Qu'est-ce que le MFA et pourquoi est-ce obligatoire sur Microsoft 365?

Le MFA (Multi-Factor Authentication, ou authentification à facteurs multiples) exige que vos employés fournissent deux preuves d'identité pour se connecter : leur mot de passe + un code temporaire sur leur téléphone ou application. Selon le rapport Microsoft Digital Defense 2024, le MFA bloque plus de 99,9 % des attaques de compromission de compte basées sur des mots de passe volés ou devinés. Microsoft a commencé à rendre le MFA obligatoire pour les administrateurs en 2024 et l'étend progressivement à tous les utilisateurs en 2025-2026. Si vous l'avez pas encore activé, vous êtes déjà en retard.

C'est quoi Safe Links et Safe Attachments dans Microsoft 365?

Safe Links et Safe Attachments font partie de Microsoft Defender for Office 365 (anciennement ATP). Safe Links réécrit chaque URL dans les courriels et documents Office pour passer par les serveurs Microsoft avant de vous rediriger — si le lien mène vers un site malveillant connu, il est bloqué et l'utilisateur voit un avertissement. Safe Attachments ouvre les pièces jointes dans un environnement isolé (sandbox) avant de les livrer — si la pièce jointe déclenche un comportement malveillant dans la sandbox, elle est bloquée. Ces deux fonctions ne sont pas activées par défaut dans les plans M365 Business Basic.

Comment savoir si un compte Microsoft 365 de mon entreprise a été compromis?

Les signes courants : des courriels envoyés que personne ne reconnaît, des règles de messagerie créées automatiquement (ex: tous les courriels de votre comptable redirigés vers une adresse externe), des connexions depuis des pays où vos employés ne travaillent pas, des changements de mot de passe que personne n'a initiés, une augmentation soudaine du volume de courriels sortants. Dans le Centre d'administration Microsoft 365, vérifiez Sécurité → Audit → Activités de connexion et Activités de messagerie. Des connexions depuis la Russie, Chine, ou Nigeria un vendredi soir alors que vos employés sont à Québec City = problème évident.

Comment fonctionne une fraude BEC (Business Email Compromise) via Microsoft 365?

Un attaquant compromet le compte Microsoft 365 d'un de vos employés (ou d'un de vos fournisseurs). Il surveille les courriels pendant 2-4 semaines sans rien toucher, pour comprendre les processus financiers, les relations fournisseurs, et le style de communication. Puis il intervient au bon moment : une facture est attendue, il modifie les coordonnées bancaires dans un courriel qui semble venir du bon fournisseur. Vos finances transfèrent des dizaines de milliers de dollars vers un compte frauduleux. Selon le FBI IC3 2024, la fraude BEC a causé 2,9 milliards de dollars de pertes en 2023 aux États-Unis. Au Canada et au Québec, les PME de 10-200 employés sont des cibles fréquentes.

La Loi 25 s'applique-t-elle à Microsoft 365 dans une PME québécoise?

Oui, directement. Si vous utilisez Microsoft 365 pour traiter des données personnelles de clients, employés, ou fournisseurs québécois (ce que pratiquement toutes les PME font), la Loi 25 vous oblige à évaluer les risques de confidentialité liés à l'utilisation de services cloud étrangers. Depuis septembre 2023, vous devez aussi notifier la CAI dans les 72 heures de tout incident de confidentialité à risque sérieux — un compte M365 compromis qui donne accès aux courriels de clients = incident à déclarer. Microsoft offre le DPA (Data Processing Agreement) requis pour la conformité Loi 25, mais vous devez l'activer et le configurer.

Loi 25 & Conformité

Microsoft 365 PME : MFA obligatoire et anti-phishing

11 février 2026 Mis à jour février 2026 15 min de lecture 0

Novembre 2024. Caroline, directrice générale d’un cabinet de génie-conseil de 35 employés à Gatineau, reçoit un appel de son comptable un vendredi après-midi. Il a reçu un courriel de Caroline — enfin, d’une adresse qui ressemblait exactement à celle de Caroline — lui demandant de virer 47 000 $ à un nouveau fournisseur avant la fermeture du bureau. Le délai était serré, le ton urgent. Le comptable a exécuté.

