Microsoft Secure Score : Guide d'Optimisation de votre Posture Sécurité

Introduction

Dans un paysage de menaces en constante évolution, mesurer et améliorer sa posture de sécurité Microsoft 365 n'est plus optionnel. Microsoft Secure Score constitue l'outil natif de référence pour évaluer, prioriser et suivre les améliorations de sécurité au sein de l'écosystème Microsoft. Ce guide complet vous accompagne depuis la compréhension du score jusqu'à l'automatisation avancée, en passant par les 20 actions prioritaires et la gouvernance associée.

Le Secure Score est accessible depuis le portail Microsoft Defender (security.microsoft.com). Il analyse en continu la configuration de votre tenant Microsoft 365, Azure AD (désormais Entra ID) et Defender for Endpoint, puis attribue un score reflétant votre niveau de maturité sécuritaire. Un score élevé ne garantit pas l'invulnérabilité, mais il démontre l'adoption de bonnes pratiques reconnues et mesurables.

Pour les organisations soumises à des réglementations comme NIS 2 ou ISO 27001, le Secure Score fournit un cadre objectif de mesure de la posture, directement exploitable dans les rapports de conformité et les revues de direction. Ce guide s'adresse aux RSSI, administrateurs M365, équipes SOC et consultants sécurité souhaitant transformer cet indicateur en levier stratégique d'amélioration continue.

Comprendre le Secure Score

Architecture et calcul du score

Le Secure Score est exprimé en pourcentage et repose sur un système de points. Chaque action d'amélioration (improvement action) possède un nombre de points maximum, reflétant son impact sur la posture globale. Le score se calcule ainsi :

Score (%) = (Points obtenus / Points maximum possibles) x 100

Les points maximum dépendent des licences activées sur le tenant. Un tenant avec E5 aura plus d'actions disponibles (donc plus de points possibles) qu'un tenant E3. Cela signifie que le pourcentage reste comparable entre organisations de tailles et licences différentes.

Les cinq catégories

Microsoft organise les actions d'amélioration en cinq catégories principales, chacune couvrant un domaine de sécurité distinct :

Catégorie	Périmètre	Poids typique	Exemples d'actions
Identity	Entra ID, authentification, accès	~35%	MFA, Conditional Access, PIM
Data	Protection de l'information	~15%	DLP, sensitivity labels, encryption
Device	Postes, endpoints	~20%	Intune compliance, BitLocker, ASR
Apps	Applications cloud	~15%	OAuth app governance, shadow IT
Infrastructure	Azure, réseau, serveurs	~15%	NSG, Just-in-Time, Azure Firewall

Benchmarking et comparaison sectorielle

Microsoft fournit un benchmark sectoriel permettant de comparer votre score avec des organisations de taille et secteur similaires. En 2026, les benchmarks typiques observés sont :

• Score moyen global : 45-55% (la majorité des organisations n'exploitent pas tout le potentiel)
• Secteur financier : 55-70% (réglementations fortes type DORA)
• Santé : 40-55% (contraintes opérationnelles limitant certaines actions)
• Organisations matures : 75-85% (cible réaliste pour un programme structuré)
• Score > 85% : Rare, nécessite E5 + Defender for Endpoint + gouvernance stricte

Top 20 des Actions d'Amélioration Prioritaires

Voici les 20 actions à plus fort impact sur le Secure Score, classées par catégorie et effort de mise en oeuvre. Chaque action est accompagnée de son gain potentiel en points et de ses prérequis.

Identité et Authentification

1 Activer le MFA pour tous les utilisateurs (jusqu'a 9 points). L'authentification multifacteur reste l'action la plus impactante. Depuis 2024, Microsoft impose les Security Defaults sur les nouveaux tenants, mais les organisations existantes doivent migrer vers des Conditional Access Policies granulaires. Ciblez d'abord les comptes administrateurs, puis étendez à l'ensemble des utilisateurs. Privilégiez Microsoft Authenticator avec Number Matching plutot que SMS.

2 Bloquer l'authentification héritée (Legacy Auth) (jusqu'a 8 points). Les protocoles POP3, IMAP, SMTP Basic Auth ne supportent pas le MFA et représentent un vecteur d'attaque majeur pour le phishing et le password spraying. Créez une politique Conditional Access bloquant Other clients et Exchange ActiveSync.

3 Activer Privileged Identity Management (PIM) (jusqu'a 6 points). PIM impose un accès just-in-time pour les roles administratifs. Les administrateurs doivent activer explicitement leurs privileges pour une durée limitée, avec approbation et justification. Cela réduit drastiquement la surface d'attaque liée aux comptes sur-privilégiés. Référence : Azure AD Applications Enregistrées.

