Sécuriser Microsoft Teams : Gouvernance, DLP et Contrôle

Introduction

Microsoft Teams est devenu le hub de collaboration de plus de 320 millions d'utilisateurs actifs mensuels en 2026. Cette adoption massive en fait simultanement un outil de productivite essentiel et un vecteur d'attaque privilege. Les messages de chat contiennent des credentials, les canaux hebergent des documents sensibles, les applications tierces accedent aux donnees via Graph API, et le partage externe ouvre des portes aux techniques d'exfiltration furtive. Selon Microsoft, 68 % des organisations n'ont pas de politique de gouvernance Teams formalisee, et 45 % autorisent l'installation non controlee d'applications tierces. Ce guide approfondi examine en detail les aspects fondamentaux et avances de Sécuriser Microsoft Teams, en proposant une analyse structuree et documentee des enjeux actuels.

Ce guide couvre l'ensemble des mécanismes de sécurisation de Microsoft Teams : gouvernance des équipes (naming conventions, expiration, templates), gestion de l'acces externe et des invites B2B, protection des donnees avec DLP et les labels de sensibilite, controle des applications tierces via les permission policies et Resource-Specific Consent (RSC), sécurité des reunions (lobby, watermarks, chiffrement de bout en bout), et monitoring via les outils de compliance Microsoft Purview.

Gouvernance des équipes

Naming conventions et classification

Sans convention de nommage, les équipes proliferent de maniere anarchique : doublons, noms ambigus, équipes orphelines. Implementez des naming policies via Microsoft Entra ID pour imposer une structure coherente :

# Configurer la naming policy pour les groupes Microsoft 365 / Teams
Connect-MgGraph -Scopes "Directory.ReadWrite.All"

# Format : [Departement]-[NomProjet]-[Type]
# Exemple : IT-MigrationCloud-Projet, RH-Recrutement2026-Équipe
$namingPolicy = @{
 prefixSuffixNamingRequirement = "[Department]_[GroupName]_[CountryOrRegion]"
 customBlockedWordsList = @("CEO", "Confidentiel", "Secret", "Admin", "Root")
}

# Appliquer via GroupSettings
$settingsTemplate = Get-MgDirectorySettingTemplate | Where-Object { $_.DisplayName -eq "Group.Unified" }
$settings = New-MgDirectorySetting -TemplateId $settingsTemplate.Id
Update-MgDirectorySetting -DirectorySettingId $settings.Id -Values @(
 @{ Name = "PrefixSuffixNamingRequirement"; Value = "[Department]_[GroupName]" }
 @{ Name = "CustomBlockedWordsList"; Value = "CEO,Confidentiel,Secret,Admin,Root" }
)

Expiration et cycle de vie

Les équipes inactives représentent une surface d'attaque silencieuse : elles contiennent des donnees obsoletes, des membres ayant change de poste, et ne sont plus surveillees. Configurez une politique d'expiration :

• Duree d'expiration : 180 jours pour les équipes projet, 365 jours pour les équipes departementales.
• Notification : les proprietaires recoivent un e-mail 30 jours, 15 jours et 1 jour avant l'expiration.
• Renouvellement : le proprietaire peut renouveler l'équipe d'un clic. Si aucune action n'est prise, l'équipe est supprimee en soft-delete (recuperable pendant 30 jours).
• Exception : les équipes marquees comme "persistantes" (departement, direction) peuvent etre exemptees de l'expiration via un groupe de sécurité.

Templates d'équipe

Les templates Teams permettent de preconfigurer la structure des équipes (canaux, onglets, applications) et de standardiser la creation. Creez des templates pour chaque cas d'usage :

Restriction de la creation d'équipes

Par defaut, tous les utilisateurs peuvent creer des équipes Teams, ce qui conduit a une proliferation incontrole. Restreignez la creation aux utilisateurs membres d'un groupe de sécurité spécifique :

# Restreindre la creation de groupes/équipes a un groupe spécifique
$groupCreatorsGroup = Get-MgGroup -Filter "displayName eq 'SG-Teams-Creators'"

$params = @{
 Values = @(
 @{ Name = "EnableGroupCreation"; Value = "false" }
 @{ Name = "GroupCreationAllowedGroupId"; Value = $groupCreatorsGroup.Id }
 )
}
Update-MgDirectorySetting -DirectorySettingId $settingId -BodyParameter $params

Avez-vous vérifié les permissions effectives de vos comptes de service Azure AD ?

