Paramètres de sécurité Microsoft 365 que chaque PME canadienne devrait activer dès aujourd'hui
Sécurisez votre environnement Microsoft 365 avec ces paramètres essentiels. Un guide pratique pour les PME canadiennes afin de prévenir les atteintes à la protection des données et respecter la conformité.
La création de la bonne pile technologique est la clé
Ce n'est pas la raison pour laquelle il y a eu plusieurs crues et des signes de dignité qui ont été utilisés. Une grande quantité de vitae pulvérisée libère de l'urine et une forte augmentation de la fréquence de la vie et de la forte augmentation de la vitesse de fermentation, ce qui entraîne une forte augmentation de la charge de travail et de fermentation, une augmentation de la vitesse de vie et de la perte de vie, de même que le prix de la vie, le prix de la vie ou la perte de vie ce n'est pas tout de même un groupe de personnes turpites.
- Les nouveaux sodaux sont également à l'origine de la présence d'un facteur de non-épuration et d'incurie
- L'élitivisme éclipant tout en purant les suspensions viverra est puissante
- Mauris commodo que la masse imperdiète ne s'est pas envenimée
- Excepté le fait de ne pas avoir de cupidatat n'est pas présent dans la coupe qui officia
Comment choisir la bonne pile technologique pour votre entreprise ?
Il n'y a pas d'autre chose à faire en sorte que les deux parties se trouvent dans le même temps que le patient est placé sous la forme d'un manoir à la fois sur le dos, et que la vie convallienne est toujours en train de se laisser aller jusqu'à la fin de la nuit et de la mort. il n'y a pas d'orques qui ont été blanchies et qui ne sont pas en train de se dégagent de la même façon que les deux autres sont décelés et qu'ils ne sont pas en mesure d'obtenir de la puissance de la main ou de la couleur.
Que faut-il prendre en compte lors du choix de la bonne pile technologique ?
En cas de crise de la vie, il s'agit d'un nombre entier de cellules fécondantes qui ne sont pas le même pour le tortor de la sagitte ou le scelerisque purus qui se trouve toujours à la lecture de l'urine de la convalle.
- Les nouveaux sodaux sont également à l'origine de la présence d'un facteur de non-épuration et d'incurie
- Adipisser l'élite pour tout ce qui est plus ou moins important de suspendre le potentiel
- Mauris commodo que la masse imperdiète ne s'est pas envenimée
- Adipisser l'élite pour tout ce qui est plus ou moins important de suspendre le potentiel
« Le vestibule est un facteur qui permet de déceler la puissance de l'eau ou de la morbidité de l'arc, qui est tout à fait déformé par le fait même. »
Quels sont les facteurs les plus pertinents à prendre en compte ?
Lorem cras a été malmené à la fois et n'a pas été enroulé dans une cour où la voiture a été sollicitée. Il y a une certaine quantité de vitae dans le cas de la bande portante et de la parturiente portante nulle dans ce genre de mode de fonctionnement. Il s'agit là d'un élément important qui peut être considéré comme le plus grand faucibus qui a fait naître un nombre entier de cursus non luctuels non lucifs et ne peut pas être considéré comme un sujet de vie ou de contrecœur.
Quel type de technologie utilisons-nous chez Simpletech ?
Il y a des couleurs vives qui ne laissent pas d'eau et d'huile de grenouille à la volée et à l'air comprimé, à la fois de la même façon, à l'aide d'une grande quantité d'eau, de tortures et de tortures, sans aucune installation ni aucune autre forme d'adjonction. la lecture de l'arc peut donner lieu à une grande quantité de faucibus bibendum et à divers endroits ou à des pharetres qui peuvent être considérés comme des êtres humains.
Votre compte Microsoft 365 est probablement moins sécuritaire que vous le pensez
Microsoft 365 est l'épine dorsale de la plupart des petites et moyennes entreprises canadiennes. Courriel, stockage de fichiers, collaboration, calendriers, appels vidéo — tout passe par l'écosystème infonuagique de Microsoft. Plus de 80 % des PME canadiennes utilisent une combinaison d'Outlook, Teams, SharePoint et OneDrive pour leurs opérations quotidiennes.
Voici le problème : la plupart des entreprises déploient Microsoft 365 avec ses paramètres par défaut et n'y reviennent jamais. Ces paramètres par défaut privilégient la commodité plutôt que la sécurité. Ils laissent des portes ouvertes que les cybercriminels savent exactement comment exploiter — et ils le font, sans relâche. Les comptes Microsoft 365 compromis sont l'un des points d'entrée les plus courants dans les attaques par courriel d'affaires compromis, qui coûtent des milliards aux organisations à l'échelle mondiale chaque année.
La bonne nouvelle ? Microsoft 365 inclut des fonctionnalités de sécurité puissantes à chaque niveau d'abonnement. La plupart d'entre elles n'ont qu'à être activées. Ce guide accompagne les propriétaires de PME canadiennes et les gestionnaires TI à travers les paramètres de sécurité les plus percutants que vous devriez activer dès aujourd'hui — aucun budget d'entreprise ou équipe de sécurité dédiée n'est requis.
Authentification multifacteur : le paramètre le plus important
Si vous ne faites qu'une seule chose après avoir lu cet article, activez l'authentification multifacteur (AMF) pour chaque utilisateur de votre organisation. L'AMF exige que les utilisateurs vérifient leur identité avec un deuxième facteur — généralement un code de l'application Microsoft Authenticator ou un message texte — en plus de leur mot de passe.
Les propres recherches de Microsoft confirment que l'AMF bloque plus de 99,9 % des attaques automatisées de compromission de comptes. Sans elle, un seul mot de passe volé ou deviné donne à un attaquant un accès complet au courriel, aux fichiers et à tout ce qui est connecté à ce compte.
Comment activer l'AMF dans Microsoft 365
Naviguez vers le centre d'administration Microsoft 365, puis allez à Utilisateurs > Utilisateurs actifs > Authentification multifacteur. De là, vous pouvez activer l'AMF pour des utilisateurs individuels ou en masse. Pour la protection la plus robuste, utilisez les paramètres de sécurité par défaut (sous Azure Active Directory > Propriétés > Gérer les paramètres de sécurité par défaut), qui imposent l'AMF à tous les utilisateurs et bloquent simultanément les protocoles d'authentification hérités.
Pour les entreprises avec Microsoft 365 Business Premium ou supérieur, les politiques d'accès conditionnel offrent un contrôle plus granulaire — exigeant l'AMF seulement à partir d'emplacements non fiables ou d'appareils inconnus, par exemple. Mais les paramètres de sécurité par défaut constituent le bon point de départ pour la plupart des PME et ne coûtent rien de plus.
Note importante : exigez l'application Microsoft Authenticator plutôt que les codes par SMS. Les attaques par échange de carte SIM peuvent intercepter les messages textes, mais l'authentification par application est beaucoup plus résistante à l'interception.
Désactiver les protocoles d'authentification hérités
Les protocoles d'authentification hérités — POP3, IMAP et les anciennes versions d'Exchange ActiveSync — ne prennent pas en charge l'AMF. Les cybercriminels le savent. Ils ciblent spécifiquement ces protocoles pour contourner entièrement votre application de l'AMF.
Si vous avez activé les paramètres de sécurité par défaut à l'étape précédente, l'authentification héritée est déjà bloquée. Si vous utilisez plutôt l'accès conditionnel, créez une politique qui bloque explicitement l'authentification héritée pour tous les utilisateurs. Vous pouvez vérifier si des protocoles hérités sont utilisés dans votre locataire en consultant les journaux de connexion Azure AD et en filtrant par type d'application cliente.
Certains clients de courriel et appareils plus anciens pourraient cesser de fonctionner après ce changement. C'est justement le but — ces clients sont des vulnérabilités de sécurité. Migrez les utilisateurs récalcitrants vers Outlook bureau, Outlook mobile ou Outlook sur le web avant d'effectuer le changement.
Configurer l'authentification des courriels : SPF, DKIM et DMARC
L'usurpation de courriel — où les attaquants envoient des courriels qui semblent provenir de votre domaine — est une pierre angulaire de l'hameçonnage et de la compromission de courriel d'affaires. Trois enregistrements DNS complémentaires protègent votre domaine contre l'usurpation d'identité :
SPF (Sender Policy Framework) indique aux serveurs de courriel récepteurs quels serveurs sont autorisés à envoyer des courriels au nom de votre domaine. Microsoft 365 fournit un enregistrement SPF spécifique à ajouter à vos paramètres DNS. Sans SPF, n'importe qui peut envoyer des courriels semblant provenir de votre domaine.
DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à vos courriels sortants, prouvant qu'ils n'ont pas été falsifiés en transit. Activez DKIM dans le portail Microsoft 365 Defender sous Courriel et collaboration > Politiques et règles > Politiques contre les menaces > DKIM.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) lie SPF et DKIM ensemble et indique aux serveurs récepteurs quoi faire avec les courriels qui échouent l'authentification — les mettre en quarantaine, les rejeter ou simplement surveiller. Commencez avec une politique de surveillance (p=none), examinez les rapports et resserrez progressivement vers p=quarantine puis éventuellement p=reject.
Ensemble, ces trois enregistrements réduisent considérablement la possibilité que quelqu'un usurpe l'identité de votre entreprise par courriel — protégeant vos clients, votre réputation et votre équipe contre les messages frauduleux. Si votre domaine n'a pas les trois configurés, cela devrait être une priorité cette semaine.
Activer la journalisation d'audit des boîtes de courriel
La journalisation d'audit des boîtes de courriel suit qui accède à chaque boîte de courriel et quelles actions sont effectuées — lecture de courriels, suppression de messages, création de règles de transfert, et plus encore. Ces données sont inestimables lors d'une enquête sur un incident et sont souvent exigées par les souscripteurs d'assurance cybernétique et les auditeurs de conformité.
Microsoft a activé la journalisation d'audit par défaut pour la plupart des locataires depuis 2019, mais il vaut la peine de vérifier. Dans le portail de conformité Microsoft Purview, naviguez vers Audit et confirmez que l'audit est actif pour votre organisation. Pour les boîtes de courriel individuelles, vous pouvez vérifier avec PowerShell en utilisant Get-Mailbox -Identity utilisateur@domaine.com | Format-List AuditEnabled.
En vertu de la LPRPDE et des lois provinciales sur la protection de la vie privée au Canada, le maintien de pistes de vérification de l'accès aux renseignements personnels n'est pas seulement une bonne pratique — cela soutient votre capacité à enquêter et à signaler les atteintes dans les délais de notification obligatoires. Canada Breaches recense les incidents où une journalisation inadéquate a retardé la détection et la réponse aux atteintes, aggravant les dommages.
Examiner et restreindre les règles de transfert de courriel
L'une des premières choses que font les attaquants après avoir compromis un compte Microsoft 365 est de créer une règle de transfert de boîte de réception. Cela copie silencieusement tous les courriels entrants vers une adresse externe, donnant à l'attaquant un accès persistant aux communications confidentielles même après le changement du mot de passe.
Pour prévenir cela, désactivez le transfert externe automatique au niveau du locataire. Dans le centre d'administration Exchange, allez à Flux de courriel > Domaines distants > Par défaut et réglez le transfert automatique sur Désactivé. Cela empêche tout utilisateur — ou tout attaquant contrôlant le compte d'un utilisateur — de configurer des règles de transfert externe.
De plus, vérifiez les règles de transfert existantes dans toutes les boîtes de courriel. Dans Exchange Online PowerShell, exécutez Get-Mailbox -ResultSize Unlimited | Get-InboxRule | Where-Object {$_.ForwardTo -or $_.ForwardAsAttachmentTo -or $_.RedirectTo} | Format-Table MailboxOwnerId, Name, ForwardTo. Toute règle de transfert inattendue devrait faire l'objet d'une enquête immédiate — elle pourrait indiquer un compte compromis.
Configurer les politiques anti-hameçonnage dans Microsoft Defender
Les abonnements Microsoft 365 Business Premium et E5 incluent Microsoft Defender pour Office 365, qui offre des capacités anti-hameçonnage avancées au-delà du filtrage de pourriels de base.
Dans le portail Microsoft 365 Defender, naviguez vers Courriel et collaboration > Politiques et règles > Politiques contre les menaces > Anti-hameçonnage. Configurez les éléments suivants :
- Protection contre l'usurpation d'identité : Ajoutez vos cadres, les membres de l'équipe des finances et les fournisseurs clés à la liste des utilisateurs protégés. Defender signalera les courriels qui tentent d'usurper l'identité de ces personnes.
- Intelligence de boîte de courriel : Activez cette fonctionnalité pour apprendre les habitudes de communication de chaque utilisateur et signaler les expéditeurs anormaux.