4 Configurer les politiques de mots de passe (jusqu'a 4 points). Désactivez l'expiration des mots de passe (NIST SP 800-63B recommande de ne pas forcer la rotation) et activez Azure AD Password Protection avec liste personnalisée de mots de passe bannis. Activez également le Self-Service Password Reset (SSPR) avec MFA.

5 Restreindre le consentement des utilisateurs aux applications (jusqu'a 5 points). Par défaut, les utilisateurs peuvent consentir à des applications OAuth tierces, créant un risque de secrets sprawl. Configurez le consentement administrateur obligatoire via Entra ID > Enterprise Applications.

Protection des Données

6 Déployer les politiques DLP (Data Loss Prevention) (jusqu'a 5 points). Configurez des règles DLP dans Exchange Online, SharePoint et Teams pour détecter et bloquer le partage de données sensibles (numéros de carte, données personnelles RGPD, propriété intellectuelle). Commencez en mode audit avant d'activer le blocage.

7 Activer les Sensitivity Labels (jusqu'a 4 points). Microsoft Information Protection (MIP) permet de classifier et protéger les documents avec des labels de sensibilité (Public, Interne, Confidentiel, Strictement Confidentiel). Les labels peuvent appliquer automatiquement le chiffrement, les restrictions de partage et le watermarking.

8 Configurer la rétention et l'archivage (jusqu'a 3 points). Les politiques de rétention garantissent la conservation des données pendant la durée légale requise et leur suppression sécurisée après expiration, en conformité avec le RGPD.

Messagerie et Anti-Phishing

9 Configurer DMARC, SPF et DKIM (jusqu'a 6 points). L'alignement complet des protocoles d'authentification email est essentiel. Déployez SPF (enregistrement DNS limitant les serveurs autorisés), DKIM (signature cryptographique) et DMARC avec politique p=reject.

# Enregistrement DMARC recommandé
_dmarc.example.com. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com; ruf=mailto:dmarc-forensics@example.com; pct=100; adkim=s; aspf=s"

# SPF strict
example.com. IN TXT "v=spf1 include:spf.protection.outlook.com -all"

10 Activer Safe Links et Safe Attachments (jusqu'a 5 points). Defender for Office 365 réécriture les URLs en temps réel (Safe Links) et détone les pièces jointes dans un sandbox (Safe Attachments). Activez ces protections pour Exchange, Teams et SharePoint.

Endpoints et Appareils

11 Enroler les appareils dans Intune avec politiques de conformité (jusqu'a 6 points). Définissez des politiques de conformité exigeant le chiffrement BitLocker, un antivirus actif, les mises à jour Windows à jour, et un code PIN minimal. Les appareils non conformes sont bloqués par Conditional Access.

12 Activer Attack Surface Reduction (ASR) Rules (jusqu'a 5 points). Les règles ASR de Defender for Endpoint bloquent les comportements malveillants courants : exécution de scripts obfusqués, création de processus enfants par les applications Office, exploitation WMI/PSExec. Déployez d'abord en mode audit puis en mode block. C'est un complément essentiel aux stratégies d'évasion EDR/XDR.

13 Configurer Defender for Endpoint avec EDR activé (jusqu'a 5 points). Enrolez tous les postes Windows, macOS et serveurs dans Defender for Endpoint. Activez l'EDR en mode block, le Tamper Protection et l'Automated Investigation & Response (AIR).

Applications et Cloud

14 Déployer Microsoft Defender for Cloud Apps (MCAS) (jusqu'a 4 points). MCAS offre une visibilité sur le shadow IT, le controle des sessions et la détection d'anomalies comportementales sur les applications SaaS connectées. Configurez les alertes pour les connexions depuis des pays inhabituels et les téléchargements massifs.

15 Configurer les politiques d'accès conditionnel avancées (jusqu'a 5 points). Au-dela du MFA basique, implémentez des politiques basées sur le risque utilisateur (Identity Protection), la conformité de l'appareil, la localisation réseau et le niveau de risque de la session. Exigez un appareil conforme pour accéder à SharePoint et Exchange.

Infrastructure et Réseau

16 Activer les journaux d'audit unifiés (jusqu'a 3 points). L'Unified Audit Log capture les activités dans Exchange, SharePoint, OneDrive, Teams, Entra ID et Defender. Configurez la rétention sur 1 an minimum (E5 permet 10 ans) et exportez vers un SIEM externe.

17 Configurer les alertes Defender for Identity (jusqu'a 4 points). Defender for Identity surveille Active Directory on-premises et détecte les attaques comme le pass-the-hash, le Kerberoasting et les mouvements latéraux. Installez les capteurs sur tous les contrôleurs de domaine.

