AccueilBlogApplications M365 : boost de productivité ou point d’entrée privilégié pour des attaques impactantes ?

Applications M365 : boost de productivité ou point d’entrée privilégié pour des attaques impactantes ?

Article
Publié le :
June 2025
7
min. de lecture
Partager cet article

L’attaque de janvier 2024 menée par le groupe Midnight Blizzard contre des dirigeants de Microsoft a mis en lumière une vulnérabilité critique : l’accès non contrôlé aux identités utilisées par les applications. Ces identités omniprésentes sont utilisées pour interagir avec les services Microsoft 365 et sont également appelées service principals ou comptes de service.

Chaque application connectée à votre environnement Microsoft 365 dispose d’une identité numérique comparable à une clé qui lui permet d'interagir avec des applications telles que SharePoint, Outlook ou Teams. Si ces identités ne sont pas correctement protégées elles deviennent alors des cibles privilégiées pour les cyberattaquants. Votre organisation Microsoft en possède des centaines voire des milliers : leur adoption massive combinée à un manque de surveillance représente un angle d'attaque significatif.

Vos collaborateurs jouent, eux aussi, un rôle central dans cette problématique car ce sont eux qui accordent l’accès aux données sensibles : en cliquant sur « Accepter » sur cette fameuse fenêtre, affichée lors de la connexion à une nouvelle application. En effet ils peuvent sans s’en rendre compte accorder des permissions très larges aux ressources de votre organisation.

Figure 1 : Fenêtre de consentement présentée à un utilisateur.

Des permissions excessives, des configurations mal sécurisées ou un manque de supervision font de ces identités des points d’entrée idéaux pour les attaquants. Une fois un accès compromis, les attaquants peuvent non seulement exfiltrer des données sensibles mais aussi paralyser l'ensemble de l’environnement Microsoft 365 car les permissions accordées peuvent être très privilégiées.

Il est donc impératif de reprendre le contrôle sur ces identités d’applications et de sécuriser rigoureusement leurs interconnexions.

"On constate une augmentation moyenne de 80% par an du nombre de nouvelles identités d’application.(1)"

💡 Pour en savoir plus n’hésitez pas à visionner notre talk complet présenté lors du Cybershow 2025 : Microsoft 365 – Et si la faille venait des accès de vos applications ? [Talk]

Les fondations d’un écosystème interconnecté

L'incident impliquant Midnight Blizzard souligne la fragilité d'un environnement Microsoft 365 lorsque les identités applicatives sont mal gérées. Mais en quoi ces identités et plus largement l'interconnexion des services cloud représentent-ils un tel défi pour la cybersécurité ?

  • L'essor du Cloud et l'indépendance des applications

L'adoption massive du cloud a profondément transformé les infrastructures informatiques des entreprises. Autrefois dépendantes de systèmes locaux (On-Premises) les organisations bénéficient désormais grâce à des plateformes comme Microsoft 365, d'un accès à distance, d'une collaboration en temps réel et d'une plus grande agilité.

Dans ce nouvel écosystème chaque application connectée joue un rôle essentiel : les outils de collaboration tels que Monday, Trello ou Salesforce sont conçus pour échanger des informations et interagir de manière transparente avec un environnement Microsoft 365.

Toutes ces applications qui utilisent le SSO (Single Sign-On) ou qui accèdent directement à vos ressources (fichiers, courriels, calendriers) à l’aide de scripts exploitent une identité disposant de privilèges sur votre organisation.

Ces interconnexions techniques augmentent considérablement la surface d'attaque: une application tierce mal configurée ou compromise peut devenir une porte d'entrée vers vos données sensibles. La multiplication des services et des intégrations rend d’ailleurs la gestion des identités applicatives de plus en plus complexe.

"Environ 25% des applications utilisées quotidiennement par vos collaborateurs sont des applications tierces ayant un accès à votre système d’information.(2)"

Même si le cloud offre des avantages indéniables il requiert aussi une gouvernance et un contrôle strict puisque la moindre identité mal gérée peut devenir une vulnérabilité critique exploitée en quelques instants par un attaquant depuis n’importe où.

