Pourquoi Microsoft 365 est une cible pour les associations
Sur les 35 structures de l'ESS auditées dans le Panorama cybersécurité 2026, environ 40 % utilisent Microsoft 365 — c'est la première suite bureautique du secteur. La raison est pragmatique : Microsoft propose des licences gratuites ou massivement réduites aux associations éligibles, ce qui en fait souvent le choix par défaut.
Le problème : Microsoft 365 par défaut n'est pas sécurisé. La configuration sortie d'usine optimise pour la compatibilité — ce qui veut dire que basic auth est encore actif, que la MFA n'est pas obligatoire pour tous les comptes, que SharePoint partage par défaut "tout l'organisation" et que le partage externe est ouvert.
Dans nos audits, 80 % des incidents observés sur M365 dans l'ESS auraient été évités par les trois mêmes mesures : MFA obligatoire, désactivation de basic auth, et compte admin séparé. Aucune ne coûte un euro. Toutes prennent moins d'une heure.
Cet article est un guide opérationnel. Si vous voulez d'abord situer votre exposition globale, faites notre diagnostic cybersécurité ESS (3 min) ou lisez le baromètre 2026 complet.
Les 12 actions, priorisées par impact
| # | Action | Impact | Coût | Temps |
|---|---|---|---|---|
| 1 | MFA obligatoire pour tous les comptes | Critique | 0 € | 30 min |
| 2 | Désactiver basic auth (IMAP/POP3/SMTP) | Critique | 0 € | 20 min |
| 3 | Compte admin séparé du compte courant | Critique | 0 € | 30 min |
| 4 | Conditional Access (BP+) | Critique | licence BP | 2 h |
| 5 | SPF + DKIM + DMARC | Critique | 0 € | 1 h init. |
| 6 | Restreindre partage externe SharePoint/OneDrive | Élevé | 0 € | 30 min |
| 7 | Désactiver "anyone with link" par défaut | Élevé | 0 € | 10 min |
| 8 | Activer audit log + rétention 90j | Élevé | 0 € | 15 min |
| 9 | Defender for Office 365 (anti-phishing) | Élevé | licence BP | 1 h |
| 10 | Sauvegarde tiers (Veeam, AvePoint, Synology) | Élevé | 0,50–4 €/u/mois | 1 j init. |
| 11 | Procédure d'offboarding écrite | Moyen | 0 € | 2 h |
| 12 | Surveiller Secure Score mensuellement | Moyen | 0 € | 15 min/mois |
1. Activer la MFA obligatoire pour tous les comptes
La mesure n°1 contre les attaques par mot de passe. Selon les chiffres Microsoft, la MFA bloque environ 99 % des compromissions de compte.
Option simple — Security Defaults
Pour les associations sans licence Business Premium, Microsoft fournit les Security Defaults : un préset qui active la MFA pour tous les comptes en 1 clic.
Aller dans le Microsoft 365 admin center → Identity → Properties → Security defaults → Enabled.
Option fine — Conditional Access (Business Premium)
Permet d'exiger la MFA différemment selon le rôle, l'application, l'emplacement. Recommandé dès que vous avez des comptes admin ou que vous gérez des données sensibles.
Attention : activer la MFA implique d'enrôler chaque utilisateur. Prévoir une période de 7 jours d'enrôlement pendant laquelle la MFA est proposée avant de devenir obligatoire, et communiquer clairement (mail + session de 30 min).
2. Désactiver basic auth sur Exchange Online
Le basic auth — IMAP, POP3, SMTP AUTH, Authenticated SMTP, EWS, Outlook Anywhere — contourne la MFA. Un attaquant qui a obtenu le mot de passe par phishing peut se connecter via ces protocoles legacy même MFA activée.
Microsoft désactive progressivement basic auth depuis 2022, mais beaucoup d'associations ont des exceptions héritées (scanner, imprimante multifonction, ancien CRM). À vérifier :
Dans Microsoft 365 admin center → Settings → Org settings → Modern authentication, décocher tous les protocoles legacy.
Côté Exchange Online, vérifier les Authentication Policies dans le centre d'administration Exchange. PowerShell :
Get-AuthenticationPolicy | Format-List Name, Allow*
# Désactiver basic auth IMAP, POP, SMTP pour tous
$policy = New-AuthenticationPolicy -Name "Block Basic Auth"
Set-OrganizationConfig -DefaultAuthenticationPolicy $policy.IdVérifier les dépendances avant. Si l'imprimante multifonction de l'asso envoie des rapports par email via SMTP AUTH, il faut soit la migrer en SMTP relai (sans auth), soit créer une exception unique pour son IP.
3. Séparer le compte admin du compte courant
Pattern très fréquent dans l'ESS : la directrice utilise son compte personnel (direction@asso.org) qui est aussi le Global Admin. Conséquence : si son compte est compromis par phishing, l'attaquant a aussi les droits Global Admin.