Acces externe et invites

Federation vs Guest Access

Teams propose deux mécanismes d'acces externe distincts qu'differencier :

• Federation (External Access) : permet la communication (chat, appels) avec des utilisateurs d'autres tenants Microsoft 365 ou Skype. Les utilisateurs externes restent dans leur propre tenant et n'ont pas acces aux fichiers ni aux canaux Teams. C'est un acces de communication uniquement.
• Guest Access (B2B) : les invites sont ajoutes comme membres d'une équipe. Ils accedent aux canaux, fichiers, applications et reunions de l'équipe. Ils apparaissent dans votre répertoire Entra ID comme des utilisateurs invites (userType = Guest). Ce modele offre plus de collaboration mais expose davantage de donnees.

Conditional Access pour les invites B2B

Les invites représentent un risque particulier car leur posture de sécurité n'est pas sous votre controle. Creez des politiques Conditional Access spécifiques pour les invites, une approche coherente avec les techniques de prevention contre les attaques de phishing sans piece jointe :

• MFA obligatoire : forcez le MFA pour tous les invites, sans exception. Utilisez la cross-tenant access policy pour accepter le MFA du tenant d'origine si le tenant est de confiance.
• Restriction d'applications : limitez l'acces des invites a Teams et SharePoint Online uniquement, pas a l'ensemble du tenant M365.
• Session controls : activez le sign-in frequency de 4 heures et desactivez la persistance du navigateur pour les invites.
• Localisation : bloquez les connexions invites depuis des pays non autorises.

Access Reviews pour les invites

Les comptes invites ont tendance a persister bien apres la fin de la collaboration. Configurez des Access Reviews trimestrielles pour que les proprietaires d'équipes confirment que chaque invite est toujours necessaire. Activez l'auto-revocation apres 14 jours sans reponse. Ces revues sont complementaires a celles de PIM documentees dans l'article sur la gestion des acces privilegies Just-in-Time.

DLP et protection des donnees

Sensitivity Labels pour Teams

Les sensitivity labels (labels de sensibilite) de Microsoft Purview s'appliquent directement aux équipes Teams pour controler les paramètres de sécurité au niveau du conteneur. Lorsqu'un label est applique a une équipe, il gouverne automatiquement :

• Privacy : l'équipe est publique ou privee.
• Guest Access : les invites externes sont autorises ou non dans cette équipe.
• External Sharing : le partage de fichiers SharePoint associe est restreint.
• Unmanaged Device Access : l'acces depuis des appareils non geres (BYOD) est autorise, limite (web only) ou bloque.
• Meeting settings : controle du watermark, du chiffrement E2E et de l'enregistrement.

Politiques DLP pour Teams

Les politiques DLP (Data Loss Prevention) de Microsoft Purview s'appliquent aux messages de chat Teams et aux fichiers partages dans les canaux. Elles detectent et bloquent le partage d'informations sensibles selon des types d'informations sensibles (SIT) preconfigures ou personnalises :

# Creer une politique DLP pour Teams
New-DlpCompliancePolicy -Name "DLP-Teams-Donnees-Sensibles" `
 -TeamsLocation All `
 -Mode Enable `
 -Comment "Protege contre la fuite de donnees sensibles dans Teams"

# Ajouter une regle pour détecter les numeros de carte bancaire
New-DlpComplianceRule -Name "Block-Credit-Cards-Teams" `
 -Policy "DLP-Teams-Donnees-Sensibles" `
 -ContentContainsSensitiveInformation @{
 Name = "Credit Card Number"
 MinCount = 1
 MinConfidence = 85
 } `
 -BlockAccess $true `
 -NotifyUser "SiteAdmin","LastModifier" `
 -NotifyPolicyTipCustomText "Ce message contient un numéro de carte bancaire. Le partage est bloque conformement a la politique de sécurité." `
 -GenerateIncidentReport "SiteAdmin" `
 -IncidentReportContent "All"

# Regle pour les donnees personnelles (RGPD)
New-DlpComplianceRule -Name "Warn-Personal-Data-Teams" `
 -Policy "DLP-Teams-Donnees-Sensibles" `
 -ContentContainsSensitiveInformation @(
 @{ Name = "France National ID Card (CNI)"; MinCount = 1; MinConfidence = 75 },
 @{ Name = "France Social Security Number (INSEE)"; MinCount = 1; MinConfidence = 75 },
 @{ Name = "EU Debit Card Number"; MinCount = 1; MinConfidence = 75 }
 ) `
 -NotifyUser "LastModifier" `
 -NotifyPolicyTipCustomText "Ce message semble contenir des donnees personnelles protegees par le RGPD. Verifiez avant de partager."

