Conseils TI pour PME
Microsoft 365 pour PME : les réglages à vérifier avant qu’un incident arrive
Microsoft 365 PME Québec ne devrait pas être seulement une boîte courriel qui fonctionne. Pour une PME, c’est souvent l’endroit où passent les factures, les soumissions, les accès clients, les documents internes et les comptes d’employés.
Quand un réglage de base manque, le problème arrive rarement au bon moment : un compte compromis, un téléphone perdu, un employé qui quitte ou une boîte partagée que personne ne surveille vraiment.
Les priorités à vérifier sans attendre l’urgence
Voici les vérifications que nous recommandons avant d’attendre l’incident. L’objectif n’est pas de transformer votre PME en département de cybersécurité. C’est de réduire les risques les plus courants avec des décisions simples, documentées et faciles à maintenir.
Comptes admin
Limiter les accès élevés, séparer les comptes de gestion et retirer les permissions temporaires oubliées.
MFA
Activer l’authentification multifacteur avec une méthode claire pour les employés, les appareils et la récupération.
Exchange Online
Vérifier les règles de transfert, les boîtes partagées, les accès délégués et les comptes inactifs.
Commencer par les comptes administrateurs
Le premier point à vérifier est souvent le moins visible : qui possède les droits administrateur dans Microsoft 365. Dans plusieurs PME, ces accès ont été donnés rapidement pendant une migration, puis oubliés. Un compte admin utilisé tous les jours pour lire ses courriels ou naviguer sur le web augmente inutilement le risque.
En pratique, il vaut mieux limiter les comptes administrateurs, séparer les comptes de gestion des comptes de travail quotidien, et conserver au moins un accès de secours documenté. Il faut aussi vérifier que les anciens fournisseurs, anciens employés ou comptes temporaires n’ont plus de permissions élevées.
Activer la MFA là où le risque est réel
La MFA, ou authentification multifacteur, est l’un des réglages les plus importants pour Microsoft 365 PME Québec. Elle ajoute une étape de validation lorsqu’un compte se connecte, surtout à partir d’un nouvel appareil ou d’un endroit inhabituel.
Le piège est de l’activer sans accompagnement. Les utilisateurs se retrouvent avec des notifications qu’ils ne comprennent pas, des téléphones mal configurés ou des comptes de service qui cessent de fonctionner. Une mise en place propre prévoit la communication aux employés, les méthodes de récupération, les comptes prioritaires et les exceptions justifiées.
Microsoft publie aussi une documentation sur l’authentification multifacteur qui peut servir de point de départ pour comprendre les options disponibles.
Vérifier Exchange Online et les boîtes partagées
Exchange Online facilite la gestion du courriel, mais certains réglages méritent une revue régulière. Les redirections externes, les règles de boîte de réception, les boîtes partagées et les alias peuvent devenir des angles morts. Une règle frauduleuse qui déplace les factures ou transfère des messages à l’extérieur peut rester discrète longtemps.
Pour une sécurité courriel PME raisonnable, vérifiez les règles de transfert, les accès délégués, les boîtes partagées encore utilisées et les comptes qui n’ont pas été désactivés après un départ. Ce sont des contrôles simples, mais ils évitent beaucoup de confusion quand un problème survient.
Ne pas confondre Microsoft 365 et sauvegarde complète
Microsoft 365 offre de la rétention et plusieurs mécanismes de protection, mais cela ne remplace pas automatiquement une stratégie de sauvegarde adaptée à votre entreprise. Si un utilisateur supprime des documents, si un compte est compromis ou si une erreur passe inaperçue pendant trop longtemps, la récupération peut devenir plus compliquée que prévu.
La bonne question n’est pas seulement “avons-nous une sauvegarde?”. Il faut aussi demander : qui peut restaurer, en combien de temps, jusqu’à quelle date, et est-ce qu’un test de restauration a déjà été fait? Une sauvegarde qu’on n’a jamais testée reste une hypothèse.
Tenir compte des appareils utilisés par l’équipe
Les réglages du tenant ne suffisent pas si les appareils sont négligés. Un portable familial, un cellulaire sans code ou un ordinateur qui ne reçoit plus ses mises à jour peut exposer les mêmes courriels qu’un poste de bureau. Une PME n’a pas besoin d’un contrôle lourd pour commencer : il faut au minimum savoir quels appareils se connectent, quoi faire lorsqu’un téléphone est perdu et comment retirer les sessions actives au besoin.
Garder une procédure pour les départs employés
Un départ d’employé devrait déclencher une petite procédure, pas une série de décisions improvisées. Désactivation du compte, changement des accès partagés, transfert ou archivage de la boîte courriel, récupération des appareils, retrait des sessions actives : chaque étape compte.
Le point important est de décider à l’avance ce qui doit être conservé, ce qui doit être coupé et qui approuve l’accès aux anciens courriels. Cette procédure protège autant l’entreprise que la personne responsable des opérations.
À revoir chaque trimestre
Une vérification courte vaut mieux qu’une urgence mal documentée.
- Comptes administrateurs limités et documentés.
- MFA activée pour les comptes sensibles et bien expliquée aux utilisateurs.
- Règles de transfert et accès délégués vérifiés dans Exchange Online.
- Boîtes partagées et comptes inactifs revus.
- Politique claire pour les départs employés.
- Sauvegarde ou rétention testée, avec un responsable identifié.
- Informations de récupération conservées dans un endroit sécuritaire.
Cette vérification n’a pas besoin d’être lourde. Le plus important est de la faire régulièrement, puis de noter les décisions.
Quand demander un coup de main
Si vous utilisez Microsoft 365 mais que personne n’a revu les accès depuis la migration, une courte validation peut suffire pour trouver les priorités. Infotech Canada peut vous aider à revoir la configuration, sécuriser les comptes et clarifier les prochaines étapes sans transformer le dossier en gros projet.
Pour voir comment nous accompagnons les PME, consultez notre page service Microsoft 365 ou nos services TI gérés.