Microsoft commence à déployer le mode de sécurité de base sur les tenants Microsoft 365. Grâce à un nouveau tableau de bord, les administrateurs peuvent évaluer, simuler, puis appliquer les paramètres de sécurité recommandés.
Microsoft commence le déploiement du mode de sécurité de base pour Microsoft 365. Il s’agit d’une fonction optionnelle dans le centre d’administration Microsoft 365. Le mode regroupe les configurations de sécurité recommandées pour Office, SharePoint, Exchange, Teams et Entra dans un seul tableau de bord. En décembre, l’option apparaîtra pour une partie des tenants sous Org Settings > Security & Privacy. Microsoft vise un déploiement mondial d’ici fin janvier 2026.
Le mode de sécurité de base a été annoncé lors d’Ignite 2025. L’objectif est de rendre les erreurs de configuration courantes plus rapidement visibles. Les administrateurs peuvent évaluer les vulnérabilités via des rapports d’impact. Ils peuvent ensuite mettre en œuvre des mesures par étapes, sans modifications immédiates pour les utilisateurs finaux.
18 à 20 stratégies, réparties sur trois domaines
Selon Microsoft, le mode applique 18 à 20 stratégies sur trois domaines clés. Une partie importante concerne l’authentification. Au total, il existe 12 stratégies d’authentification. Elles bloquent notamment les protocoles hérités, tels que l’authentification de base, les services web Exchange et IDCRL. L’authentification MFA résistante au phishing est requise pour les administrateurs, via FIDO2 ou les clés d’accès.
De plus, il existe des mesures de protection liées aux fichiers et aux applications. Elles limitent les comportements à risque, tels que l’ouverture de documents via des chemins HTTP ou FTP non sécurisés. Les fonctions telles qu’ActiveX et DDE sont également protégées plus strictement. De plus, le mode désactive certains outils plus anciens, notamment Microsoft Publisher, que Microsoft prévoit d’arrêter en 2026.
Simulation d’abord, modifications seulement après approbation
Les administrateurs avec un rôle de sécurité ou global peuvent activer eux-mêmes le mode de sécurité de base. Ils peuvent appliquer immédiatement sept contrôles via
Le tableau de bord affiche la progression et l’état de chaque composant, tel que At risk ou Meets standards. Microsoft affirme que l’approche progressive devrait aider à combler les lacunes souvent exploitées lors du phishing et du credential stuffing. La préversion publique et la disponibilité générale ont commencé mi-novembre 2025. Pour les clouds GCC, DoD et GCCH, le déploiement progressif se poursuit jusqu’en mars 2026.
Plus tôt ce mois-ci, Microsoft a annoncé une augmentation des prix pour les utilisateurs professionnels de Microsoft 365. De nombreuses formules, dont les populaires Business Basic et Business Standard, sont concernées.