Le courriel venait bien du compte Microsoft 365 de Caroline. Un attaquant l’avait compromis trois semaines plus tôt via une page de phishing qui imitait la page de connexion Microsoft. Pendant trois semaines, il avait lu les courriels de Caroline, appris les noms des fournisseurs, compris les processus de paiement, observé le ton de Caroline avec son équipe. Puis il avait frappé au bon moment.

Le virement a été récupéré partiellement — 31 000 $ est parti pour de bon. L’incident a été signalé à la CAI du Québec en vertu de la Loi 25. Deux clients ont demandé des explications sur la sécurité de leurs données partagées avec le cabinet. Un a changé de fournisseur.

Le compte de Caroline n’avait pas de MFA. Il en a maintenant. Mais 31 000 $ plus tard.

L’état de la sécurité Microsoft 365 dans les PME québécoises

Microsoft 365 est la suite de productivité dominante dans les PME québécoises. Outlook pour le courriel, Teams pour la collaboration, SharePoint et OneDrive pour les documents, Excel et Word pour le reste. La majorité des PME de 5 à 200 employés au Québec l’utilisent sous une forme ou une autre.

Ce qui est moins connu : dans sa configuration par défaut, Microsoft 365 Business Basic (le plan le plus répandu) offre une sécurité minimale. Le MFA n’est pas activé automatiquement. Safe Links et Safe Attachments ne sont pas actifs. Les paramètres de conformité Loi 25 ne sont pas préconfigurés. Un compte compromis peut créer des règles de messagerie malveillantes sans déclencher d’alerte.

Le rapport Microsoft Digital Defense 2024 révèle que les attaques d’identité ont augmenté de 146 % entre 2022 et 2024, avec une concentration croissante sur les PME de moins de 500 employés. Les grandes entreprises ont des équipes de sécurité. Les PME ont des comptes Microsoft 365 en configuration par défaut.

Microsoft Security Intelligence indique que plus de 80 % des incidents de compromission M365 impliquent des comptes sans MFA. Ce n’est pas une coïncidence — c’est le vecteur d’attaque le plus rentable parce que le plus simple.

Étape 1 : Activer le MFA pour tous les utilisateurs

C’est non-négociable. Si vous ne faites qu’une seule chose après avoir lu cet article, c’est celle-là.

Deux méthodes selon votre abonnement :

Méthode A — Paramètres de sécurité par défaut (gratuit, tous les plans) :

Microsoft a introduit les « Security Defaults » (Paramètres de sécurité par défaut) — une configuration qui active le MFA pour tous les utilisateurs d’un tenant M365.

Connectez-vous au portail Azure (portal.azure.com) avec un compte administrateur global
Recherchez « Azure Active Directory » (ou Microsoft Entra ID)
Propriétés → Gérer les paramètres de sécurité par défaut
Activez les paramètres de sécurité par défaut → Enregistrer

Après activation, vos utilisateurs seront invités à configurer leur méthode MFA à la prochaine connexion. Donnez-leur une fenêtre de 14 jours pour le faire avant que la connexion ne soit bloquée sans MFA.

Méthode B — Politiques d’accès conditionnel (plans Business Premium, E3/E5) :

L’accès conditionnel donne un contrôle plus fin. Vous pouvez exiger le MFA uniquement pour certaines actions (connexion hors réseau de bureau, accès à Teams depuis un appareil non géré, connexion depuis un pays étranger).

