Ne laissez pas la porte de Microsoft 365 entrouverte : utilisez la "vue d'ensemble" BSM pour cibler précisément les vulnérabilités de sécurité

Dans un contexte où les risques liés à la numérisation deviennent de plus en plus complexes, comment les entreprises peuvent-elles anticiper les menaces de sécurité et passer d’une défense passive à une gestion proactive ? Microsoft a lancé fin 2025 le Mode de Sécurité de Base (Baseline Security Mode, ci-après Microsoft BSM), qui devient une orientation clé pour l’évolution de l’architecture de cybersécurité des entreprises à l’échelle mondiale.

En tant que partenaire stratégique de Microsoft, PwC ne s’est pas contenté de participer en profondeur à la mise en œuvre initiale de Microsoft BSM, mais a également accumulé une expérience pratique de pointe dans plusieurs scénarios. Sur la base de ses pratiques de sécurité dans des architectures complexes, PwC aide les organisations à identifier et à converger les configurations et protocoles à haut risque encore utilisés dans Microsoft 365 (ci-après M365) et Entra ID, en évaluant l’impact des rapports d’influence et en contrôlant le rythme de renforcement de la ligne de base. Cela permet aux entreprises de résoudre les problèmes de protection des anciens systèmes et de renforcer la ligne de sécurité, en proposant des voies concrètes pour sécuriser les systèmes obsolètes.

À cette fin, nous avons spécialement organisé et publié en avant-première cet article, visant à partager nos insights et synthèses pratiques dans le domaine de Microsoft BSM avec les entreprises qui utilisent ou envisagent d’utiliser cette technologie, afin de leur permettre d’être plus rapides et plus intelligents dans la construction de leur sécurité.

1. Pourquoi la « ligne de base de sécurité » devient-elle plus urgente aujourd’hui ?

Les menaces en ligne entrent dans une nouvelle phase d’« accélération IA » : les attaquants utilisent de grands modèles et des outils automatisés pour scanner plus rapidement et précisément les surfaces d’exposition, localiser les points faibles, et atteindre leurs objectifs avec une plus grande mobilité dans l’environnement de l’entreprise. Les groupes de cybercriminalité trouvent ainsi plus facilement des brèches dans des vulnérabilités héritées, qui ne concernent pas seulement d’anciens systèmes, mais aussi des configurations et protocoles hérités encore massivement conservés dans M365 et la plateforme d’identité Microsoft Entra. Lorsqu’ils se superposent à des architectures multi-cloud ou hybrides, les défenseurs peinent souvent à suivre, tandis que les attaquants deviennent plus audacieux.

Pour surpasser ces adversaires, les entreprises doivent établir une « visibilité globale » dans des environnements complexes et interdépendants : cela inclut à la fois les locataires cloud et les applications, ainsi que les points de contrôle clés dans la chaîne d’identité et d’accès. Le défi réside dans le fait que : la « dissimulation » et la « dépendance » des configurations héritées sont très fortes — elles peuvent être héritées à travers de multiples itérations sans mécanismes réguliers d’inventaire et de convergence ; si le rythme de mise à jour et de renforcement n’est pas suivi, ces vulnérabilités deviennent des raccourcis pour les attaquants, leur permettant de contourner les contrôles, d’élargir leurs permissions ou de progresser latéralement et verticalement. Par ailleurs, les risques liés à la configuration cloud déviante, à l’intégration inter-systèmes, et autres problèmes fondamentaux persistent, tandis que des adversaires équipés de nouvelles technologies augmentent encore ces risques.

L’étude « Insights mondiaux sur la confiance numérique 2026 » de PwC confirme cette tendance : les menaces cloud sont considérées comme le principal risque numérique pour lequel les entreprises sont le moins préparées ; les configurations héritées et la chaîne d’approvisionnement figurent parmi les deux principales vulnérabilités, plus de la moitié des répondants admettant qu’ils ne peuvent que « se débrouiller » face à ces attaques. Les priorités varient selon les secteurs, mais une réponse efficace doit revenir aux pratiques de sécurité fondamentales — renforcer la ligne de base de sécurité pour assurer une base stable à la défense.

