Je vais être direct : sur les PME qu'on audite, Microsoft 365 est presque toujours mal administré. Pas inutilisé — l'outil tourne, les gens envoient leurs mails, partagent leurs docs sur SharePoint, font leurs réunions Teams. Mais derrière, côté config, c'est souvent l'équivalent informatique d'un appartement jamais rangé depuis l'emménagement.
Je ne parle pas de gros bugs ni de catastrophes. Je parle de petits trucs qui s'accumulent et qui, au bout de trois ans, coûtent cher ou laissent des portes grandes ouvertes.
Les licences zombies
C'est le premier truc qu'on regarde. Et c'est aussi celui qui fait grincer les dents quand on montre la facture à jour.
Exemple récent : une boîte de 42 personnes dans la com'. On a trouvé 9 licences Business Standard actives sur des comptes qui n'étaient plus utilisés depuis au moins 6 mois. Anciens salariés, un stagiaire parti en juillet, un freelance qui avait fait trois semaines en 2023. Coût : environ 115 € par mois, soit 1 400 € par an. Personne n'avait remarqué, parce que la facture Microsoft arrive, elle est payée, et voilà.
Le problème n'est pas juste financier. Ces comptes — s'ils n'ont pas été désactivés proprement — restent accessibles avec l'ancien mot de passe. Et un ancien mot de passe, ça finit toujours par fuiter quelque part.
La règle qu'on met en place est simple : une licence suit un humain. Quand le contrat se termine, la licence saute dans les 24 h. Pas "on verra à la prochaine facture".
Sept admins pour trente personnes
Titre de cette section = cas réel. Trente-cinq personnes dans le conseil, sept comptes Global Admin actifs. Deux appartenaient à un ancien prestataire parti depuis 18 mois. Le dirigeant est tombé de sa chaise quand on lui a sorti la liste.
Un compte Global Admin dans Microsoft 365, c'est la clé du château. Il peut créer des comptes, ouvrir les boîtes mails des autres, exporter tout le contenu du tenant, désactiver le MFA, faire ce qu'il veut. Bref, tout.
Dans une PME, il en faut deux. Pas sept. Et idéalement, ces deux comptes ne sont pas les comptes quotidiens de ces deux personnes — ce sont des comptes dédiés admin, utilisés uniquement quand on a besoin des droits. Le reste du temps, on bosse avec un compte utilisateur normal, comme tout le monde.
C'est un peu plus contraignant, oui. C'est aussi ce qui fait qu'un phishing réussi sur le dirigeant ne compromet pas l'ensemble de l'organisation.
Le MFA, encore et toujours
En 2026, devoir expliquer l'intérêt du MFA à un dirigeant de PME, c'est fatigant. Et pourtant ça arrive encore une fois sur deux.
Microsoft 365 inclut le MFA. C'est gratuit sur quasiment toutes les licences. L'activer prend une heure si on y va tranquillement avec une communication propre auprès des équipes. Et ça élimine d'un coup 99 % des tentatives d'intrusion automatisées — ce chiffre vient de Microsoft eux-mêmes, je ne l'invente pas.
Les objections qu'on entend : "c'est contraignant pour les équipes", "on a peur de bloquer quelqu'un qui perd son téléphone". Ce sont de vraies questions, pas des prétextes. Mais on les résout en 2026 avec Microsoft Authenticator, les codes de secours, les méthodes alternatives. Rien de tout ça ne justifie de laisser des comptes sans deuxième facteur.
Si on veut aller un cran plus loin, on passe par l'Accès conditionnel (dispo à partir de la licence Business Premium, 22 € / utilisateur / mois). Là on peut bloquer les connexions depuis des pays où on n'a pas de salariés, exiger un appareil conforme pour accéder à SharePoint, forcer le MFA uniquement hors du réseau du bureau. C'est fin, c'est puissant, et ça se configure en une demi-journée.
SharePoint : qui a accès à quoi ?
Question qu'on pose en audit : "Pouvez-vous me dire qui, dans votre boîte, a accès au dossier RH sur SharePoint ?" La réponse est presque toujours la même : un silence, puis "alors… je suppose que c'est la DRH ?"
Dans Microsoft 365, partager un dossier se fait en deux clics. Et par défaut, beaucoup d'organisations ont "Tout le monde dans l'organisation" comme option disponible, plus les liens externes anonymes. Résultat : à force de petits partages ponctuels, on finit avec des documents sensibles accessibles à beaucoup plus de monde que prévu.
Les réglages à faire côté centre d'administration :
- couper les liens anonymes (ou les limiter à des cas précis avec expiration),
- limiter le partage externe à une liste blanche de domaines,
- activer par défaut une expiration sur les partages (ex : 30 jours pour un externe),
- auditer une fois par trimestre les sites SharePoint ayant des partages externes actifs.
Ça ne change rien au travail au quotidien. Ça évite juste les mauvaises surprises.
Intune + M365 : la paire qui change tout
Microsoft 365 seul gère les identités et les données. Intune (inclus dans Business Premium, ou vendu séparément) gère les appareils. Quand on combine les deux, on a une cohérence qu'aucun bricolage ne remplace.
Concrètement, sur une de nos PME clientes : quand un salarié part, on clique sur un bouton dans Intune. Son Mac est effacé, son iPhone pro est reset, son compte M365 est désactivé, ses mails sont transférés à son manager pour 30 jours, ses fichiers OneDrive sont migrés vers un dossier partagé. Tout ça en une action. Avant qu'ils mettent ça en place, la procédure faisait trois pages et passait par quatre personnes.
Ce que je vous suggère
Si vous n'avez jamais fait auditer votre tenant M365, c'est probablement le meilleur investissement de 2 h que vous puissiez faire cette année. On trouve quasi systématiquement entre 800 € et 3 000 € d'économies annuelles sur les licences, plus une poignée de trous de sécurité qui traînent depuis des mois.
Ce n'est pas un jugement sur la personne qui gère ça chez vous — c'est juste que Microsoft 365 bouge vite, que les réglages par défaut ne sont pas optimaux, et qu'un œil extérieur voit ce que l'œil habitué ne voit plus.