Pentest Microsoft 365 — Audit de Sécurité Complet
Votre tenant Microsoft 365 concentre vos emails, fichiers et identités. Nous testons Exchange Online, SharePoint, Teams, Entra ID, Conditional Access et OAuth pour identifier chaque chemin de compromission de votre environnement M365.
Certifications offensives M365
Tenants M365 audités
Obtenu dans 87% des tests
Qu'est-ce qu'un pentest Microsoft 365 ?
Un pentest Microsoft 365 est une simulation d'attaque ciblant l'ensemble de votre tenant M365 : Exchange Online, SharePoint, OneDrive, Teams, Entra ID (Azure AD), Conditional Access, applications OAuth et DLP. L'objectif : identifier tous les chemins de compromission exploitables par un attaquant pour accéder à vos données ou escalader vers le Global Admin.
Microsoft 365 est devenu le cœur du SI pour la majorité des organisations. Emails, fichiers partagés, visioconférences, identités — tout transite par le tenant M365. Une compromission du tenant donne accès à l'intégralité des données de l'entreprise.
Les attaques ciblant M365 se multiplient : phishing AiTM (Adversary-in-the-Middle) pour contourner le MFA, abus d'applications OAuth illicites pour un accès permanent, exploitation des Conditional Access Policies mal configurées, exfiltration via les API Graph. Selon Microsoft, les attaques sur les identités cloud ont augmenté de 300% en 2024.
Notre pentest M365 couvre l'intégralité de la surface d'attaque du tenant, des identités Entra ID aux données dans SharePoint, en passant par les flux de messagerie Exchange Online et les applications tierces connectées via OAuth.
Hausse des attaques sur identités cloud
Des tenants ont des Conditional Access bypass
Utilisateurs M365 dans le monde
Services M365 testés
Services Microsoft 365 couverts
Entra ID (Azure AD)
Identités, rôles, groupes, Conditional Access, PIM, MFA, Password Policies.
Exchange Online
Transport Rules, mail flow, délégation de boîtes, anti-phishing, SPF/DKIM/DMARC.
SharePoint Online
Permissions, partages externes, sites publics, DLP bypass, exfiltration de données.
Microsoft Teams
Accès invité, canaux partagés, fichiers exposés, bots malicieux, messagerie externe.
Applications OAuth
Consentements illicites, permissions excessives, applications tierces, API Graph abuse.
Conditional Access
Bypass MFA, exclusions, legacy auth, device compliance, location policies.
Data Loss Prevention
Politiques DLP, labels de sensibilité, contournement des protections, exfiltration.
Intune / Endpoint
Politiques de conformité, configurations d'appareils, déploiement d'applications, BYOD.
Qui est concerné par un pentest M365 ?
Toute organisation utilisant Microsoft 365 — de la PME au grand groupe — est exposée aux mêmes vecteurs d'attaque sur son tenant.
- ► Grands groupes (2000+ utilisateurs) — tenants complexes, multiples domaines, B2B guests, applications OAuth
- ► ETI (200-2000 utilisateurs) — migration vers M365, hybride AD/Entra ID, Conditional Access à valider
- ► PME (50-200 utilisateurs) — configuration par défaut non sécurisée, pas de Conditional Access
- ► Secteurs réglementés — finance, santé, défense (NIS2, DORA, HDS)
- ► Post-phishing — après un phishing réussi, vérifier l'étendue de la compromission
- ► Préparation ISO 27001 — valider les contrôles techniques sur le volet M365
- ► Migration M365 — valider la sécurité du nouveau tenant après migration
- ► Contrôle annuel — les configurations M365 évoluent avec les licences et les mises à jour
Le saviez-vous ?
En 2025, 80% des attaques BEC (Business Email Compromise) ciblent des tenants Microsoft 365. Le coût moyen d'une compromission M365 est de 130 000 € pour une PME.
Notre méthodologie en 6 phases
Un pentest M365 structuré de 2 à 4 semaines couvrant l'intégralité du tenant. Chaque phase produit des livrables documentés avec preuves d'exploitation.
Reconnaissance & énumération du tenant
Jour 1-3Cartographie complète du tenant M365 : domaines, utilisateurs, groupes, applications OAuth, licences, Conditional Access Policies, configurations Exchange/SharePoint/Teams.