Dans ce contexte, les organisations rencontrent souvent plusieurs difficultés lors de la mise en œuvre de la « configuration de la ligne de base de sécurité » :

2. Microsoft BSM : la capacité « Security-by-default » proposée par Microsoft

Avec plus de 90 % des entreprises du Fortune 500 déjà couvertes par M365 et ses outils d’assistance Copilot, Microsoft a lancé fin 2025 une nouvelle gamme de produits de sécurité basés sur M365, Microsoft BSM. Cette capacité, intégrée en profondeur dans le centre de gestion M365, constitue une configuration de ligne de base de sécurité pour l’écosystème M365 et la plateforme d’identité Microsoft Entra. Elle rassemble en une interface unifiée les paramètres de sécurité clés, auparavant dispersés entre Office, Exchange, Teams, SharePoint/OneDrive et autres applications d’entreprise, et, en s’appuyant sur l’analyse des données d’attaques réelles, priorise une série de configurations héritées ou à haut risque souvent exploitées.

Grâce à Microsoft BSM, les administrateurs peuvent rapidement visualiser l’état des configurations et leur hiérarchisation dans un tableau de bord unique, et, après évaluation de l’impact des changements via des rapports d’influence ou des simulations (What-if), activer en mode « commutateur » des configurations de sécurité par défaut ou bloquer globalement les fonctionnalités à haut risque.

L’objectif principal est d’éliminer, par gestion centralisée, les configurations héritées dans M365 et Entra, qui sont massivement conservées par de nombreuses entreprises mais facilement exploitées par des attaquants.

Domaines clés de service actuels de Microsoft BSM

Identité et permissions : réduire le succès des attaques par vol d’identifiants et la mobilité latérale

Les protocoles d’authentification et jetons anciens restent une porte d’entrée courante pour les intrusions. Microsoft BSM recommande de réduire l’exposition à ces protocoles en désactivant, dans Exchange, SharePoint/OneDrive, Teams et autres services, les configurations héritées associées, afin de diminuer les risques de phishing, de collision de mots de passe ou d’attaques par injection de mots de passe.

Il s’agit notamment de bloquer la prise en charge des anciens protocoles non compatibles MFA (authentification multifacteur) comme POP, IMAP, SMTP, ou EWS (Exchange Web Services), en désactivant leur accès, pour couper directement les voies de connexion à haut risque.

Il est aussi conseillé de bloquer les invites d’authentification basiques : empêcher l’affichage de fenêtres de saisie « nom d’utilisateur/mot de passe » classiques, afin de réduire le risque de vol ou de phishing de ces identifiants.

Fichiers et collaboration : réduire la surface d’attaque liée aux documents malveillants et aux anciennes fonctionnalités

Les applications M365 (Word, Excel, PowerPoint) améliorent la productivité, mais les anciens formats de fichiers Office (par ex. Word .doc) et les contrôles ActiveX intégrés présentent des risques de sécurité importants. Microsoft BSM recommande de migrer progressivement vers des formats plus modernes et plus sûrs, et de limiter ou éliminer l’utilisation de fichiers à risque élevé contenant ActiveX, afin de réduire dès la source la surface d’attaque exploitée.

Après obtention du consentement pour accéder à des données de diagnostic détaillées, Microsoft BSM peut fournir une visibilité granulaire : par exemple, le nombre d’utilisateurs dans le tenant utilisant encore des documents anciens avec ActiveX, ou le nombre d’ouvertures de ces fichiers, aidant ainsi les administrateurs à cibler précisément la sensibilisation des utilisateurs et à converger vers des stratégies de sécurité.

Salles de réunion et équipements partagés : rendre les « actifs aveugles » contrôlables

Microsoft BSM met en œuvre deux bonnes pratiques clés pour réduire les risques d’abus et de fuite de données dans les environnements de salles de réunion :

• Empêcher la connexion de dispositifs non gérés et de comptes ressources (ex. comptes de salles) directement aux applications M365, pour limiter les points d’entrée potentiellement exploités.

