 2 : Audit Exchange Online
# 2.1 Vérifier les règles de transport suspectes
Get-TransportRule | Select Name, State, Priority, Conditions, Actions
# 2.2 Règles de forwarding externes (indicateur de compromission)
Get-Mailbox -ResultSize Unlimited | Where {$_.ForwardingSmtpAddress -ne $null} | Select DisplayName, ForwardingSmtpAddress
# 2.3 DMARC, DKIM, SPF
Resolve-DnsName -Name _dmarc.votredomaine.fr -Type TXT
Resolve-DnsName -Name selector1._domainkey.votredomaine.fr -Type CNAME
# 2.4 Audit mailbox access
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-30) -EndDate (Get-Date) -Operations MailboxLogin -ResultSize 5000
Indicateur de compromission n 1
Les règles de forwarding externes sont le premier indicateur d un compte compromis. Un attaquant configure un forward vers une adresse externe pour exfiltrer les emails silencieusement. Auditez ces règles en priorité et bloquez le forwarding externe au niveau organisationnel.
Domaine 3-4 : SharePoint, OneDrive et Teams
# 3.1 Partages externes SharePoint
Get-SPOSite -Limit All | Where {$_.SharingCapability -ne "Disabled"} | Select Url, SharingCapability
# 3.2 Liens anonymes (Anyone links)
Get-SPOTenant | Select SharingCapability, DefaultSharingLinkType, PreventExternalUsersFromResharing
# 4.1 Accès externe Teams
Get-CsTeamsClientConfiguration | Select AllowExternalMessaging, AllowGuestAccess
Domaine 5-6 : Defender et Audit Logs
Les logs d audit sont essentiels pour la détection et le forensics :
- Unified Audit Log : vérifier qu il est activé (désactivé par défaut sur certains tenants!)
- Rétention : 90 jours (E3) ou 365 jours (E5/Audit P2)
- Defender for Office 365 : Safe Attachments et Safe Links activés
- Alert Policies : alertes configurées pour les événements critiques
Outils d audit recommandés
| Outil | Usage | Licence |
|---|---|---|
| Microsoft Secure Score | Évaluation de la posture globale | Gratuit |
| ScubaGear (CISA) | Audit automatisé des contrôles M365 | Open source |
| Monkey365 | Audit de sécurité Azure/M365 | Open source |
| AADInternals | Audit avancé Entra ID | Open source |
| Hawk | Investigation de compromission M365 | Open source |
À retenir
L audit M365 doit être réalisé au minimum annuellement et après tout incident de sécurité. Priorisez les contrôles d identité (MFA, Conditional Access, consentements OAuth) car 80% des compromissions M365 passent par la compromission d identifiants. Utilisez ScubaGear (CISA) comme baseline automatisée.
Pour un accompagnement dans l audit de votre tenant Microsoft 365, consultez notre guide d audit Microsoft 365 et notre prestation d accompagnement ISO 27001.
Audit Microsoft 365 par nos experts
Audit complet de votre tenant M365 avec rapport exécutif et plan de remédiation
Demander un devisFAQ
Faut-il une licence E5 pour auditer M365 ?
Non, un audit basique est possible avec E3 ou Business Premium. Cependant, les fonctionnalités avancées (Unified Audit Log étendu, Defender for Office P2, Purview) nécessitent E5 ou des add-ons. L outil ScubaGear de la CISA fonctionne avec toutes les licences.
Combien de temps dure un audit M365 complet ?
Un audit complet des 7 domaines prend 5 à 10 jours de travail effectif selon la taille du tenant. La collecte automatisée (ScubaGear, PowerShell) prend quelques heures, mais l analyse et la rédaction du rapport représentent l essentiel du travail.
Le Secure Score Microsoft est-il suffisant ?
Le Secure Score est un bon point de départ mais ne remplace pas un audit complet. Il ne couvre pas les règles de transport Exchange suspectes, les consentements OAuth malveillants, les partages externes excessifs ni les configurations Teams risquées. Utilisez-le comme complément, pas comme substitut.
Références : CIS Microsoft 365 Benchmark | CISA ScubaGear
Article recommandé
Pour sécuriser votre Active Directory on-premise en complément de M365, consultez notre Guide de Sécurisation Active Directory Windows Server 2025.
Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Guide Red Team Pentest Réseau Interne : Méthodologie 2026
Backdoor Windows Server 2025 : Guide Red Team 2026
Guide red team 2026 : backdoors Windows Server 2025, C2 frameworks, évasion EDR, et contre-mesures défensives complètes.
Metasploit Framework : Guide Exploitation Windows 2026
Guide complet Metasploit pour l'exploitation Windows : modules EternalBlue, PsExec, Meterpreter, payloads msfvenom, post-exploitation et évasion AV en 2026.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire