Le téléphone sonne à 6h42. Un DG affolé : “On pense qu’on a été piratés, plus personne n’a accès à ses mails, on ne sait pas si les données ont fuité.” Le système tourne sur Microsoft 365. Aucune sauvegarde externe. Aucun SOC. Aucun plan de réponse incident. Et une équipe IT en état de sidération.
Ce n’est pas une fiction. C’est ce que j’ai vécu chez un client industriel, il y a quelques mois. Une PME rentable, moderne en apparence, mais sans gouvernance sécurité. Et c’est loin d’être un cas isolé.
Microsoft 365 est devenu la colonne vertébrale de nombreuses entreprises. Email, fichiers, SharePoint, Teams, OneDrive… tout passe par cette suite cloud. Mais ce que peu comprennent, c’est que Microsoft ne sécurise pas vos usages. Il fournit l’outil. Pas la forteresse.
Quand j’interviens en contexte de crise, mon rôle est clair : reprendre le contrôle rapidement, sans paralyser l’activité. Et pour Microsoft 365, cela passe par une méthodologie précise, éprouvée, et surtout… pragmatique.
Premier réflexe : couper les ponts là où c’est vital.
Je commence toujours par forcer une réinitialisation des mots de passe administrateurs, désactiver les connexions suspectes, suspendre temporairement les sessions non maîtrisées. J’active immédiatement l’audit log s’il ne l’était pas. L’objectif : stopper l’hémorragie avant de chercher les causes.
Deuxième étape : reprendre la main sur les accès.
Trop d’entreprises laissent des comptes inactifs ouverts, des prestataires avec droits admin, ou des règles de transfert automatique d’email non contrôlées. J’établis une cartographie des comptes à risque, je désactive tout ce qui n’est pas documenté. Pas de place pour la complaisance.
Troisième étape : renforcer la double authentification (MFA).
Cela devrait être activé partout. En réalité, seuls 30 % de mes clients en mission l’ont déployée correctement. Je rends le MFA obligatoire pour les comptes critiques, puis je généralise progressivement avec pédagogie. C’est l’un des gestes les plus simples, les plus efficaces.
Quatrième étape : activer la protection avancée contre les menaces.
Microsoft 365 propose Defender for Office, qui permet de bloquer les pièces jointes suspectes, les liens malveillants, les comportements anormaux. Encore faut-il l’activer, le configurer, et former les équipes à l’utiliser. Trop souvent, ces fonctionnalités sont présentes dans la licence… mais jamais exploitées.
Cinquième étape : revoir les permissions sur SharePoint et OneDrive.
J’ai vu des dossiers RH partagés avec toute l’entreprise. Des fichiers sensibles accessibles depuis des connexions personnelles. Je mets en place un modèle de gouvernance : documents classifiés, règles de partage externe, droits selon rôles métiers. C’est fastidieux mais structurant.
Sixième étape : vérifier la chaîne de sauvegarde.
Contrairement à ce que beaucoup croient, Microsoft n’assure pas une vraie restauration de données à long terme. Je recommande systématiquement l’ajout d’une solution tierce de sauvegarde pour Microsoft 365 (type Veeam, AvePoint, Acronis…). Et j’effectue un test de restauration dès la première semaine.
Septième étape : communiquer clairement avec les utilisateurs.
Une crise cyber est anxiogène. Mais le silence ou la désinformation sont encore pires. Je rédige un message officiel de la direction expliquant la situation, les mesures prises, et les bons réflexes à adopter. Je forme les équipes à repérer les attaques par phishing et je les implique dans le plan de remédiation.
Enfin, je prépare le plan de sortie de crise et de durcissement.
Une fois le calme revenu, je construis une feuille de route sécurité adaptée à l’organisation : revue des licences, formation du RSSI ou du DSI, structuration du pilotage IT, mise en place d’indicateurs de résilience. Une crise ne doit jamais être simplement “réglée”. Elle doit être le point de départ d’une maturité nouvelle.
Résultat ?
En moins de 10 jours, l’entreprise a retrouvé un usage sécurisé de Microsoft 365. Les comptes ont été repris, les accès filtrés, le partage documentaire contrôlé. Le COMEX a découvert, un peu brutalement, la réalité des risques cyber. Mais il a aussi compris l’utilité stratégique d’une gouvernance IT solide.
Ce que je retiens de cette intervention, comme de tant d’autres, c’est que la complexité apparente cache des gestes simples. On peut sécuriser vite et bien – à condition d’avoir le sang-froid, l’expérience, et la lucidité nécessaire.
Un DSI de transition n’est pas là pour ajouter des couches de technologie.
Il est là pour redonner de la confiance, de la lisibilité, de la sécurité. Même – et surtout – en temps de crise.
En savoir plus sur GDL T&C
Subscribe to get the latest posts sent to your email.