  • L'API Graph : au cœur des accès

Facile d’accès et d’une efficacité redoutable, l’API Graph de Microsoft constitue le point névralgique des interactions avec l’écosystème Microsoft 365. Mais cette puissance combinée à sa simplicité d’usage peut aussi ouvrir une porte béante vers des ressources critiques si elle n’est pas correctement sécurisée.

En seulement quelques requêtes, une identité d’application peut par exemple :

  • Administrer le tenant Microsoft 365 : gestion des identités, configurations Entra, rôles et accès
  • Gérer les données de l’entreprise : contenus dans Exchange, SharePoint, OneDrive ou Teams
  • Superviser et configurer les solutions de sécurité : Microsoft Defender ou Purview
  • Exécuter des opérations critiques : telles que la sauvegarde ou la restauration complète d'un tenant
Figure 2 : Points d'accès de l'API Graph au sein d'une organisation

Cette capacité d’action fait de l'API Graph un canal d'accès privilégié aux données et services les plus sensibles de l'entreprise.  

Enjeux et risques des applications Entra

Exposition accrue aux menaces

Les identités d'applications permettent un accès direct et sans action humaine aux ressources critiques. Cet accès facilité rend les actions malveillantes encore plus discrètes et difficiles à détecter.

Afin de mieux comprendre un scénario d’attaque, voici un exemple concret de chaîne d’attaque qui exploite les identités d’applications :

Figure 3 : Exemple de chaîne de compromission
  1. Compromission initiale :  Un attaquant réussit à compromettre un compte utilisateur ou administrateur via phishing, brute force ou absence d'authentification multi facteur (MFA).
  2. Exploitation des permissions :  Le compte compromis est utilisé pour manipuler des identités d'applications, créer une nouvelle application malveillante ou attribuer des permissions excessives. Ce qui permet à l’attaquant d’élever ses privilèges et de créer un accès à des données sensibles.
  3. Mouvement latéral et exfiltration de données :  L'attaquant exploite l’API Graph pour accéder à des ressources critiques, telles que des fichiers SharePoint, des boîtes mail Outlook ou des journaux de sécurité. Les données sensibles sont exfiltrées, entraînant des conséquences financières, juridiques et réputationnelles.

L’incident mentionné en introduction illustre parfaitement en quoi une mauvaise gestion des identités d’application peut être exploitée à grande échelle pour atteindre les données de dirigeants de la plus grande entreprise technologique mondiale.

Garantir la conformité aux normes de sécurité tout en maîtrisant les risques opérationnels représente un enjeu important pour les entreprises. La complexité croissante des environnements cloud combinée à l'adoption massive des identités d'applications nécessite la mise en place d’outils et de processus adaptés.

Bonnes pratiques pour sécuriser les applications Entra

Afin de répondre aux problématiques évoquées précédemment il est essentiel de déployer des stratégies alliant sécurité, gouvernance et optimisation des processus. Voici nos principales recommandations :

Gouvernance et consentement des applications

  • Mettre en place des politiques de consentement

Contrôlez l'intégration des applications tierces en exigeant une évaluation préalable avant tout accès à des ressources sensibles. Cela permet de s’assurer qu’aucune application ne peut être connectée sans validation.

Consentement : Autorisation accordée par un utilisateur ou un administrateur à une application tierce pour accéder à des données ou effectuer des actions en son nom.

Trop souvent validé sans avoir été lu par les utilisateurs, ce mécanisme passe inaperçu alors qu’il peut ouvrir l’accès à des informations sensibles ou à des fonctions critiques du tenant.

  • Sensibiliser les utilisateurs

Former vos collaborateurs aux risques liés au consentement des applications tierces afin de prévenir les attaques de type consent phishing, dans lesquelles des applications malveillantes imitent des services légitimes pour obtenir des accès.