• Restreindre l’accès des comptes ressources des Teams Rooms aux fichiers M365 affichés lors des réunions, pour éviter la lecture ou le téléchargement non autorisé de contenus sensibles.

Ces configurations renforcent la sécurité des salles de réunion et protègent les données sensibles.

Présentation des fonctionnalités de Microsoft BSM

Planification future de Microsoft BSM

La première version de Microsoft BSM — Microsoft BSM 2025 — a déployé 20 configurations de ligne de base dans 5 applications clés. Microsoft Digital a assisté à la validation et au déploiement de ces fonctionnalités à l’échelle de l’entreprise. La prochaine vague de mises à jour, déjà en cours, sera plus large, avec 46 fonctionnalités, soit plus du double de la première phase. L’équipe produit de Microsoft BSM étend son périmètre, en se concentrant sur : des restrictions de protocoles plus approfondies, un contrôle plus étendu des applications, et des stratégies d’authentification plus granulaires.

3. Difficultés courantes lors du déploiement de la ligne de base de sécurité vs comment Microsoft BSM y répond

Microsoft BSM ne remplace pas un système de sécurité complet (détection des menaces, réponse, gouvernance des données, etc.), mais vise à renforcer la « fondation » : en configurant par défaut des paramètres plus stricts pour réduire les points d’entrée exploitables, et en utilisant des simulations d’impact et des données de diagnostic pour accompagner l’entreprise dans la progression de ses remédiations à un rythme acceptable.

Difficultés de déploiement de la ligne de base & capacités de Microsoft BSM

4. Cas d’usage typiques de Microsoft BSM

En intégrant les besoins de protection de la sécurité tout au long du processus de transformation numérique, Microsoft BSM peut s’appliquer précisément à divers scénarios clés d’activité et d’opération. Ses mesures de protection, conçues pour faire face aux risques de sécurité fréquents dans les environnements de travail, assurent une défense efficace lors des étapes critiques : gestion des comptes, authentification, scripts, transmission, contrôles, connexion des appareils, etc. Ces scénarios sont en parfaite adéquation avec les points faibles de sécurité rencontrés dans la routine quotidienne des entreprises.

5. Différences entre Microsoft BSM et d’autres produits de sécurité Microsoft : éviter les erreurs courantes

De nombreuses entreprises ont déjà déployé Microsoft Secure Score, Microsoft Entra Access, la série Microsoft Defender, ou divers scripts de ligne de base. Elles se demandent souvent si Microsoft BSM ne serait pas redondant. Notre recommandation est de comprendre la différence de positionnement pour éviter toute confusion fonctionnelle.

Comparatif des principaux produits de sécurité Microsoft

6. De la « configuration » à la « mise en œuvre » : l’expérience de PwC

En raison de leur taille et complexité, PwC fait face depuis longtemps aux risques potentiels liés aux « configurations héritées » qui, avec l’évolution des menaces, peuvent devenir de nouvelles portes d’entrée. C’est pourquoi, en s’appuyant sur la relation stratégique de partenariat « Inner Circle » entre PwC et Microsoft, nous avons été parmi les premières organisations mondiales à tester et déployer Microsoft BSM, en adoptant une approche de « validation préalable » et de « capitalisation », pour fournir des méthodes et des parcours reproductibles pour une adoption à grande échelle.

Ce que nous avons appris lors du pilote

Tout d’abord, Microsoft BSM offre une interface de contrôle et de gestion plus centralisée et exploitable. Auparavant, ces configurations étaient dispersées dans plusieurs consoles et emplacements, nécessitant une gestion séparée. Avec Microsoft BSM, nous pouvons identifier en un seul coup d’œil les configurations héritées encore en usage, et, si nécessaire, activer rapidement des stratégies globales pour converger et bloquer les capacités à haut risque, transformant ainsi un « gouvernance ponctuelle » en une « gouvernance systémique ».