Activités
- • Énumération des domaines et utilisateurs
- • Collecte AzureHound (Entra ID)
- • Inventaire des applications OAuth
- • Analyse des Conditional Access Policies
- • Cartographie des rôles et permissions
Outils
- • AzureHound / ROADtools
- • AADInternals
- • Microsoft Graph API
- • o365creeper / TeamFiltration
- • Maester (M365 compliance)
Résultat
- • Cartographie complète du tenant
- • Graphe AzureHound des permissions
- • Inventaire des applications OAuth
- • Analyse des Conditional Access
- • Plan d'attaque détaillé
Attaque des identités Entra ID
Jour 3-7Test des mécanismes d'authentification : password spray, bypass MFA via AiTM, exploitation des Conditional Access Policies, abus de PIM et des rôles Entra ID.
Activités
- • Password spray (respect des lockout policies)
- • Bypass Conditional Access (legacy auth, device compliance)
- • AiTM phishing simulation (Evilginx2)
- • Escalade via les rôles Entra ID
- • Abus de PIM (Privileged Identity Management)
Outils
- • MSOLSpray / Spray365
- • Evilginx2 (AiTM proxy)
- • ROADtools (token analysis)
- • TokenTactics (refresh token abuse)
- • AzureHound (priv esc paths)
Résultat
- • Comptes compromis identifiés
- • Conditional Access bypass démontrés
- • Chemins d'escalade vers Global Admin
- • Politique MFA validée / invalidée
- • PIM misconfiguration documentée
Exploitation OAuth & applications tierces
Jour 7-10Audit des applications OAuth connectées au tenant : consentements illicites (illicit consent grant), permissions excessives, applications abandonnées avec des accès résiduels.
Activités
- • Inventaire de toutes les applications OAuth
- • Analyse des permissions (delegated + application)
- • Simulation d'illicit consent grant attack
- • Test d'abus des tokens d'application
- • Identification des apps abandonnées avec accès
Outils
- • 365-Stealer (OAuth phishing)
- • GraphRunner (API Graph exploitation)
- • TokenTactics (token manipulation)
- • AzureHound (app consent analysis)
- • Custom Graph API queries
Résultat
- • Applications OAuth à risque identifiées
- • Consentements illicites démontrés
- • Permissions excessives documentées
- • Tokens applicatifs exploitables
- • Plan de nettoyage OAuth
Exploitation Exchange, SharePoint & Teams
Jour 10-14Test des services M365 : accès non autorisé aux boîtes mail, exfiltration de fichiers SharePoint, exploitation des partages Teams, bypass DLP et exploitation des Transport Rules.
Activités
- • Accès aux boîtes mail déléguées
- • Exploitation des Transport Rules
- • Exfiltration SharePoint / OneDrive
- • Accès aux canaux Teams privés
- • Bypass des politiques DLP
Outils
- • GraphRunner (mailbox access)
- • TeamFiltration (Teams exploitation)
- • SharePointOnlineShell
- • MailSniper (EXO enumeration)
- • Custom PowerShell scripts
Résultat
- • Données accessibles documentées
- • DLP bypass démontrés
- • Partages excessifs identifiés
- • Transport Rules dangereux
- • Impact business évalué
Analyse & rapport détaillé
Jour 14-17Rédaction du rapport complet avec preuves d'exploitation, classification par sévérité et plan de remédiation actionable pour chaque service M365.
Contenu du rapport
- • Synthèse exécutive direction
- • Rapport technique par service M365
- • Graphes AzureHound annotés
- • Classification par sévérité
- • Captures d'écran et preuves
Plan de remédiation
- • Quick wins (immédiat)
- • Conditional Access correctives
- • Nettoyage OAuth
- • Hardening Exchange / SharePoint / Teams
- • Scripts PowerShell de correction
Livrables
- • Rapport PDF (80-120 pages)
- • Fichier Excel de suivi des findings
- • Scripts PowerShell de remédiation
- • Templates Conditional Access recommandées
- • Présentation synthèse direction
Restitution & accompagnement remédiation
Jour 17-20Présentation des résultats à deux niveaux, atelier remédiation M365 avec équipe IT, support 30 jours et retest gratuit à 3 mois.