18 Configurer Azure AD Identity Protection (jusqu'a 4 points). Activez les politiques de risque utilisateur et de risque de connexion. Configurez le blocage automatique ou la demande de MFA/changement de mot de passe pour les connexions à risque élevé.

19 Restreindre les rôles d'administration (jusqu'a 3 points). Appliquez le principe du moindre privilège : maximum 5 Global Admins, utilisation de roles spécialisés (Exchange Admin, SharePoint Admin), et revue trimestrielle des attributions via Access Reviews.

20 Activer le Customer Lockbox (jusqu'a 2 points). Customer Lockbox exige votre approbation explicite avant que le support Microsoft n'accède à vos données. C'est une exigence pour de nombreuses certifications de conformité.

Stratégie d'Optimisation : Quick Wins, Medium et Long-Terme

Une approche structurée en trois phases permet d'obtenir des résultats rapides tout en construisant une posture durable. La clé est de prioriser par ratio effort/impact, en commençant par les actions à fort gain et faible complexité.

Phase 1 : Quick Wins (Semaines 1-4) -- Gain : +15 a +25 points

Les Quick Wins sont des actions à faible effort et fort impact, réalisables en quelques heures ou jours sans perturbation majeure de la production :

• MFA pour tous les admins via Security Defaults ou Conditional Access (immédiat)
• Bloquer Legacy Authentication via Conditional Access (1 jour, après analyse des sign-in logs)
• Configurer SPF/DKIM/DMARC sur les domaines principaux (2-3 jours)
• Activer les journaux d'audit unifiés et configurer la rétention (immédiat)
• Désactiver le consentement utilisateur aux applications (immédiat, mais prévoir workflow admin consent)
• Activer Safe Links et Safe Attachments dans Defender for Office 365 (1 jour)

Phase 2 : Projets Structurés (Mois 2-3) -- Gain : +15 a +20 points

• Déployer PIM pour les roles Global Admin, Exchange Admin, Security Admin (nécessite P2)
• Enroler les appareils dans Intune avec politiques de conformité et Conditional Access basé sur l'appareil
• Configurer les politiques DLP pour Exchange, SharePoint et Teams (mode audit puis block)
• Déployer Defender for Identity sur les contrôleurs de domaine
• Configurer Azure AD Identity Protection avec politiques de risque automatisées
• Activer les règles ASR (Attack Surface Reduction) en mode audit puis block

Phase 3 : Maturité Avancée (Mois 4-12) -- Gain : +10 a +15 points

• Sensitivity Labels avec auto-labelling basé sur le contenu et le contexte
• Defender for Cloud Apps avec politiques de session et contrôle d'accès conditionnel aux applications SaaS
• Access Reviews automatisées trimestrielles pour les roles privilégiés et les groupes sensibles
• Customer Lockbox et gestion des clés client (BYOK)
• Intégration SIEM/SOAR avec Microsoft Sentinel pour la corrélation multi-source
• Zero Trust complet avec Continuous Access Evaluation (CAE) et Token Protection

Automatisation et APIs

Microsoft Graph API pour le Secure Score

L'API Microsoft Graph expose le Secure Score et les actions d'amélioration, permettant l'automatisation de la surveillance, du reporting et de la remédiation. Voici les endpoints clés :

# Récupérer le score actuel
GET https://graph.microsoft.com/v1.0/security/secureScores?$top=1

# Récupérer les actions d'amélioration
GET https://graph.microsoft.com/v1.0/security/secureScoreControlProfiles

# Récupérer l'historique du score (90 jours)
GET https://graph.microsoft.com/v1.0/security/secureScores?$top=90&$orderby=createdDateTime desc

Script PowerShell d'audit automatisé

# Module Microsoft Graph PowerShell
Install-Module Microsoft.Graph.Security -Force
Connect-MgGraph -Scopes "SecurityEvents.Read.All"

# Récupérer le score actuel
$score = Get-MgSecuritySecureScore -Top 1
Write-Host "Score actuel: $($score.CurrentScore) / $($score.MaxScore)" -ForegroundColor Cyan
Write-Host "Pourcentage: $([math]::Round(($score.CurrentScore / $score.MaxScore) * 100, 1))%"

# Lister les actions non implémentées triées par impact
$controls = Get-MgSecuritySecureScoreControlProfile
$notImplemented = $controls | Where-Object { 
    $_.ImplementationStatus -ne "implemented" 
} | Sort-Object MaxScore -Descending | Select-Object -First 20

$notImplemented | ForEach-Object {
    [PSCustomObject]@{
        Action     = $_.Title
        Impact     = "$($_.MaxScore) pts"
        Catégorie  = $_.ControlCategory
        Statut     = $_.ImplementationStatus
        Complexité = $_.UserImpact
    }
} | Format-Table -AutoSize