Portail Azure → Microsoft Entra ID → Sécurité → Accès conditionnel
Créer une nouvelle politique : Tous les utilisateurs → Toutes les applications cloud → Exiger l’authentification multi-facteurs
Vous pouvez exclure les comptes brise-glace d’urgence (au moins 1 compte admin sans MFA, stocké hors ligne, pour les situations de verrouillage)

Application MFA recommandée :

Microsoft Authenticator (Android/iOS) est l’option la plus intégrée. Elle supporte les notifications push (approbation en un tap), les codes TOTP standards, et le « number matching » (vous entrez un numéro affiché sur l’écran de connexion pour éviter les attaques MFA fatigue). Évitez le SMS comme seule méthode MFA — le SIM swapping reste une menace réelle. Notre article 2FA SMS vs application : les dangers du SIM swapping explique pourquoi.

MFA fatigue — une attaque à connaître :

Les attaquants envoient des dizaines de notifications push d’approbation MFA à l’employé jusqu’à ce qu’il clique « approuver » par erreur ou pour que ça arrête. Microsoft Authenticator a introduit le « number matching » et des informations contextuelles (localisation, application demandant l’accès) précisément pour contrer ça. Activez ces fonctionnalités dans le portail d’administration Microsoft Entra ID → Méthodes d’authentification.

Étape 2 : Activer Safe Links et Safe Attachments

Ces deux fonctionnalités font partie de Microsoft Defender for Office 365. Elles ne sont pas disponibles dans les plans Business Basic — il faut Business Premium (22,80 $/utilisateur/mois en CAD) ou ajouter le module Defender for Office 365 Plan 1 (au-dessus d’un plan Basic).

Si vous êtes en Business Basic et que vous ne pouvez pas changer de plan, passez à l’étape suivante et revenez sur ce point lors de votre prochain cycle budgétaire. Un compte sans MFA en Business Basic est une urgence plus grande que Safe Links.

Activer Safe Links :

Portail Microsoft 365 Defender (security.microsoft.com) → Politiques & règles → Politiques de menaces → Safe Links
Créer une nouvelle politique ou modifier la politique globale
Activez « Safe Links » pour les courriels entrants et les documents Office
Activez « Real-time URL detonation » (vérification en temps réel des URLs jamais vues)
Activez « Apply Safe Links to email sent within the organization » — les attaquants qui ont compromis un compte interne enverront des liens malveillants depuis l’intérieur

Activer Safe Attachments :

security.microsoft.com → Politiques & règles → Politiques de menaces → Safe Attachments
Créer une nouvelle politique (ou modifier la globale)
Mode recommandé : Dynamic Delivery — les pièces jointes sont testées en sandbox pendant que le corps du courriel est livré immédiatement. L’utilisateur reçoit un message temporaire « pièce jointe en vérification » puis la vraie pièce jointe quand elle est jugée saine. Zéro délai perceptible dans la plupart des cas.
Activez aussi Safe Attachments pour SharePoint, OneDrive et Microsoft Teams dans les paramètres globaux

Ce que ça bloque concrètement :

Macros Excel et Word malveillantes (vecteur classique de ransomware)
PDFs avec JavaScript malveillant
Archives ZIP contenant des exécutables (.exe, .dll)
Liens vers des pages de phishing imitant Microsoft, Desjardins, ou d’autres services
Liens « time-bomb » (sains au moment de l’envoi, malveillants 24h après quand Safe Links vérifie)

Étape 3 : Auditer et restreindre les applications tierces

C’est le vecteur le plus sous-estimé. Vos employés peuvent accorder l’accès à leur compte Microsoft 365 à des applications tierces (Slack, Zoom, outils de signature, CRM, applications de productivité) sans que l’administrateur soit informé. Une application tierce compromise ou malveillante a accès à tout ce que l’utilisateur a accordé : courriels, calendrier, fichiers OneDrive, contacts.

Auditer les applications actuellement connectées :

Portail Azure (portal.azure.com) → Microsoft Entra ID → Applications d’entreprise → Toutes les applications
Filtrez par « Applications consenties par les utilisateurs » — vous verrez ce que vos employés ont autorisé sans passer par IT
Portail M365 → Centre d’administration → Rapports → Utilisation → Accès aux applications OAuth

Applications suspectes à chercher :

Applications avec des noms génériques ou difficiles à identifier
Applications demandant « Lire tous vos courriels », « Lire et écrire dans tous vos fichiers », ou « Accès complet à votre compte »
Applications que vous ne reconnaissez pas et que personne dans l’équipe n’a demandé
Applications avec peu ou pas d’utilisateurs, installées à des heures inhabituelles

Restreindre les nouvelles autorisations d’applications :

Portail Azure → Microsoft Entra ID → Utilisateurs → Paramètres utilisateur
« Les utilisateurs peuvent consentir aux applications accédant aux données de l’entreprise en leur nom » → Non
Créez un processus d’approbation : les nouvelles applications tierces doivent être approuvées par l’administrateur avant que les employés puissent y accorder l’accès

Cette restriction seule élimine une classe entière d’attaques : les applications OAuth malveillantes qui se font passer pour des outils légitimes et demandent des permissions excessives.

Étape 4 : Configurer les alertes et le journal d’audit

Vous ne pouvez pas réagir à ce que vous ne détectez pas. Microsoft 365 a un journal d’audit complet, mais il faut l’activer et configurer des alertes.

Activer l’audit unifié :

security.microsoft.com → Audit → vérifiez que l’enregistrement d’audit est activé (il peut être désactivé par défaut dans certains anciens tenants)
Si désactivé : cliquez « Activer l’enregistrement d’audit » — la propagation prend 24-60 heures

Alertes critiques à configurer :

Dans security.microsoft.com → Politiques & règles → Politiques d’alerte :

Connexion depuis un pays inhabituel : alerte quand un compte se connecte depuis une géographie jamais utilisée
Activité de messagerie massive : un compte envoie 500+ courriels en 15 minutes
Création de règle de messagerie : nouvelle règle de redirection ou suppression automatique dans Outlook — signe classique d’une compromission
Connexion après plusieurs échecs : connexion réussie après de multiples tentatives échouées (force brute réussi)
Partage de fichiers sensibles avec des domaines externes : fichiers OneDrive partagés avec des adresses hors de votre domaine

Rapport des connexions risquées :

Portail Azure → Microsoft Entra ID → Sécurité → Connexions risquées → examinez régulièrement. Microsoft attribue automatiquement un score de risque aux connexions basé sur l’IP de réputation douteuse, l’anomalie d’accès, et d’autres signaux. Les connexions marquées « Risque élevé » méritent une investigation immédiate.

Étape 5 : Politique de mots de passe — arrêter de forcer les changements fréquents

Contre-intuitif mais c’est la recommandation actuelle du NIST (National Institute of Standards and Technology), du Microsoft Security Team, et de la CAI du Québec : forcer les changements de mots de passe toutes les 30 ou 60 jours diminue la sécurité, pas l’inverse.

Pourquoi ? Parce que les gens confrontés à des changements fréquents adoptent des schémas prévisibles : Printemps2024! → Ete2024! → Automne2024!. Ces mots de passe sont faciles à deviner pour un attaquant qui en connaît un.

Politique recommandée :

Désactivez l’expiration forcée dans Microsoft 365 : Centre d’administration → Paramètres → Sécurité et confidentialité → Mot de passe → définissez « Les mots de passe n’expirent jamais »
Imposez la longueur : minimum 14 caractères, sans limite maximale artificielle
Bloquez les mots de passe courants : Microsoft 365 a une liste noire globale de mots de passe compromis — activez la protection personnalisée dans Microsoft Entra ID → Méthodes d’authentification → Password Protection
Changez immédiatement en cas d’alerte : si Microsoft détecte que le mot de passe d’un utilisateur apparaît dans une fuite connue (Have I Been Pwned et bases similaires), une alerte est générée — traitez-la dans les 4 heures

Étape 6 : Récupération après compromission d’un compte

Si malgré tout ça un compte est compromis, voici la procédure exacte. Chaque minute compte — les attaquants créent des règles de persistence dans les premières heures.