- Intelligence d'usurpation : Examinez et gérez quels expéditeurs externes sont autorisés à envoyer au nom de votre domaine.
- Conseils de sécurité : Activez tous les conseils de sécurité pour que les utilisateurs voient des avertissements lorsque des courriels proviennent d'expéditeurs contactés pour la première fois, de domaines externes ou d'identités usurpées.
Même avec des contrôles techniques robustes, des courriels d'hameçonnage atteindront occasionnellement les boîtes de réception. C'est pourquoi jumeler ces paramètres avec une formation continue en sensibilisation à la sécurité et des simulations d'hameçonnage est essentiel — la technologie et les employés formés ensemble forment une défense beaucoup plus solide que l'un ou l'autre seul.
Activer les pièces jointes sécurisées et les liens sécurisés
Également inclus dans Microsoft Defender pour Office 365, les pièces jointes sécurisées ouvrent les pièces jointes des courriels dans un environnement isolé avant de les livrer, désamorçant tout contenu malveillant avant qu'il n'atteigne l'utilisateur. Les liens sécurisés réécrivent les URL dans les courriels et les documents Office, les vérifiant au moment du clic contre la base de données de renseignements sur les menaces de Microsoft.
Activez les deux dans la section Politiques contre les menaces du portail Defender. Pour les pièces jointes sécurisées, sélectionnez le mode Livraison dynamique, qui livre le corps du courriel immédiatement tout en analysant la pièce jointe — minimisant les perturbations du flux de travail tout en maintenant la protection.
Ces fonctionnalités sont particulièrement importantes pour les entreprises canadiennes qui traitent des données financières ou personnelles sensibles. Une seule pièce jointe malveillante peut déployer un rançongiciel à travers votre réseau en quelques minutes, et Canada Breaches documente régulièrement des incidents qui ont commencé exactement par ce vecteur.
Restreindre l'accès administrateur et appliquer le moindre privilège
Combien d'administrateurs généraux votre locataire Microsoft 365 compte-t-il ? Si la réponse est plus de deux ou trois, vous avez un problème. Chaque compte d'administrateur général est une cible de grande valeur pour les attaquants — en compromettre un donne le contrôle complet sur tout votre environnement.
Vérifiez vos rôles d'administration dans le centre d'administration Microsoft 365 sous Rôles > Attributions de rôles. Appliquez le principe du moindre privilège : les utilisateurs ne devraient avoir que les permissions nécessaires pour faire leur travail. Quelqu'un qui gère SharePoint n'a pas besoin de droits d'administrateur général. Quelqu'un qui réinitialise les mots de passe peut être un administrateur du service d'assistance à la place.
Pour les comptes d'administrateur général que vous maintenez, assurez-vous qu'ils ont l'AMF activée, utilisent des mots de passe uniques et robustes, et ne sont pas utilisés pour le courriel ou la navigation quotidienne. Idéalement, créez des comptes d'administration dédiés séparés des comptes d'utilisateurs réguliers — pour que votre administrateur se connecte avec admin@votredomaine.com seulement lors de tâches administratives, pas avec sa boîte de courriel quotidienne.
Activer le journal d'audit unifié et les politiques d'alerte
Le journal d'audit unifié capture l'activité à travers Exchange, SharePoint, OneDrive, Teams et Azure AD dans un seul emplacement interrogeable. C'est votre preuve judiciaire en cas d'incident et votre piste de conformité à des fins réglementaires.
Vérifiez qu'il est activé dans le portail de conformité Microsoft Purview sous Audit. Ensuite, configurez les politiques d'alerte (sous Politiques > Politiques d'alerte) pour vous notifier automatiquement de toute activité suspecte. Les alertes clés à activer incluent un volume inhabituel de suppressions de fichiers, le partage externe de documents sensibles, la création de règles de transfert de boîte de courriel, l'élévation de privilèges d'administration et les connexions depuis des emplacements inhabituels ou des schémas de déplacement impossibles.
Ces alertes transforment votre environnement Microsoft 365 d'un système passif en une plateforme de surveillance active qui signale les compromissions potentielles en temps réel — sans nécessiter un centre d'opérations de sécurité dédié.
Sécuriser les paramètres de partage SharePoint et OneDrive
Les paramètres de partage par défaut dans SharePoint et OneDrive sont souvent beaucoup trop permissifs. Examinez-les et resserrez-les dans le centre d'administration SharePoint sous Politiques > Partage.
