Conditional Access pour les PME : quoi, quand, comment ?

Conditional Access, c'est le « si ceci, alors cela » de la sécurité M365. Ça semble complexe — en réalité, 5 politiques suffisent à couvrir 80 % des risques. Voici le minimum indispensable.

Conditional Access (CA) vous permet de créer des politiques du type « exiger MFA lorsque X ». Ça paraît réservé aux grandes entreprises, mais le minimum viable reste tout à fait accessible pour les PME.

5 politiques à mettre en place

1. Bloquer l'authentification héritée. Les anciens protocoles de messagerie ne prennent pas en charge le MFA. Si vous ne les utilisez pas, bloquez-les tous.
2. Exiger le MFA pour tous les utilisateurs. La politique de base.
3. Exiger le MFA pour les rôles privilégiés. Avec des contrôles plus stricts (sans mot de passe d'application, sans mémorisation de l'appareil de confiance).
4. Exiger un appareil conforme pour les portails d'administration. Seuls les ordinateurs portables gérés par l'entreprise peuvent accéder à admin.microsoft.com ou au portail Azure.
5. Bloquer les connexions depuis les pays à risque. Si votre entreprise n'a pas d'activité en Asie : bloquez les connexions depuis cette région. Coût faible, efficacité élevée contre le credential-stuffing.

Conditions de licence

Conditional Access est inclus dans Azure AD Premium P1 (ou dans Business Premium). Si vous disposez uniquement de Business Basic : faites évoluer au minimum les 2 à 3 licences des comptes privilégiés vers P1.

Mode test d'abord

Toute nouvelle politique démarre en mode « rapport uniquement ». Pendant 1 semaine, vous visualisez ce qui aurait été bloqué, sans que rien ne soit réellement impacté. Activez-la seulement ensuite.

Compte break-glass

Créez un compte auquel CA ne s'applique PAS. Mot de passe aléatoire et robuste, imprimé et conservé dans un coffre. Si votre configuration CA vous verrouille dehors, c'est votre bouée de secours.

Voir aussi : Pilier M365, Déployer le MFA.