Phase 1 — Contenir (premières 30 minutes) :

Révoquez toutes les sessions actives : portail Azure → Microsoft Entra ID → Utilisateurs → sélectionner l’utilisateur compromis → Révoquer les sessions. Ça déconnecte l’attaquant immédiatement.
Réinitialisez le mot de passe à quelque chose de fort et unique, en dehors des canaux compromis (appelez l’utilisateur, ne réinitialisez pas par courriel si le courriel est compromis)
Bloquez la connexion temporairement si vous avez besoin de temps pour investiguer : Microsoft Entra ID → Utilisateur → Bloquer la connexion

Phase 2 — Investiguer (premières 2 heures) :

Vérifiez les règles de messagerie : connectez-vous à Outlook Web Access en tant qu’administrateur avec accès au compte → Paramètres → Afficher tous les paramètres → Courrier → Règles. Supprimez toute règle que l’utilisateur n’a pas créée.
Vérifiez les transferts automatiques : Paramètres → Courrier → Transfert — des transferts vers des domaines externes ?
Auditez les connexions : security.microsoft.com → Audit → filtrez par l’utilisateur compromis et les 30 derniers jours. Cherchez des activités de téléchargement massif (exfiltration de données), création de règles, ou partages de fichiers inhabituels.
Vérifiez les applications OAuth : quelles applications avaient accès au compte ? Si l’attaquant a ajouté une application malveillante, elle maintient un accès même après changement de mot de passe. Révoquez tous les accès OAuth non reconnus.

Phase 3 — Notifier (premières 72 heures) :

Évaluez si des données personnelles de clients ou employés ont été accessibles dans le compte compromis. Si oui, la Loi 25 vous oblige à notifier la CAI du Québec et les personnes concernées dans les 72 heures si le risque de préjudice est sérieux.
Notifiez vos clients si leur données ont pu être consultées — même si ce n’est pas légalement obligatoire dans votre cas précis, la transparence réduit le risque de perte de confiance à long terme.
Documentez l’incident : chronologie, comptes touchés, données potentiellement exposées, mesures prises. Ce document est requis par la CAI et par votre éventuelle cyberassurance.

Pour un guide complet sur les étapes post-compromission, consultez notre article compte compromis ou hacké : que faire en premier.

Microsoft 365 et la Loi 25 — Ce que vous devez savoir

La Commission d’accès à l’information du Québec a clarifié que l’utilisation de services cloud américains (dont Microsoft 365) par des entreprises québécoises nécessite une évaluation des facteurs relatifs à la vie privée (EFVP) et un Data Processing Agreement (DPA) avec Microsoft.

Microsoft offre le DPA nécessaire, mais il n’est pas automatiquement actif — vous devez le signer depuis votre portail d’administration.

Obligations Loi 25 spécifiques à M365 :

EFVP : si vous transférez des données personnelles de Québécois vers des serveurs hors Québec (ce que Microsoft 365 fait), vous devez documenter les risques et les mesures d’atténuation. Microsoft a des centres de données canadiens (Toronto, Québec) — vous pouvez configurer M365 pour que les données résident en Canada.
Résidence des données : Centre d’administration M365 → Paramètres → Paramètres de l’organisation → Profil de l’organisation → Emplacement des données. Choisissez Canada.
Délai de notification : 72 heures pour notifier la CAI après un incident de confidentialité à risque sérieux. Un compte M365 compromis avec accès à des données clients = incident à évaluer immédiatement.
Registre des incidents : vous devez tenir un registre de tous les incidents de confidentialité, même ceux qui ne nécessitent pas de notification externe. Un compte compromis que vous avez contenu rapidement doit quand même être documenté.

