Microsoft 365 : Le principe de moindre privilège, un défi toujours d’actualité
Le principe de moindre privilège s’est imposé comme une évidence dans la gouvernance IT, y compris dans Microsoft 365. Cependant, sa mise en œuvre reste entravée par une accumulation de permissions excessives, la fragmentation des rôles et un manque de contrôle sur les accès non humains.
Table des matières
Un constat alarmant
Malgré un consensus sur l’importance du moindre privilège, 99 % des identités cloud détiennent des permissions excessives. De plus, 57 % des organisations ont des administrateurs sur-privilégiés dans leur environnement Microsoft 365, tandis que seulement 2 % des permissions accordées sont effectivement utilisées. Ce décalage entre la doctrine Zero Trust et la réalité opérationnelle pose un risque considérable.
Un nombre croissant d’attaques
Microsoft Entra signale 600 millions d’attaques par identité chaque jour, avec un blocage de 7 000 attaques par mot de passe à la seconde. La majorité de ces tentatives, soit 97 %, relèvent du password spraying. Une fois à l’intérieur, 79 % des cyberintrusions en 2024 n’impliquaient aucun malware, les attaquants exploitant des identifiants légitimes pour escalader leurs permissions. Le temps moyen de progression latérale est désormais de 48 minutes.
L’état des lieux des permissions
Le rapport 2024 de Microsoft sur la sécurité multicloud indique que, sur 51 000 permissions accordées aux identités humaines et machines, seulement 2 % sont effectivement utilisées. Les erreurs de configuration de gestion des identités sont responsables de 65 % des incidents de sécurité cloud détectés. Dans Microsoft 365, 57 % des organisations continuent d’avoir des administrateurs sur-privilégiés, avec certaines entreprises attribuant ce rôle à plus de 100 personnes.
Les obstacles à l’application du principe
Plusieurs défis expliquent cette situation. La complexité du modèle de rôles de Microsoft, qui comprend plus de 100 rôles intégrés, rend difficile la gestion des droits d’accès. De plus, l’héritage des privilèges historiques, accumulés au fil des migrations et réorganisations, contribue à cette dette technique. Enfin, la tension entre sécurité et productivité pousse souvent à privilégier la facilité d’accès au détriment de la sécurité.
Conclusion
Le principe de moindre privilège est essentiel mais reste largement inapplicable en raison de divers obstacles organisationnels et techniques. Les entreprises doivent transformer leurs pratiques de gestion des accès pour renforcer leur sécurité.
Source : Microsoft Digital Defense Report 2025, CrowdStrike 2025 Global Threat Report, rapport 2024 State of Multicloud Security de Microsoft.
