Analyses exposure
Maintenu par : Aether365 Team Public : Administrateurs informatiques et équipes sécurité Périmètre : Exécution des analyses exposure et catégories de résultats
Les analyses exposure examinent votre tenant Microsoft 365 pour détecter les paramètres risqués ou mal configurés. Contrairement aux analyses compliance, qui testent par rapport à un référentiel fixe, les analyses exposure évaluent si des configurations spécifiques créent un risque de sécurité réel dans votre environnement.
Les résultats sont structurés selon le format OCSF (Open Cybersecurity Schema Framework) et regroupés par zone de service M365.
Services analysés
Entra ID (Azure Active Directory)
Les contrôles Entra ID se concentrent sur les risques liés à l'identité et aux accès :
- Lacunes dans l'application du MFA - utilisateurs ou groupes exclus du MFA
- Couverture des stratégies d'accès conditionnel - risque de connexion non couvert
- Attributions de rôles privilégiés - attributions permanentes au lieu de PIM
- Accès des invités et identités externes
- Exposition aux protocoles d'authentification anciens
- Configuration du réinitialisation de mot de passe en libre-service (SSPR)
- Paramètres de protection par mot de passe
Exchange Online
Les contrôles Exchange identifient les risques liés à la sécurité des e-mails :
- Règles de transfert de courrier exfiltrant des données vers l'extérieur
- Règles d'accès client autorisant les protocoles anciens (IMAP, POP3, Basic Auth)
- Lacunes dans les stratégies anti-hameçonnage et anti-usurpation
- Configuration DKIM, DMARC et SPF
- Paramètres de transfert automatique externe
- Couverture des stratégies Safe Attachments et Safe Links
SharePoint Online et OneDrive
Les contrôles SharePoint analysent les risques de partage de données :
- Paramètres de partage externe (liens anonymes, accès invité)
- Type de lien de partage par défaut
- Remplacements de partage au niveau du site
- Accès par authentification ancienne
Microsoft Teams
Les contrôles Teams couvrent la collaboration et l'accès externe :
- Paramètres de fédération externe (qui peut initier un contact)
- Stratégies d'accès invité
- Paramètres de participation aux réunions (participation anonyme, participants externes)
- Stockage et rétention des enregistrements de réunion
Microsoft Defender
Les contrôles Defender vérifient la couverture de protection :
- Statut des stratégies Defender for Office 365
- Couverture Safe Attachments et Safe Links
- Paramètres Zero-hour Auto Purge (ZAP)
- Activation de la simulation d'attaque
Microsoft Intune
Les contrôles Intune évaluent la couverture de gestion des appareils :
- Inscription aux stratégies de conformité des appareils
- Accès conditionnel appliquant la conformité
- Exigences de chiffrement sur les appareils gérés
- Couverture des stratégies de gestion d'applications mobiles (MAM)
Niveaux de sévérité
Chaque résultat se voit attribuer l'un des quatre niveaux de sévérité :
| Sévérité | Description |
|---|---|
| Critique | Mauvaise configuration à fort impact, couramment exploitée, risque immédiat |
| Élevé | Exposition significative, à traiter rapidement |
| Moyen | Risque modéré, souvent atténué par d'autres contrôles en place |
| Faible | Écart par rapport aux bonnes pratiques, risque direct moindre |
Lire les résultats exposure
Les résultats d'analyse exposure dans le tableau de bord affichent :
- Service - La zone de service M365 (par ex. Entra ID, Exchange)
- Résultat - Une description en langage clair de la mauvaise configuration
- Sévérité - Critique / Élevé / Moyen / Faible
- Statut - Réussi / Échoué / Manuel (les contrôles manuels nécessitent une vérification humaine)
- Remédiation - Instructions de correction pas à pas
Les résultats marqués Manuel ne peuvent pas être évalués automatiquement et nécessitent qu'une personne examine les paramètres référencés.
Périmètre et limitations
Les analyses exposure utilisent un accès en lecture seule et ne peuvent pas détecter :
- Les configurations nécessitant des autorisations élevées au-delà de celles accordées lors du consentement
- Les paramètres d'applications tierces dans M365
- La configuration Active Directory sur site (cloud uniquement)
- Les changements historiques ou l'analyse du journal d'audit (utilisez les analyses compliance pour les contrôles de journalisation d'audit)