M365
Compte Microsoft 365 compromis : vérifier la boîte mail, les sessions et les accès qui restent
Un compte M365 compromis est souvent présenté comme un petit incident : on change le mot de passe, on active la MFA et on passe à autre chose. En pratique, c'est rarement suffisant. Une boîte mail peut contenir des données personnelles, des factures, des accès SaaS, des règles cachées, des délégations ou des consentements OAuth qui prolongent l'incident après la remise du compte à l'utilisateur.
Confinement court : reprendre le compte sans effacer la piste
Le premier réflexe utile consiste à bloquer temporairement le compte ou réinitialiser le mot de passe, révoquer les sessions, vérifier les méthodes MFA et empêcher la poursuite des envois frauduleux. Mais ces gestes doivent être horodatés : ils modifient l'état du compte et peuvent compliquer la reconstitution.
Adrien transformerait cette étape en checklist simple : compte sécurisé, utilisateur prévenu par un canal sûr, règles suspectes exportées, sessions révoquées, période de compromission estimée et premier périmètre de données.
- mot de passe réinitialisé
- sessions révoquées
- MFA contrôlée
- utilisateur isolé du canal mail
- premier journal d'action
Chercher la persistance discrète
Dans un incident M365, l'attaquant ne laisse pas toujours un malware. La persistance peut être une règle de transfert, une application OAuth, une délégation, un connecteur ou une méthode MFA ajoutée. Ce sont des détails administratifs, mais ils changent complètement la conclusion.
La vérification doit couvrir la boîte, l'identité et les applications connectées. Une règle qui déplace les mails de facturation vers un dossier ignoré est parfois plus dangereuse qu'un envoi massif visible.
- règles de boîte
- transfert externe
- OAuth et consentements
- délégations
- méthodes MFA
- SharePoint/OneDrive
Qualifier la donnée touchée
La vraie question n'est pas seulement 'le compte est-il récupéré ?'. C'est 'qu'est-ce qu'un tiers non autorisé a pu consulter ou utiliser ?'. Une boîte commerciale peut contenir devis, données clients, contrats, pièces d'identité, coordonnées bancaires ou échanges RH.
Cette qualification alimente la décision CNIL, la communication clients et le retour d'expérience. Elle doit rester factuelle : période, catégories de données, volume approximatif, personnes concernées, conséquences probables et mesures prises.
- période suspecte
- catégories de données
- messages envoyés
- fichiers consultables
- risque pour les personnes
Transformer l'incident en durcissement mesurable
Après le traitement immédiat, le bon plan évite le catalogue infini : MFA résistante au phishing sur comptes sensibles, alertes règles mailbox, revue OAuth, réduction du partage externe, activation ou vérification des logs et procédure de réponse compte compromis.
Le livrable attendu est très opérationnel : ce qui a été trouvé, ce qui a été supprimé, ce qui reste incertain, les comptes similaires à contrôler et les mesures à appliquer sous 30 jours.
- alertes mailbox
- revue OAuth
- MFA sensible
- journalisation audit
- playbook compte compromis
Terrain
Décisions, signaux et preuves à ne pas perdre
Décision
À décider
- Le compte donne-t-il accès à des données clients, RH, santé, facturation ou support ?
- Faut-il traiter l'incident comme une violation de données personnelles ?
- Des clients ou fournisseurs ont-ils reçu un message frauduleux depuis l'adresse légitime ?
- L'utilisateur peut-il reprendre son compte sans risque de persistance ?
- Quels contrôles deviennent obligatoires sur les autres comptes sensibles ?
Technique
À vérifier techniquement
- Connexion réussie depuis pays, ASN, appareil ou navigateur inhabituel
- Création de règles InboxRule, transfert externe, marquage automatique en lu ou déplacement vers dossier discret
- Consentement OAuth suspect, nouvelle application tierce ou permissions excessives
- Envois massifs, réponses à des fils clients, message trace anormal ou tentative de fraude
- Ajout de méthode MFA, délégation mailbox, accès SharePoint/OneDrive ou export inhabituel
Preuves
Preuves à conserver
- Sign-in logs Entra ID, événements de risque utilisateur et sessions actives révoquées
- Règles mailbox, forwarding SMTP, délégations, transport rules et trace des messages envoyés
- Applications OAuth consenties, permissions et dates d'autorisation
- Période de compromission estimée et liste des boîtes, fichiers ou SaaS consultables
- Éléments de qualification RGPD : catégories de données, personnes concernées, volume approximatif
Pièges
Erreurs fréquentes
- Changer le mot de passe sans révoquer les sessions et tokens actifs.
- Oublier les règles de boîte, les délégations ou les applications OAuth.
- Ne pas regarder les messages envoyés et les accès aux fichiers pendant la fenêtre suspecte.
- Conclure trop tôt qu'il n'y a pas de fuite faute de preuve disponible.
Questions fréquentes
La MFA suffit-elle à clore ce type d'incident ?
Non. Elle réduit le risque futur, mais elle ne dit pas ce qui s'est passé pendant la fenêtre de compromission et ne supprime pas toujours les persistances déjà créées.
Faut-il notifier la CNIL pour chaque compte compromis ?
Pas automatiquement. Il faut qualifier les données et le risque pour les personnes. En cas de doute sérieux, la documentation interne doit être assez solide pour justifier la décision.
Sources publiques
Références utilisées sans copie de contenu
Les liens ci-dessous servent de repères publics. Le contenu de cette page est reformulé, contextualisé et adapté à l'approche terrain d'Adrien Murillo.