:strip_exif()/reboot/media/f3d3e950-bb88-11ea-96d9-0242ac130004/c5f047d8-f817-11ea-95f1-0242ac130004/0-0-logo-epx-informatique-white.png "✔️ PME et comptes Microsoft 365: arrêter le partage sauvage"){kind=logo}
:strip_exif()/reboot/media/f3d3e950-bb88-11ea-96d9-0242ac130004/c5f047d8-f817-11ea-95f1-0242ac130004/0-0-logo-epx-informatique-white.png "✔️ PME et comptes Microsoft 365: arrêter le partage sauvage"){kind=logo}
/reboot/media/f3d3e950-bb88-11ea-96d9-0242ac130004/13979eba-c61b-11f0-b41d-7662b2f092c6/1-1-pme-et-comptes-microsoft-365-arreter-le-partage-sauvage.png)
PME et comptes Microsoft 365: arrêter le partage sauvage
Dans un nombre inquiétant de PME franciliennes, les comptes Microsoft 365 se partagent encore comme des clés USB. Comptabilité, direction, parfois même RH: tout le monde tape le même mot de passe. Il est temps de reprendre la main sur la sécurité des comptes sans bloquer le quotidien.
Le faux confort des comptes partagés dans Microsoft 365
On connaît le scénario par coeur: une licence Office 365 « Direction@ », un mot de passe communiqué par mail ou post‑it, et une poignée de collaborateurs qui l’utilisent pour tout faire. Pratique sur le moment, désastreux à moyen terme.
Ce qui se cache derrière un simple compte partagé
- Impossibilité de tracer qui a fait quoi et quand
- Mot de passe rarement changé, souvent réutilisé ailleurs
- Risque maximal en cas de départ conflictuel d’un collaborateur
- Blocage de l’authentification multifacteur (MFA) ou mise en place bancale
Lorsqu’un compte unique sert à accéder à la messagerie, à OneDrive, à SharePoint et parfois à des applications métiers, la moindre compromission devient un incident majeur. Les mauvaises pratiques de messagerie cloud ont ici un écho très concret.
L’illusion de la « petite entreprise pas intéressante »
L’argument revient sans cesse en Île‑de‑France: « Nous ne sommes qu’une TPE, qui voudrait nous attaquer ? ». Les statistiques disent autre chose. Les rapports annuels de Cybermalveillance.gouv.fr montrent que les PME et collectivités locales sont devenues des cibles de choix, justement parce qu’elles sont mal protégées.
Un compte Microsoft 365 réutilisé sur plusieurs services externes, c’est un billet d’entrée potentiel pour un rançongiciel, un détournement de factures ou un simple vol de données.
Repenser l’usage des comptes: individuel d’abord, partagé ensuite
Avant de parler d’outils, il faut remettre de l’ordre conceptuellement. Un compte Microsoft 365 n’est pas un « badge » interchangeable, c’est une identité numérique professionnelle.
Principe n°1: un compte = une personne
Pour la majorité des collaborateurs, la règle doit être binaire: un utilisateur, un compte nominatif, un mot de passe unique, une authentification multifacteur configurée. Point.
- Les boîtes génériques (contact@, compta@, rh@) doivent être des boîtes partagées, pas des comptes avec mot de passe transmis
- Les accès temporaires (stagiaires, prestataires) doivent avoir des comptes dédiés, avec dates de fin claires
- Les comptes d’anciens collaborateurs doivent être systématiquement désactivés, puis supprimés selon une procédure définie
Ce principe est cohérent avec une gestion propre d’Active Directory et des identités, même si vous n’avez pas encore de SSO sophistiqué.
Principe n°2: séparer identité, droits et licences
Une PME confond souvent les trois:
- Identité: le compte utilisateur (prenom.nom@entreprise.fr)
- Droits: appartenance à des groupes (Comptabilité, Direction, Projet X)
- Licences: ce pour quoi on paye: Microsoft 365 Business, Exchange Online, etc.
En séparant mentalement ces couches, on simplifie énormément les choses. Quand un collaborateur arrive ou change de poste, on modifie ses droits et éventuellement sa licence, pas son identité.
Sécuriser concrètement les comptes Microsoft 365
La documentation officielle de Microsoft regorge de bonnes pratiques, mais rarement adaptées au niveau de maturité d’une PME de 30 ou 80 postes. Voici une trajectoire réaliste.