Accepter une demande d’accès d’une application malveillante équivaut parfois à lui accorder un accès complet à la messagerie, aux fichiers, voire à l’identité numérique de l’utilisateur.

Sans cette conscience collective, les campagnes de phishing ciblant les consentements continueront de faire des victimes.

Réduire et gérer ses permissions

Pour diminuer efficacement la surface d’attaque, nous recommandons :

  1. Identifier et supprimer les applications inutilisées :  Menez des audits réguliers pour détecter et supprimer les applications inactives ou obsolètes, souvent oubliées après des tests ou POC mais en réalité toujours actives.
  2. Lister et évaluer les applications externes critiques :  Recensez les applications tierces avec des permissions élevées et évaluez leur niveau de criticité. Cela permet d’anticiper les risques de mouvements latéraux ou de compromission par chaîne d’approvisionnement.
  3. Limiter les permissions excessives :  Appliquez rigoureusement le principe du moindre privilège: les applications ne doivent recevoir que les accès strictement nécessaires à leur fonctionnement.
  4. Mettre en place un processus de re-certification des permissions : Vérifiez régulièrement que les permissions accordées sont toujours pertinentes, en instaurant un cycle de revalidation des droits pour s'assurer qu'elles restent adaptées aux besoins actuels.

💡 Cyberlift propose un outil qui automatise ces tâches, génère des rapports détaillés sur les permissions existantes et facilite l’identification des anomalies ou des abus.

Renforcer la sécurité grâce à l'API Graph et les « Unified Logs »

L’API Graph est également un outil puissant permettant de :

  • Automatiser la surveillance : Utilisez l’API Graph pour collecter automatiquement des données sur les permissions et les activités des applications. Cela permet de détecter rapidement les comportements anormaux ou les permissions à risque.
  • Exploiter les Unified Logs : Intégrez les journaux d’activité (Unified Logs) pour surveiller les actions suspectes ou non autorisées par les applications.
  • Définir des accès conditionnels : Appliquez des politiques d’accès conditionnels basées sur le niveau de risque, permettant de dynamiquement bloquer ou de restreindre les applications compromises.

Bénéfices pour les organisations

En appliquant les bonnes pratiques évoquées précédemment et en s'appuyant sur des outils adaptés les organisations peuvent renforcer la sécurité de leur Microsoft 365 et améliorer leur niveau de contrôle et de visibilité.

Risques et surface d’attaque

Comme souligné plus haut une gestion rigoureuse des identités d'applications contribue directement à réduire la surface d'attaque notamment en limitant les risques d’élévation de privilèges ou de mouvements latéraux. Des outils tels que Privileged Identity Management (PIM) ou l’exploitation de l'API Graph permettent d’automatiser les processus de surveillance et de gestion des identités tout en renforçant leur sécurité.

Amélioration de la visibilité sur les applications et leurs permissions

Pour un RSSI ou un administrateur il est primordial de disposer d’une vue d'ensemble claire et à jour des applications connectées à l’environnement Microsoft 365. Cette visibilité permet d’identifier rapidement les applications à risque, d’évaluer leur criticité et de prioriser les actions correctives de manière plus efficace.

Conformité avec les normes et réglementations

Une bonne gestion des identités et des accès contribue fortement à la conformité avec des normes telles que ISO 27001 ou NIS2.

Cela implique de maintenir des pratiques robustes telles que:

  • Des audits de permissions réguliers
  • La re-certification régulière des accès
  • La mise en place de politiques de gouvernance adaptées

💡Ces pratiques sont indispensables mais complexes à déployer à grande échelle sans les outils adaptés, c’est pour cette raison que Cyberlift vous propose une offre dédiée.