La CAI peut imposer des amendes jusqu’à 25 millions $ ou 4 % du chiffre d’affaires mondial pour non-conformité. Pour une PME québécoise, même une amende administrative de quelques milliers de dollars et la réputation associée peuvent être dévastatrices.

Checklist sécurité Microsoft 365 — À compléter avant vendredi

Actions à faire pour votre tenant M365 :

MFA :

MFA activé pour 100 % des utilisateurs (pas seulement les admins)
Applications d’authentification configurées (pas seulement SMS)
Number matching activé dans Authenticator pour contrer MFA fatigue
Politique d’accès conditionnel : bloquer les connexions sans MFA

Anti-phishing :

Safe Links activé (courriels + documents Office + Teams)
Safe Attachments activé avec mode Dynamic Delivery
Politique anti-phishing : impersonation protection pour les domaines de vos fournisseurs clés

Applications tierces :

Audit des applications OAuth connectées
Suppression des applications non reconnues ou excessivement permissives
Désactivation du consentement utilisateur autonome aux applications tierces

Monitoring :

Journal d’audit unifié activé
Alertes sur : connexion depuis pays inhabituel, règle de messagerie créée, activité massive
Rapport des connexions risquées : examiné au moins une fois par semaine

Mots de passe :

Expiration forcée désactivée
Password Protection Microsoft activée
Processus en place pour traiter les alertes de mots de passe compromis

Loi 25 :

DPA Microsoft signé
Résidence des données configurée sur Canada
Procédure de notification CAI documentée (72h)

Pour aller plus loin sur la protection des PME contre les fraudes par courriel professionnel, consultez notre article fraude BEC : virement fournisseur et email compromis.

Ce que ça coûte de ne rien faire

Le rapport Microsoft Digital Defense 2024 est clair : une PME sans MFA a 99 fois plus de chances de se faire compromettre qu’une PME avec MFA. Ce n’est pas une exagération marketing — c’est basé sur les millions d’incidents analysés dans les tenants Microsoft 365.

La fraude BEC (Business Email Compromise) comme celle de Caroline à Gatineau coûte en moyenne 100 000 $ US par incident selon le FBI IC3. Pour une PME de 35 employés, ça peut représenter des mois de marge bénéficiaire.

Un compte M365 compromis et non détecté pendant 3 semaines génère :

Exfiltration de données clients (notification Loi 25 obligatoire)
Fraude potentielle sur vos partenaires et clients
Coût de récupération, d’investigation forensique, et de communication de crise
Perte de confiance des clients que vous ne mesurez que des mois plus tard

Microsoft 365 Business Premium, qui inclut Defender for Office 365 et toutes les fonctions de sécurité avancées, coûte environ 22,80 $/utilisateur/mois. Pour 10 utilisateurs, c’est 228 $/mois. Un seul incident BEC évité rembourse des années d’abonnement Premium.

Ce n’est pas une dépense de sécurité. C’est une assurance contre un risque documenté et quantifiable.

Si vous avez besoin d’aide pour configurer la sécurité Microsoft 365 de votre PME — activation du MFA, politiques anti-phishing, audit des applications tierces, ou préparation à la conformité Loi 25 — l’équipe de Sequr accompagne les PME québécoises dans ces démarches.

Sequr — Cybersécurité pour particuliers et PME au Québec

Khalid Mokrini

Cyber Security Specialist

Fondateur d'Informatique Ste-Foy (depuis 2014) et de Sequr.ca. Certifié en cybersécurité des réseaux informatiques par l'École Polytechnique de Montréal. Plus de 1 000 clients servis au Québec.

540+ avis (4.7/5)Québec, Canada

Consultation personnalisée

Votre appareil est-il vraiment protégé ?

Un expert certifié analyse votre situation et vous propose un plan d'action concret, adapté à votre appareil et vos habitudes.

Demander une consultation

100 % à distance — Québec