# Export CSV pour reporting
$notImplemented | Export-Csv -Path "SecureScore-Actions-$(Get-Date -Format yyyyMMdd).csv" -NoTypeInformation -Encoding UTF8

Azure Workbooks pour le monitoring continu

Microsoft Sentinel propose des Azure Workbooks pré-construits pour visualiser l'évolution du Secure Score dans le temps. Vous pouvez créer un workbook personnalisé exploitant les données via le connecteur Microsoft 365 Defender :

// KQL - Evolution du Secure Score sur 90 jours
SecureScore
| where TimeGenerated > ago(90d)
| summarize Score=max(CurrentScore), MaxScore=max(MaxScore) by bin(TimeGenerated, 1d)
| extend Percentage = round(todouble(Score) / todouble(MaxScore) * 100, 1)
| project TimeGenerated, Score, MaxScore, Percentage
| order by TimeGenerated asc
| render timechart with (title="Evolution du Secure Score")

Pour aller plus loin dans l'automatisation, configurez des Logic Apps déclenchées par la baisse du score sous un seuil défini. L'alerte peut créer automatiquement un ticket ServiceNow ou envoyer une notification Teams au SOC avec les actions impactées.

Gouvernance et Reporting

Reporting pour la direction

Le Secure Score est un outil puissant de communication avec la direction et le comité de sécurité. Structurez vos rapports mensuels avec les éléments suivants :

• Score actuel vs objectif trimestriel avec courbe d'évolution
• Benchmark sectoriel pour positionner l'organisation
• Top 5 actions planifiées avec gain attendu, responsable et date cible
• Actions bloquées (raisons techniques, budgétaires, organisationnelles) avec plan de déblocage
• Incidents évités grace aux actions mises en oeuvre (corrélation avec les alertes Defender)

Alignement NIS 2 et ISO 27001

Le Secure Score peut servir d'indicateur de performance pour les exigences de NIS 2 et ISO 27001 :

Exigence NIS 2 / ISO 27001	Actions Secure Score associées	Mesure
Gestion des accès (A.9 ISO)	MFA, PIM, Conditional Access, Access Reviews	Score Identity > 70%
Protection des données (Art. 21 NIS 2)	DLP, Sensitivity Labels, chiffrement	Score Data > 60%
Gestion des incidents (Art. 23 NIS 2)	Unified Audit Log, Defender alerts, SIEM	Rétention > 1 an
Sécurité des endpoints (A.12 ISO)	Intune, ASR, EDR, BitLocker	Score Device > 65%
Continuité d'activité (A.17 ISO)	Rétention, archivage, sauvegarde	Politiques actives

Pièges et Limitations du Secure Score

Malgré sa valeur, le Secure Score comporte des limitations importantes qu'il faut comprendre pour éviter les faux sentiments de sécurité :

Compléments indispensables au Secure Score

Pour une posture de sécurité complète, complétez le Secure Score avec :

• Tests d'intrusion réguliers (pentest M365 + AD) pour valider la résistance réelle
• Exercices de phishing simulés (Attack Simulator dans Defender for Office 365)
• Revue de la configuration par un tiers (audit indépendant annuel)
• Monitoring comportemental avec Microsoft Sentinel et des règles de détection personnalisées
• Exercices de réponse a incident (tabletop exercises) pour tester les procédures

Conclusion

Microsoft Secure Score est bien plus qu'un simple chiffre : c'est un cadre de gouvernance de la sécurité qui permet de mesurer, prioriser et démontrer les progrès. En adoptant une approche structurée en trois phases (quick wins, hardening, maturité), en automatisant le suivi via Graph API et PowerShell, et en intégrant le score dans les processus de gouvernance et de conformité, les organisations transforment cet indicateur en véritable levier stratégique.

Rappelons néanmoins que le Secure Score reste un indicateur parmi d'autres. Il doit etre complété par des tests d'intrusion, des exercices de simulation d'attaque et une veille continue sur les menaces. L'objectif n'est pas le score parfait, mais une amélioration mesurable et continue de la posture de sécurité, alignée sur les risques métier et les exigences réglementaires.

Pour les organisations commençant leur parcours, visez un gain de 20 points sur le premier trimestre avec les quick wins identifiés, puis progressez vers les 75-85% sur 12 mois. C'est un marathon, pas un sprint -- mais chaque point gagné réduit concrètement la surface d'attaque de votre environnement Microsoft 365.

Partager cet article

Partager sur X Partager sur LinkedIn Copier le Lien

Ressources et Références Officielles

Documentation Microsoft, standards et outils de référence

Microsoft Secure Score Documentation

learn.microsoft.com

Microsoft Graph API - Secure Scores

learn.microsoft.com

CIS Benchmark Microsoft 365

cisecurity.org