Bonne pratique
- Créer un compte
admin@asso.orgdédié à l'administration, sans licence Exchange (donc sans mail). - Lui donner le rôle Global Admin et MFA obligatoire, idéalement avec une clé FIDO2 physique.
- Retirer le rôle Global Admin du compte courant de la directrice.
- Lui donner à la place le rôle Helpdesk Admin ou User Admin selon ses besoins quotidiens.
Si vous avez moins de 5 personnes : créer au moins 2 comptes Global Admin (pour éviter le verrouillage), tous deux séparés des comptes courants.
4. Mettre en place des Conditional Access policies
Disponible avec Microsoft 365 Business Premium ou supérieur. Trois policies à mettre en place pour une asso :
- "Require MFA for all users" — sauf comptes break-glass.
- "Require MFA for admins" — toujours, sans exception, avec méthode forte (Authenticator ou FIDO2).
- "Block legacy authentication" — protection complémentaire de la désactivation basic auth.
Aller dans Microsoft Entra admin center → Protection → Conditional Access → Policies.
Toujours créer un compte "break-glass" exclu de toutes les Conditional Access policies, avec mot de passe long stocké hors-ligne. C'est le compte qui permet de récupérer l'accès si vous vous bloquez vous-même.
5. Configurer SPF, DKIM, DMARC
Microsoft 365 fournit SPF et DKIM côté technique, mais c'est à l'association de publier les enregistrements DNS et d'activer DKIM dans la console. DMARC est intégralement à faire.
Sujet trop long pour cet article — voir le guide complet DMARC, SPF, DKIM pour une association qui couvre le cas Microsoft 365 spécifiquement.
6. Restreindre le partage externe SharePoint et OneDrive
Par défaut, SharePoint et OneDrive autorisent le partage externe avec "Anyone with the link". Risque : un lien public est partagé par erreur sur Slack ou Twitter et indexé par Google.
Aller dans le SharePoint admin center → Policies → Sharing. Pour une asso, configuration recommandée :
- External sharing : "New and existing guests" — pas "Anyone".
- Default link type : "People with existing access" ou "Specific people".
- Expiration : 30 jours pour les liens externes.
- Domain whitelist si possible : restreindre aux domaines des partenaires connus.
7. Désactiver "Anyone with link" par défaut
Suite du précédent : changer le type de lien par défaut. Quand un utilisateur clique sur "Share" dans Word ou OneDrive, c'est le type "Anyone" qui apparaît préselectionné. Changer ce défaut épargne 80 % des fuites accidentelles.
8. Activer l'audit log et le configurer en rétention 90 jours
L'audit log de Microsoft 365 est désactivé par défaut sur de nombreux tenants anciens. Sans audit log, impossible de répondre à "qui a accédé à ce fichier ?" ou "depuis où s'est connecté ce compte compromis ?" — alors que la donnée existe côté Microsoft, juste pas activée.
Activer via le Microsoft Purview compliance portal → Audit → Start recording user and admin activity. Pour les associations en E3/E5/Business Premium, la rétention par défaut est de 180 jours. Pour Business Standard, c'est 90 jours.
9. Activer Defender for Office 365 (anti-phishing avancé)
Inclus dans Microsoft 365 Business Premium et au-delà. Trois policies à configurer dans le Defender portal :
- Safe Links — réécrit les URLs dans les emails et bloque les sites malveillants au moment du clic.
- Safe Attachments — détonne les pièces jointes dans une sandbox avant livraison.
- Anti-phishing — détecte les tentatives d'usurpation d'identité (impersonation), particulièrement utile contre la fraude au président.
10. Mettre en place une sauvegarde tiers
Microsoft ne sauvegarde pas vos données pour vous. Microsoft garantit la disponibilité du service, pas la récupération en cas de suppression, ransomware ou erreur humaine. Délai de rétention par défaut : 30 à 93 jours selon le type de donnée.
Quelques options pour une asso :
- Synology Active Backup for Microsoft 365 — gratuit si vous avez un NAS Synology.
- Veeam Backup for Microsoft 365 — leader du marché, licence Community gratuite jusqu'à 10 users.
- AvePoint Cloud Backup — tarif nonprofit, simple.
- Dragondisk Backup365 — solution française avec tarif association.
Tester la restauration trimestriellement : une sauvegarde non testée n'existe pas.
11. Procédure d'offboarding écrite
Pattern observé sur 8 audits sur 10 : un ancien salarié ou bénévole a toujours accès à la messagerie ou à SharePoint des mois après son départ.