Il est important de souligner que Microsoft BSM ne fournit pas une liste de configurations à appliquer en un clic. Lors du pilote, nous avons constaté que beaucoup de recommandations impliquaient des ajustements ayant un impact significatif sur l’environnement opérationnel : leur activation peut affecter les dépendances applicatives, les méthodes d’authentification ou l’utilisation de protocoles historiques. Sur cette base, nous intégrons ces recommandations dans notre gestion du changement et notre évaluation des risques, en élaborant une feuille de route par étapes : d’une part, en réexaminant régulièrement les données d’impact fournies par Microsoft BSM pour anticiper les utilisateurs ou applications potentiellement affectés ; d’autre part, en alignant avec les responsables métier des plans de transition, des fenêtres de passage et des stratégies d’exception personnalisées, afin d’assurer une mise en œuvre progressive, tout en renforçant la sécurité de la ligne de base sans compromettre la continuité des activités.

Notre valeur réside dans notre capacité à comprendre les dépendances des processus métier et des systèmes, et à transformer les « recommandations de sécurité » de Microsoft BSM en plans d’action concrets, en rythmes et responsabilités, pour atteindre à la fois une amélioration de la sécurité et la continuité opérationnelle.

Comment le faire fonctionner ?

Bien que Microsoft BSM puisse générer directement les données nécessaires, nous savons que les utilisateurs ont besoin de plans d’action clairs et réalisables. Forts de notre expérience, nous avons développé plusieurs capacités complémentaires :

• Solutions d’automatisation : outils et tableaux de bord personnalisés pour aider à interpréter les données de Microsoft BSM, hiérarchiser les remédiations et suivre la réduction des risques ;

• Centre de support périodique : mise en place d’un centre dédié pour fournir ressources et assistance technique du planification à la mise en œuvre ;

• Manuel opérationnel standardisé : rédaction de processus pratiques pour une mise en œuvre efficace des recommandations de Microsoft BSM.

En s’appuyant sur ces solutions et notre expérience, PwC peut aider les entreprises à transformer les fonctionnalités de sécurité de Microsoft BSM en résultats concrets, en assurant une gestion en boucle fermée, de l’analyse des données à la maîtrise des risques.

Vue d’ensemble des services de déploiement de Microsoft BSM par PwC

Le « BSM Accelerator » développé par PwC centralise les rapports d’impact dispersés, nécessitant auparavant de cliquer et télécharger chaque rapport séparément. En combinant ces données avec les métadonnées des utilisateurs et applications d’Entra, il transforme des informations initialement limitées (ID d’application, absence de responsables ou d’appartenance métier) en une cartographie intégrée par ligne métier, application, responsable et portée d’impact. Ainsi, l’équipe de sécurité peut, dans une seule vue, analyser l’impact par département, application ou responsable, évitant de multiples communications pour la même application. La visualisation des changements permet de suivre en continu la réduction des risques, de soutenir les rapports périodiques à la direction, et d’élever la mise en œuvre de Microsoft BSM d’une simple configuration ponctuelle à un projet « collaboratif, traçable et en boucle fermée ».

7. Conclusion : faire du « sécurité par défaut » une langue commune dans l’organisation avec Microsoft BSM

Les entreprises peuvent désormais rapidement identifier les configurations et protocoles hérités vulnérables. Par exemple, Microsoft BSM offre un mécanisme proactif de blocage pour empêcher l’utilisation de composants hérités à haut risque. Avec la montée en puissance des audits et des contrôles réglementaires, ces investissements ne se limitent pas à la conformité, mais deviennent un avantage stratégique.

Dans un environnement hautement connecté, une faiblesse de sécurité peut entraîner un risque systémique. Investir dans des mesures de défense proactive comme Microsoft BSM est crucial — la sécurité fondamentale n’est plus seulement une affaire interne, mais une responsabilité collective dans tout le secteur. La robustesse de l’écosystème dépend de chaque maillon, et seul un effort collectif pour l’optimiser peut faire progresser la ligne de base de sécurité globale.

L’équipe cybersécurité de PwC, spécialisée en cybersécurité, conformité des données et confiance numérique, s’appuie sur les principes et pratiques liés à Microsoft BSM, en intégrant l’expérience mondiale et la capacité d’implémentation locale, pour offrir à ses clients des services de sécurité tout au long du cycle de vie, de la stratégie à l’opération, afin de renforcer leur sécurité dans leur transformation digitale.