Activités
- • Restitution direction (1h)
- • Restitution technique (2-3h)
- • Atelier remédiation M365
- • Support 30 jours post-rapport
- • Retest gratuit à 3 mois
Transfert
- • Formation sécurité M365 pour admins
- • Templates Conditional Access
- • Checklist de sécurité M365
- • Guides de hardening par service
- • Procédure de revue OAuth périodique
Résultat
- • Roadmap de sécurisation M365
- • Admins M365 formés
- • Findings critiques corrigés
- • Retest planifié à 3 mois
- • Indicateurs de suivi définis
Prestation clé en main — tout est inclus
Un pentest M365 complet couvrant l'intégralité du tenant : identités, services, applications, DLP. Rapport détaillé, remédiation guidée et retest inclus.
Tests techniques inclus
L'ensemble des vecteurs d'attaque M365 modernes testés manuellement.
- ✓ Entra ID : password spray, MFA bypass, Conditional Access bypass
- ✓ OAuth : illicit consent grant, token abuse, app permissions
- ✓ Exchange : délégation, Transport Rules, SPF/DKIM/DMARC
- ✓ SharePoint : permissions, partages externes, DLP bypass
- ✓ Teams : accès invité, canaux partagés, fichiers exposés
- ✓ Intune : politiques de conformité, configurations d'appareils
Livrables actionables
Des rapports directement exploitables par vos administrateurs M365.
- ✓ Rapport technique détaillé (80-120 pages PDF)
- ✓ Synthèse exécutive pour la direction
- ✓ Scripts PowerShell de remédiation
- ✓ Templates Conditional Access prêtes à déployer
- ✓ Fichier Excel de suivi des findings
- ✓ Checklist de sécurité M365 complète
Modes opératoires de remédiation
Chaque finding est accompagné d'un mode opératoire détaillé dans l'admin center M365.
- ✓ Configuration Conditional Access (templates JSON)
- ✓ Hardening Entra ID (password policies, MFA, PIM)
- ✓ Sécurisation Exchange Online (SPF, DKIM, DMARC, Transport Rules)
- ✓ Nettoyage des applications OAuth
- ✓ Configuration DLP et labels de sensibilité
- ✓ Hardening SharePoint et Teams
Accompagnement & retest
Accompagnement post-rapport, formation des admins M365 et retest inclus.
- ✓ Restitution direction + équipe IT
- ✓ Atelier remédiation M365 (demi-journée)
- ✓ Support technique 30 jours
- ✓ Retest gratuit à 3 mois
- ✓ Formation sécurité M365 pour administrateurs
- ✓ Procédure de revue OAuth trimestrielle
Double expertise : sécurité offensive + administration M365
Là où la plupart des prestataires font soit de l'audit de configuration M365, soit du pentest généraliste, nous combinons les deux pour des recommandations implémentables directement dans votre admin center.
Volet offensif
- ►AiTM Phishing — Simulation d'attaque Adversary-in-the-Middle (Evilginx2) pour tester le bypass MFA et le vol de tokens de session.
- ►Conditional Access bypass — Identification systématique des exclusions, legacy auth, device compliance gaps, IP trusts exploitables.
- ►OAuth consent phishing — Illicit consent grant pour obtenir un accès permanent aux mails et fichiers via une application malicieuse.
- ►Graph API exploitation — Abus de l'API Microsoft Graph pour extraire données, créer des règles de transfert mail, modifier des permissions.
- ►Escalade vers Global Admin — Exploitation des rôles Entra ID, PIM, applications avec permissions élevées pour atteindre le niveau admin.
- ►DLP bypass — Contournement des politiques de prévention de fuite de données pour exfiltrer des documents sensibles.
Volet administration & hardening
- ►Conditional Access Architecture — Conception de policies CA robustes : MFA phishing-resistant, device compliance, Named Locations, session controls.
- ►Hardening Entra ID — Configuration PIM, authentication methods, self-service password reset, password protection, smart lockout.
- ►Sécurisation Exchange Online — Configuration SPF, DKIM, DMARC, anti-phishing policies, Safe Links, Safe Attachments, Transport Rules.
- ►Governance SharePoint & Teams — Permissions, partages externes, classification, retention policies, accès invité.
- ►DLP & Information Protection — Configuration des politiques DLP, labels de sensibilité, Azure Information Protection.
- ►Monitoring & alerting — Configuration du Unified Audit Log, alertes de sécurité, Microsoft Defender for Office 365.
Votre tenant M365 est-il sécurisé ?