Chiffrement et retention

Combinez les labels de sensibilite avec le chiffrement Azure Information Protection et les politiques de retention pour une protection complete, conforme aux exigences du RGPD 2026 :

• Chiffrement des messages : les messages dans les canaux marques "Tres confidentiel" sont chiffres au repos et en transit avec des cles gerees par le client (Customer Key).
• Retention policies : configurez une retention de 7 ans pour les canaux projet (obligation legale) et de 90 jours pour les conversations de chat informelles.
• Information barriers : isolez les équipes entre departements ayant des conflits d'interets (ex : Trading vs Compliance dans le secteur financier).

Applications tierces : controle et audit

Permission Policies

Les applications Teams constituent un vecteur d'attaque sous-estime. Une application tierce malveillante installee dans Teams peut acceder aux conversations, fichiers et contacts de l'utilisateur via Microsoft Graph API, un risque similaire aux vulnérabilités OAuth documentees dans nos articles. Implementez des permission policies a trois niveaux :

• Org-wide settings : desactivez l'installation d'applications tierces par defaut. Activez uniquement le catalogue d'applications approuvees par l'IT.
• Permission policies par groupe : creez des policies différentes pour les équipes IT (acces elargi aux applications de developpement), les équipes business (applications approuvees uniquement) et les équipes sensibles (aucune application tierce).
• Setup policies : pin les applications approuvees dans la barre laterale Teams et retirez les applications non approuvees.

Resource-Specific Consent (RSC)

RSC est un modele de permissions granulaire introduit par Microsoft pour Teams. Au lieu d'accorder des permissions tenant-wide via le consentement administrateur classique, RSC permet aux proprietaires d'équipes d'accorder des permissions limitees a l'équipe concernee uniquement. Les permissions RSC incluent :

• TeamSettings.Read.Group : lire les paramètres de l'équipe.
• ChannelMessage.Read.Group : lire les messages des canaux.
• TeamMember.Read.Group : lire la liste des membres.

Votre configuration Microsoft 365 résisterait-elle à un audit de sécurité approfondi ?

Sécurité des reunions

Controles de lobby et admission

Les reunions Teams sont vulnerables au "meeting bombing" (intrusion d'utilisateurs non autorises) et a l'espionnage. Configurez les paramètres de reunion selon la sensibilite :

Chiffrement de bout en bout (E2EE)

Le chiffrement de bout en bout pour les reunions Teams 1:1 et les reunions jusqu'a 200 participants est disponible depuis 2024. Lorsque E2EE est active, les flux audio, video et partage d'écran sont chiffres de bout en bout, et Microsoft n'a pas acces aux cles de dechiffrement. Les limitations actuelles incluent :

• L'enregistrement cloud, les transcriptions et les sous-titres en direct sont desactives.
• Le Copilot ne peut pas acceder au contenu de la reunion.
• Les participants PSTN (dial-in) ne peuvent pas rejoindre.
• Les salles de sous-commission (breakout rooms) ne sont pas supportees.

Monitoring et conformite

Audit Logs et eDiscovery

Microsoft 365 Unified Audit Log capture l'ensemble des activites Teams : creation d'équipes, ajout/suppression de membres, messages envoyes (metadonnees), fichiers partages, applications installees, et paramètres modifies. Ces logs sont essentiels pour la détection d'incidents et les investigations forensiques.

// KQL - Détecter les ajouts massifs de membres externes a Teams
OfficeActivity
| where Operation == "MemberAdded"
| where TargetUserOrGroupType == "Guest"
| extend TeamName = tostring(parse_json(tostring(Item)).ObjectId)
| summarize GuestAddedCount=count() by UserId, TeamName, bin(TimeGenerated, 1h)
| where GuestAddedCount > 5
| order by GuestAddedCount desc

// KQL - Applications Teams installees par les utilisateurs
OfficeActivity
| where Operation == "AppInstalled"
| extend AppName = tostring(parse_json(tostring(Item)).AppId)
| summarize InstallCount=count() by AppName, UserId
| order by InstallCount desc

// KQL - Fichiers partages avec des externes depuis Teams
OfficeActivity
| where Operation == "SharingSet" or Operation == "AnonymousLinkCreated"
| where OfficeWorkload == "SharePoint"
| extend SharedWith = tostring(TargetUserOrGroupName)
| where SharedWith has "#EXT#" or Operation == "AnonymousLinkCreated"
| project TimeGenerated, UserId, SourceFileName, SharedWith, Operation