Réglez le partage externe au niveau le plus restrictif que votre entreprise peut tolérer. Pour la plupart des PME, « Invités nouveaux et existants » (nécessitant une connexion) est le bon équilibre entre collaboration et sécurité. Désactivez les liens « Tout le monde » — ceux-ci créent des liens d'accès non authentifiés qui peuvent être transférés à n'importe qui.
Établissez des politiques d'expiration des liens pour que les liens partagés expirent automatiquement après une période définie. Activez les demandes d'accès pour que les utilisateurs doivent demander des permissions de partage plutôt que de les accorder unilatéralement. Et examinez périodiquement les liens partagés existants pour identifier et révoquer les accès périmés ou inutiles.
Les données partagées à l'externe sans contrôle sont des données sur lesquelles vous avez perdu la visibilité. Pour les entreprises canadiennes ayant des obligations en vertu de la LPRPDE de protéger les renseignements personnels, le partage incontrôlé est un risque de conformité autant qu'un risque de sécurité.
Créer une base de référence en sécurité et réviser trimestriellement
Microsoft fournit le score de sécurité — un outil intégré d'évaluation de la posture de sécurité accessible dans le portail Microsoft 365 Defender. Le score de sécurité évalue votre configuration actuelle par rapport aux recommandations de sécurité de Microsoft et fournit un score numérique avec des actions d'amélioration priorisées.
Vérifiez votre score de sécurité aujourd'hui et documentez-le comme votre base de référence. Ensuite, engagez-vous à le réviser trimestriellement en mettant en œuvre les recommandations à plus fort impact à chaque cycle. La plupart des entreprises peuvent améliorer leur score de sécurité de 30 à 50 % au premier trimestre simplement en activant les paramètres décrits dans cet article.
Le score de sécurité est aussi de plus en plus référencé par les assureurs cybernétiques canadiens lors de la souscription. Un historique documenté d'amélioration de la posture de sécurité renforce votre position de négociation pour de meilleures conditions de couverture et des primes plus avantageuses. Plusieurs forfaits Sonark complètent ces paramètres techniques avec la couche humaine — en formant votre équipe à reconnaître les menaces qui contournent même les systèmes bien configurés.
Ne vous arrêtez pas aux paramètres — formez aussi votre équipe
Configurer les paramètres de sécurité de Microsoft 365 est essentiel, mais ce n'est que la moitié de l'équation. Le locataire le plus sécurisé au monde peut quand même être compromis si un employé entre ses identifiants sur une page d'hameçonnage ou partage des fichiers sensibles avec la mauvaise personne.
Les contrôles techniques et la sensibilisation humaine fonctionnent ensemble. L'AMF bloque les attaques automatisées ; les employés formés bloquent l'ingénierie sociale sophistiquée. Les liens sécurisés bloquent les URL malveillantes connues ; la formation en sensibilisation aide les gens à reconnaître les URL suspectes qui n'ont pas encore été répertoriées.
La plateforme de sensibilisation à la sécurité de Sonark est conçue spécifiquement pour les PME canadiennes et s'intègre harmonieusement à votre environnement Microsoft 365 — offrant des simulations d'hameçonnage, des modules de formation concis, la surveillance du web opaque et des rapports de conformité dans une seule plateforme.
Sécurisez votre environnement Microsoft 365 cette semaine
Chaque paramètre décrit dans ce guide peut être mis en œuvre en quelques heures. Vous n'avez pas besoin d'un consultant. Vous n'avez pas besoin d'un budget d'entreprise. Vous avez besoin de quelqu'un avec un accès administrateur, ce guide et un engagement à protéger votre entreprise et les données de vos clients.
Commencez par l'AMF. Ensuite, désactivez l'authentification héritée. Configurez SPF, DKIM et DMARC. Restreignez les règles de transfert. Examinez l'accès administrateur. Vérifiez votre score de sécurité. Chaque étape réduit significativement votre surface d'attaque.
Prêt à jumeler ces mesures de renforcement technique avec un programme de sensibilisation à la sécurité qui forme votre équipe à reconnaître ce que la technologie manque ? Contactez Sonark dès aujourd'hui pour discuter d'une stratégie de sécurité complète pour votre PME canadienne — parce que la configuration de sécurité Microsoft 365 la plus robuste est celle soutenue par des employés qui savent quoi surveiller.