  • Automatisation des audits : notre outil simplifie la cartographie des permissions et identifie les anomalies permettant d’auditer rapidement et précisément les identités d’applications.
  • Soutien à la re-certification : en générant des rapports clairs et un executive summary, l’outil facilite la validation des permissions par les équipes sécurité et les administrateurs.
  • Alignement avec les politiques de gouvernance : grâce à sa capacité à surveiller et prioriser les applications critiques, l’outil aide les organisations à structurer leur gestion des identités selon les standards ISO 27001 et NIS2.

Optimiser les ressources IT et cybersécurité

La gestion manuelle des permissions et des identités est chronophage, complexe et peu efficace. En automatisant ces processus avec des outils comme l’API Graph, les organisations peuvent :

  • Réduire les charges opérationnelles
  • Diminuer les erreurs humaines
  • Libérer du temps pour les tâches à plus forte valeur ajoutée pour les équipes IT et cybersécurité

Pour conclure

Les attaques comme celle menée par Midnight Blizzard ont mis en lumière les risques majeurs liés à une gestion approximative des identités d’applications : vol de données sensibles, compromission de systèmes critiques, désactivation des systèmes de sécurité...

Sécuriser les identités d’applications Microsoft 365 est une nécessité méconnue et dont l’impact est trop souvent sous-estimé par les entreprises.

Pour répondre à ces enjeux, les organisations doivent :

  • Auditer régulièrement les permissions et les identités 
  • Mettre en place les process adéquats pour contrôler les permissions affectées et maitriser les risques 
  • Déployer des accès conditionnels pour sécuriser les identités pendant toute leur durée de vie

Ces mesures sont essentielles pour garantir la sécurité de vos ressources et protéger vos données critiques.

D’après le State of Cloud Permissions 2023, seulement 2% des permissions à privilèges élevés dans le cloud sont réellement utilisées.

❓Savez-vous quelles applications ont accès à vos ressources les plus sensibles et si leurs permissions sont réellement justifiées ?

🔗 Vous pouvez aussi utiliser notre fiche pratique pour identifier les applications les plus risquées susceptible de compromettre la totalité de votre SI : https://cyberlift.fr/cybershow

(1), (2)Étude menée en 2024 chez nos clients ETI et grands comptes

Nos actualités

Actualité
Guide des bonnes pratiques et checklist de sécurité pour Google Workspace
Actualité
Applications M365 : boost de productivité ou point d’entrée privilégié pour des attaques impactantes ?
Actualité
Nouveauté OneDrive : risques d’exfiltration et perte de données. Êtes-vous exposé ?
Conformité Cloud Microsoft Azure
Actualité
30.4.2025
Conformité Cloud Microsoft Azure : quelle approche pour remédier efficacement vos ressources ?
Vidéo
Microsoft 365 - Et si la faille venait des accès de vos applications ? [Talk]
Zero Trust dans Azure
Actualité
19.2.2025
Implémentation du modèle Zero Trust dans Azure avec l'accès conditionnel
Actualité
Vulnérabilité dans M365 Booking
Directive NIS 2 dans l'UE
Actualité
22.11.2024
Implémentation de la Directive NIS 2 dans l'UE, qu'en est-il chez nos voisins ?
Actualité
Guide pratique DORA
Actualité
18.11.2024
Injection de Prompt et Jailbreaking : les vulnérabilités qui menacent les LLMs
Actualité
8.10.2024
Renforcer la confidentialité dans le Cloud, grâce au chiffrement Homomorphe
Actualité
5.9.2023
Cybersécurité et Smart Contracts
Actualité
5.9.2023
Cybersécurité et blockchains
IA et SOC
Actualité
16.9.2024
L’IA, vers une amélioration d’un SOC plus moderne ?

Secure your business

Contactez-nous et prenez rendez-vous dès aujourd’hui pour recevoir un devis gratuitement.
Nous contacter
Expertise
Conseil et expertiseAudit et conformitéSensibilisation et formationCyber des PME
Contactez-nous
Ressources
Nos actualitésNos REX
On recrute !
Qui sommes-nous ?Nous rejoindre
Postuler
Suivez-nous
Mentions légales