87% des tenants M365 que nous testons ont au moins un chemin vers le Global Admin. Un audit Secure Score peut vous donner un premier diagnostic en 48h.
Pentest M365 vs Audit M365 vs Microsoft Secure Score
Comprendre les différences entre les trois approches pour choisir la prestation adaptée à votre besoin.
| Critère | Pentest M365 | Audit M365 | Secure Score |
|---|---|---|---|
| Approche | Offensive — exploitation réelle | Configuration & bonnes pratiques | Score automatisé Microsoft |
| Durée | 10-20 jours | 3-5 jours | Instantané |
| Password spray | Testé avec exploitation | Vérification politique MDP | Non couvert |
| Conditional Access bypass | Exploité et démontré | Configuration analysée | Partiellement couvert |
| OAuth abuse | Consent grant simulé | Inventaire des apps | Non couvert |
| DLP bypass | Contournement testé | Policies revuées | Non couvert |
| Impact démontré | Global Admin prouvé | Théorique | Score numérique |
| Remédiation | Scripts PowerShell + templates CA | Recommandations détaillées | Actions recommandées (génériques) |
Notre recommandation
Le Secure Score est un bon point de départ mais il ne détecte pas les chemins d'escalade complexes ni les abus OAuth. Combinez un audit M365 (configuration) avec un pentest M365 (validation offensive) pour une couverture complète.
Les 6 attaques M365 les plus courantes en 2025
Notre pentest couvre chacun de ces vecteurs d'attaque. Voici comment les attaquants compromettent les tenants M365 en 2025.
Phishing AiTM
L'attaquant déploie un proxy (Evilginx2) entre l'utilisateur et Microsoft. Il capture le token de session même si le MFA est activé. Avec le token, il accède au tenant sans déclencher d'alerte MFA.
Contourne le MFA standardOAuth Consent Phishing
L'attaquant crée une application OAuth malicieuse et incite un utilisateur à consentir. L'app obtient un accès permanent aux mails et fichiers sans besoin de credentials.
Accès persistant sans MDPPassword Spray
Test d'un même mot de passe faible (ex: Printemps2025!) sur des milliers de comptes. Respecte les lockout policies pour éviter la détection. Fonctionne sur les comptes sans MFA.
Cible les comptes sans MFABusiness Email Compromise
Après compromission d'un compte, l'attaquant crée une règle de transfert mail invisible, lit les emails et lance des demandes de virement frauduleuses en se faisant passer pour un dirigeant.
Coût moyen : 130 000 €Token Replay / Theft
Vol du refresh token via malware ou AiTM. Le token permet de générer de nouveaux access tokens pendant des semaines sans nouvelle authentification. Difficile à détecter.
Persistance longue duréeEntra ID Privilege Escalation
Exploitation d'un rôle Entra ID mal configuré (Application Administrator, Cloud Application Administrator) pour escalader vers Global Administrator via l'ajout de secrets à une app privilégiée.
Accès total au tenantCas client — Groupe industriel, 2 000 utilisateurs M365
Retour d'expérience anonymisé d'un pentest Microsoft 365 pour un groupe industriel avec 2 000 utilisateurs, multi-sites France et Europe.
Contexte
- ► Secteur : Groupe industriel, 2 000 collaborateurs, 8 sites EU
- ► Enjeu : Conformité NIS2 + sécurisation post-phishing
- ► État initial : M365 E3, Conditional Access basique, pas d'audit OAuth
- ► Périmètre : Tenant M365 complet + hybride AD on-prem
Résultats
Obtenu en 6 heures
Findings identifiés
Apps OAuth à risque
Corrigés en 8 semaines
Chronologie de l'attaque
H+0 à H+2
Password spray
Password spray contrôlé sur 2 000 comptes. 23 comptes compromis avec des mots de passe faibles (ex: Ete2025!).
H+2 à H+4
Conditional Access bypass
3 policies CA bypassées via legacy auth (ActiveSync), exclusion du groupe IT et Named Location exploitable.
H+4 à H+5
OAuth exploitation
17 applications OAuth avec des permissions excessives. Une app abandonnée avec Mail.ReadWrite sur tous les utilisateurs.
H+5 à H+6
Global Admin obtenu
Escalade via un compte de service avec rôle Application Administrator, puis ajout d'un secret à une app avec RoleManagement.ReadWrite.Directory.