Checklist d'offboarding M365 (à exécuter le jour J) :
- Désactiver le compte dans Entra (Block sign-in)
- Révoquer toutes les sessions actives (Revoke sessions)
- Réinitialiser le mot de passe
- Retirer la MFA enregistrée
- Transférer la boîte aux lettres au manager (litigation hold ou shared mailbox)
- Transférer OneDrive au manager
- Retirer des groupes Teams / SharePoint / DL
- Retirer la licence (après 30 jours minimum pour rétention)
- Supprimer le compte après 90 jours
12. Surveiller le Microsoft Secure Score mensuellement
Microsoft fournit un Secure Score (/100) dans le Defender portal qui mesure la posture de sécurité de votre tenant et propose des recommandations classées par impact.
Repères :
- 20-30 % : configuration par défaut, beaucoup à faire.
- 40-50 % : MFA + basic auth désactivé. Vous avez fait l'essentiel.
- 60-70 % : top 25 % des structures de votre taille.
- 80 %+ : tenant durci, exigence type CISO.
Objectif raisonnable pour une asso : 50-60 %. Suivre mensuellement : 15 min, et chaque action gagne typiquement 1 à 5 points.
Microsoft for Nonprofits : ce que vous pouvez avoir gratuitement
Le programme Microsoft for Nonprofits offre aux associations éligibles :
| Licence | Tarif public | Tarif nonprofit | Inclut |
|---|---|---|---|
| Business Basic | ~7 € | 0 €/u/mois (10 premiers) | Exchange, Teams, SharePoint web |
| Business Standard | ~13 € | ~3 €/u/mois | + Apps Office desktop |
| Business Premium | ~22 € | ~5 €/u/mois | + Defender, Conditional Access, Intune |
Recommandation 2026 : prendre au moins une licence Business Premium pour la personne qui administre le tenant. Elle ouvre Conditional Access et Defender, qui font la différence sur le score de sécurité réel.
Vérification d'éligibilité : passer par Solidatech (équivalent français de TechSoup) qui valide le statut et redistribue les licences.
Questions fréquentes
Microsoft 365 est-il gratuit pour les associations ?
Oui pour les associations éligibles. Microsoft propose Microsoft 365 Business Basic gratuit (jusqu'à 10 utilisateurs) ou Business Premium à environ 5 €/utilisateur/mois (vs 22 € prix public) via le programme Microsoft for Nonprofits. Vérification d'éligibilité via Solidatech.
Quelle est la première mesure de sécurité à prendre sur Microsoft 365 dans une association ?
Activer la MFA obligatoire pour tous les comptes, via les Security Defaults ou une Conditional Access policy. Cette seule mesure bloque environ 99 % des compromissions de compte selon Microsoft. Configuration : 30 minutes.
Pourquoi désactiver l'authentification basic auth sur Exchange Online ?
Le basic auth (IMAP, POP3, SMTP AUTH, Authenticated SMTP) contourne la MFA. Un attaquant qui a le mot de passe peut se connecter via ces protocoles legacy même MFA activée. Microsoft désactive progressivement basic auth, mais beaucoup d'associations ont des exceptions héritées (imprimante, scanner, ancien CRM).
Qu'est-ce qu'une Conditional Access policy ?
Une règle qui dit : "pour accéder à telle ressource depuis tel emplacement, l'utilisateur doit valider tel facteur". Exemple : exiger MFA pour les comptes admin, bloquer les connexions hors France pour la compta, exiger un appareil géré pour SharePoint. Disponible avec Business Premium et au-delà.
Faut-il sauvegarder Microsoft 365 séparément ?
Oui. Microsoft applique le modèle de responsabilité partagée : ils garantissent la disponibilité, vous êtes responsable de vos données. Microsoft conserve 30 à 93 jours après suppression. Pour une vraie sauvegarde anti-ransomware, utiliser un outil tiers (Veeam Community, Synology, AvePoint).
Combien coûte une licence Microsoft 365 pour une association ?
Via Microsoft for Nonprofits : Business Basic à 0 €/u/mois (limité), Business Standard à ~3 €/u/mois, Business Premium à ~5 €/u/mois. Tarifs 2026 à vérifier sur le site Microsoft for Nonprofits.
Comment savoir si mon Microsoft 365 est correctement sécurisé ?
Microsoft fournit le Secure Score dans le Defender Portal : un score /100 avec recommandations classées par impact. Objectif raisonnable pour une association : 50-60 %. Au-dessus de 70 %, vous êtes dans le top 25 % des structures de votre taille.
Pour aller plus loin
- Panorama cybersécurité ESS — baromètre 2026 : 35 audits, vulnérabilités observées, guide pratique.
- Diagnostic cybersécurité ESS : auto-évaluation 3 minutes.
- Guide DMARC, SPF, DKIM pour une association
- Microsoft Learn — Sécurité et conformité Microsoft 365
- ANSSI — Guide d'hygiène informatique
- Cybermalveillance.gouv.fr — Diag Cyber Asso