Communication Compliance

Communication Compliance de Microsoft Purview permet de détecter les contenus inappropries, les violations de politique et les risques reglementaires dans les messages Teams. Les cas d'usage incluent :

• Detection de langage offensant : les classificateurs entraines par Microsoft detectent le harcelement, les menaces et le langage discriminatoire.
• Conflits d'interet : détection des communications entre departements soumis a des information barriers.
• Partage de credentials : détection de patterns correspondant a des mots de passe, cles API ou tokens partages dans les conversations Teams.
• Conformité reglementaire : surveillance des communications pour les secteurs reglementes (finance, sante) conformement aux exigences du RGPD.

Insider Risk Management

Insider Risk Management correle les activites Teams avec d'autres signaux (DLP violations, telechargements massifs, connexions inhabituelles) pour identifier les comportements a risque. Les indicateurs spécifiques a Teams incluent :

• Telechargement massif de fichiers depuis des canaux Teams.
• Partage de fichiers avec des comptes personnels (gmail, outlook personnel).
• Copie de messages de canaux sensibles vers des conversations personnelles.
• Installation d'applications non approuvees juste avant un depart de l'entreprise.

Ces mécanismes de détection sont complementaires aux techniques de securisation de la supply chain applicative, car les applications Teams constituent un point d'entree potentiel pour les attaquants ciblant la chaine d'approvisionnement logicielle.

Questions frequentes

Pour approfondir ce sujet, consultez notre outil open-source m365-security-audit qui facilite l'audit de sécurité de l'environnement Microsoft 365.

Conclusion

La sécurisation de Microsoft Teams ne peut pas etre une reflexion apres-coup. Avec 320 millions d'utilisateurs actifs et une adoption croissante dans les processus critiques, Teams est devenu un système d'information a part entiere qui nécessite une stratégie de sécurité dediee, couvrant la gouvernance, la protection des donnees, le controle des applications et la surveillance continue.

Les cles d'un déploiement securise reposent sur cinq piliers : premierement, une gouvernance rigoureuse avec des naming conventions, des templates et des politiques d'expiration ; deuxiemement, un controle strict de l'acces externe avec des Conditional Access Policies dediees aux invites et des Access Reviews regulieres ; troisiemement, une protection des donnees via DLP, sensitivity labels et chiffrement ; quatriemement, un controle des applications avec des permission policies restrictives et un audit regulier des permissions Graph API ; et cinquiemement, un monitoring continu via les outils Microsoft Purview.

L'approche recommandee est progressive : commencez par restreindre la creation d'équipes et les applications tierces (gains rapides), puis deployez les sensitivity labels et les politiques DLP, et enfin implementez Communication Compliance et Insider Risk Management pour une couverture complete. Chaque étape renforce la posture de sécurité globale de votre environnement de collaboration.

Sources et références : Microsoft Security Docs · CERT-FR

Articles complementaires

Ayi NEDJIMI

Expert en Cybersécurité & Intelligence Artificielle

Consultant senior avec plus de 15 ans d'experience en sécurité offensive, audit d'infrastructure et developpement de solutions IA. Certifie OSCP, CISSP, ISO 27001 Lead Auditor et ISO 42001 Lead Implementer. Intervient sur des missions de pentest Active Directory, sécurité Cloud et conformité reglementaire pour des grands comptes et ETI.

LinkedIn Profil complet Tous ses articles

References et ressources externes

• Microsoft Teams Security Overview -- Documentation officielle sécurité et conformité Teams
• Sensitivity Labels for Teams -- Labels de sensibilite pour les équipes et sites
• MITRE ATT&CK T1199 -- Trusted Relationship : exploitation des acces partenaires
• CISA Best Practices -- Recommandations de sécurité pour les environnements collaboratifs

Article suivant recommandé

SharePoint et OneDrive : Maîtriser le Partage Externe et →

Unified Audit Log : Journal d'audit centralisé de Microsoft 365 capturant les événements utilisateur et administrateur à travers Exchange, SharePoint, Teams et Azure AD.

Configurez les alertes Microsoft Defender for Cloud Apps dès le déploiement pour détecter les comportements anormaux sur les comptes à privilèges.

Votre tenant M365 est-il sécurisé ?

Audit Entra ID, Exchange, SharePoint, Teams — Secure Score, conditional access, DLP.

Audit M365 — Devis gratuit [email protected]