Étape 1: reprendre le contrôle des mots de passe
- Appliquer une politique minimale: longueur suffisante, renouvellement raisonné, pas de réutilisation évidente
- Déployer un gestionnaire de mots de passe d’entreprise (et arrêter les fichiers Excel) en s’inspirant de vos réflexions sur le gestionnaire de mots de passe
- Former vraiment les utilisateurs: pas une slide ennuyeuse, mais des exemples concrets d’arnaques reçues par la société
La ANSSI propose un guide clair sur les mots de passe, mais il faut l’incarner dans votre contexte: quels comptes sont critiques pour vous, ici, maintenant ?
Étape 2: activer une MFA supportable par vos utilisateurs
L’authentification multifacteur est devenue un standard. Pourtant, trop de PME l’évitent par peur du blocage. C’est un mauvais calcul.
- Commencer par les comptes sensibles: direction, comptabilité, administrateurs
- Privilégier les applications d’authentification plutôt que les SMS, plus fragiles
- Prévoir des procédures de secours (perte de téléphone, départ en déplacement, etc.)
- Intégrer la MFA dans les scénarios de support utilisateur et assistance informatique
Le jour où quelqu’un tentera vraiment de se connecter depuis un pays exotique à 3 h du matin, vous serez heureux d’avoir passé cette étape avant.
Étape 3: nettoyer et structurer les boîtes partagées
C’est le chantier ingrat, mais crucial.
- Recenser toutes les adresses « fonctionnelles » encore utilisées comme comptes
- Créer les boîtes partagées correspondantes et migrer progressivement les mails
- Attribuer les permissions par groupe (Service Compta, Service ADV) plutôt qu’utilisateur par utilisateur
- Documenter qui a accès à quoi et pourquoi, noir sur blanc
Oui, c’est du travail. Oui, certains râleront. Mais vous récupérez enfin une vision claire de vos flux de messagerie, indispensable pour renforcer la sauvegarde et la supervision.
Un cas typique en Île‑de‑France: la compta sous licence unique
Scène vue mille fois en région parisienne: une PME de 25 personnes, deux collaboratrices en comptabilité, un expert‑comptable externe.
- Un seul compte Microsoft 365 « compta@entreprise.fr », mot de passe partagé par tout le monde
- Accès au logiciel de gestion Sage via ce même compte, utilisé parfois depuis un PC personnel en télétravail
- Aucune MFA, aucune traçabilité
Dans cette configuration, une simple compromission par phishing sur la boîte « compta@ » permettrait:
- De rediriger discrètement certaines factures
- De récupérer des IBAN fournisseurs
- De diffuser ensuite des mails frauduleux parfaitement crédibles au nom de la société
La solution réaliste:
- Deux comptes nominatifs avec licences adaptées
- Une boîte partagée « compta@ » consultable par les deux
- Accès Sage via comptes individuels, avec droits propres
- MFA activée, processus de validation des paiements à quatre yeux
Rien de révolutionnaire, mais un changement de posture radical.
Redonner à la DSI (ou au prestataire) son rôle de garde‑fou
Le plus difficile, au fond, n’est pas technique. C’est d’accepter que la gestion des comptes Microsoft 365 n’est pas une bricole qu’on délègue au plus « à l’aise avec l’informatique » dans l’entreprise.
Il faut un pilote: DSI interne, responsable IT, ou prestataire d’infogérance qui connaît votre parc et votre métier. C’est ce regard extérieur, un peu têtu, qui vous rappellera qu’un compte partagé de plus, même « temporaire », n’est jamais anodin.
À l’heure où votre messagerie, vos fichiers, votre téléphonie IP et bientôt votre facturation électronique convergent sur la même identité numérique, fermer les yeux sur ces bricolages n’est plus une option sérieuse. Autant régler le problème maintenant, tant que vous avez encore la main.
/reboot/media/f3d3e950-bb88-11ea-96d9-0242ac130004/80f7e5cc-3277-11ed-a1b8-0242ac14000b/1-1-2882630-jpg.jpg)
/reboot/media/f3d3e950-bb88-11ea-96d9-0242ac130004/e07ff6b6-a3a1-11ec-82ed-0242ac140006/1-1-q7h8lveugfu-jpg.jpg)
/reboot/media/f3d3e950-bb88-11ea-96d9-0242ac130004/d67734f6-c11f-11ef-9394-0242ac120013/1-1-apple-logo-on-blue-surface-bigpii04uig.jpg){kind=logo}