Répartition des 53 findings
Critiques
Élevées
Moyennes
Faibles
Nos engagements contractuels
Des engagements concrets, inscrits au contrat. Pas de promesses en l'air.
Expert M365 certifié
Un pentester senior spécialiste M365 / Entra ID dédié à votre mission. Pas de sous-traitance, pas de généraliste.
Confidentialité absolue
NDA signé avant démarrage. Aucun email lu, aucun fichier exfiltré. Preuves d'accès uniquement (captures écran redactées).
Retest gratuit à 3 mois
Validation gratuite des corrections. Nous retestons les findings critiques pour confirmer que les chemins sont effectivement fermés.
Alerte immédiate
Découverte d'une compromission active ou d'un accès critique ? Alerte immédiate + recommandation de mitigation sous 2h.
Questions fréquentes sur le pentest Microsoft 365
Un audit M365 analyse la configuration du tenant (Secure Score, CIS Benchmarks) de manière passive. Un pentest M365 exploite activement les failles : password spray, bypass MFA, OAuth abuse, extraction de données. Le pentest démontre l'impact réel d'une mauvaise configuration, pas seulement son existence. Notre prestation inclut les deux approches : audit de configuration + exploitation active.
Non. Nos techniques sont contrôlées : le password spray respecte les lockout policies (1-2 tentatives/h/compte), nous ne lisons pas le contenu des emails (preuve d'accès uniquement), et aucune donnée n'est exfiltrée réellement. Les utilisateurs ne percoivent aucun impact. Les règles d'engagement sont définies précisément au démarrage.
Le pentest M365 peut être réalisé sur toutes les licences : Business Basic/Standard/Premium, E1, E3, E5. Cependant, les fonctionnalités de sécurité varient : Conditional Access (P1), PIM (P2), DLP (E5), Defender for O365 (E5). Nos recommandations tiennent compte de votre licence actuelle et identifient les fonctionnalités de sécurité disponibles mais non activées.
Comptez 10 à 20 jours ouvrés. Pour une PME (< 500 utilisateurs, M365 standard), 10-12 jours. Pour un grand groupe (2000+ utilisateurs, hybride, multi-domaines), 15-20 jours. Ce délai inclut la reconnaissance, l'exploitation, le rapport et la restitution. Le retest à 3 mois est inclus sans surcoût.
Le pentest M365 couvre le volet cloud (Entra ID, Exchange Online, SharePoint, Teams, OAuth). Si votre environnement est hybride (AD on-prem + AD Connect + Entra ID), nous testons également les chemins d'escalade on-prem → cloud et cloud → on-prem. Pour un pentest AD on-premise complet, consultez notre offre Pentest Active Directory. Les deux prestations se complètent parfaitement.
Nous recommandons un pentest M365 au moins une fois par an. Microsoft fait évoluer les fonctionnalités M365 en continu : nouvelles Conditional Access, changements d'API, dépréciations (legacy auth). De nouvelles applications OAuth sont ajoutées régulièrement. Après un incident de phishing, un pentest M365 est également recommandé pour vérifier l'étendue de la compromission.
Pourquoi nous choisir pour votre pentest M365 ?
87% Global Admin obtenu
Sur les +120 tenants M365 testés, nous avons obtenu le Global Admin dans 87% des cas. Preuve que les Conditional Access ne suffisent pas.
Spécialiste M365 / Entra ID
Expertise spécifique Microsoft 365, pas un pentest généraliste. Maîtrise de chaque service M365 et de l'écosystème Entra ID.
Conditional Access templates
Nous fournissons des templates Conditional Access JSON prêtes à importer, testées et validées sur des centaines de tenants.
Retest inclus à 3 mois
Validation gratuite des corrections effectuées. Nous retestons chaque finding critique pour confirmer la fermeture effective.
+20 ans d'expérience
Deux décennies de sécurité offensive. +120 tenants M365 testés dans tous les secteurs et toutes les tailles.
Formation admins M365
Transfert de compétences à vos administrateurs M365. Ils repartent avec les connaissances pour maintenir la sécurité du tenant.
Sécurisez votre tenant Microsoft 365
Chaque jour avec des Conditional Access incomplets, des OAuth non auditées et des mots de passe faibles, c'est une porte ouverte pour les attaquants. Prenons rendez-vous.
Réponse sous 24h — Échange initial gratuit et sans engagement