Sécurité du compte M365 — MFA, sessions et phishing
La sécurité des comptes M365 est critique : un compte compromis donne accès aux emails, fichiers, Teams et potentiellement au réseau entier de l'entreprise. Cette leçon couvre les protections essentielles que tout technicien helpdesk doit maîtriser.
L'authentification multifacteur (MFA)
Le MFA (Multi-Factor Authentication) ajoute une deuxième vérification en plus du mot de passe. Même si le mot de passe est volé, l'attaquant ne peut pas se connecter sans le deuxième facteur.
Méthodes MFA disponibles dans M365 :
- Microsoft Authenticator (application mobile) : notification push ou code TOTP — méthode recommandée
- SMS : code envoyé par SMS — pratique mais moins sécurisé (SIM swapping)
- Appel téléphonique : appel avec touche à presser
- Clé de sécurité FIDO2 : clé physique USB ou NFC (niveau maximum de sécurité)
Configurer le MFA pour un utilisateur :
- L'admin active le MFA depuis admin.microsoft.com → Utilisateurs → authentification multifacteur
- L'utilisateur est invité à configurer son deuxième facteur à la prochaine connexion
- Il télécharge Microsoft Authenticator sur son smartphone
- Il scanne le QR code affiché → son compte est ajouté dans l'app
Mots de passe d'application
Certaines applications plus anciennes (Outlook 2010, protocoles IMAP) ne supportent pas le MFA moderne. Pour ces cas, M365 génère des mots de passe d'application : des mots de passe longs et aléatoires, à usage unique, qui contournent le MFA pour cette application spécifique.
Chemin : Mon compte M365 → Informations de sécurité → Ajouter une méthode → Mot de passe d'application
Gérer les sessions actives
Un utilisateur peut voir et révoquer toutes ses sessions actives depuis : Mon compte M365 (myaccount.microsoft.com) → Informations de sécurité → Gérer les sessions
ou plus détaillé : myaccount.microsoft.com → → liste de tous les appareils connectés