Le principe de moindre privilège s’est imposé comme une évidence dans la gouvernance IT. Partout. Y compris dans Microsoft 365. Mais, dans ce dernier, sa mise en œuvre reste freinée par une dette de permissions, la fragmentation des rôles et la faible maîtrise des accès non humains. Explications.

Tout le monde est d’accord sur le principe du moindre privilège. Les cadres le prescrivent, les régulateurs l’imposent désormais. Pourtant, 99 % des identités cloud disposent de permissions excessives, 57 % des organisations ont des administrateurs sur-privilégiés dans leur tenant Microsoft 365, et seulement 2 % des permissions accordées sont effectivement utilisées. Entre la doctrine Zero Trust et la réalité opérationnelle, le fossé n’a jamais été aussi large. Ni aussi dangereux.

600 millions d’attaques par jour, et ce ne sont pas celles que vous croyez

Microsoft Entra détecte 600 millions d’attaques par identité chaque jour, et bloque 7 000 attaques par mot de passe à la seconde. 97 % de ces tentatives relèvent du password spraying : les attaquants ne cherchent pas à exploiter une vulnérabilité logicielle, ils s’authentifient avec des identifiants valides ou prévisibles (Microsoft Digital Defense Report 2025).

Ce qui est moins souvent dit, c’est ce qui se passe une fois que l’attaquant est à l’intérieur. Le rapport CrowdStrike 2025 Global Threat Report révèle que 79 % des cyberintrusions en 2024 n’impliquaient aucun malware. Les attaquants ne déposent pas de fichier malveillant : ils entrent avec des identifiants légitimes, puis explorent les permissions disponibles pour escalader. Le temps moyen de progression latérale est tombé à 48 minutes, avec un record à 51 secondes. L’escalade de privilèges figure dans 68 % des attaques par ransomware.

Dans ce contexte, chaque permission excessive accordée à un utilisateur, un administrateur ou une application est une opportunité offerte à l’attaquant. Et les données montrent que ces opportunités sont omniprésentes.

L’état des lieux : un océan de privilèges inutiles

Les chiffres sont accablants, quel que soit l’angle d’analyse.

Le rapport 2024 State of Multicloud Security de Microsoft établit que sur 51 000 permissions accordées aux identités humaines et machines dans les environnements cloud, seulement 2 % sont effectivement utilisées. Les 98 % restantes constituent une surface d’attaque dormante : des droits sans utilité opérationnelle qui, en cas de compromission, offrent à l’attaquant un accès disproportionné. Pire : plus de 50 % des identités cloud avaient accès à l’intégralité des permissions et des ressources, créant ce que Microsoft appelle des « super identités ».

L’analyse de Palo Alto Networks Unit 42, portant sur plus de 680 000 identités dans 18 000 comptes cloud, confirme la tendance : 99 % des utilisateurs, rôles et services disposent de permissions excessives, certaines inutilisées depuis plus de 60 jours. Les erreurs de configuration IAM sont directement responsables de 65 % des incidents de sécurité cloud détectés.

Dans le périmètre spécifique de Microsoft 365, la situation n’est pas meilleure. 57 % des organisations ont des administrateurs sur-privilégiés dans leur tenant. Certes, 61 % des tenants ont désormais 5 Global Admins ou moins, à rapprocher de la recommandation CIS/Microsoft de 2 à 4 maximum. Mais 20 % en ont encore 10 ou plus, et certaines entreprises attribuent ce rôle à plus de 100 personnes. Or, un « Global Administrator » dans Microsoft 365 dispose d’un pouvoir quasi illimité : accès à toutes les boîtes mail, modification de toutes les politiques de sécurité, suppression de comptes, création de backdoors. C’est exactement ce que les attaquants recherchent.

Le problème ne se limite pas aux identités humaines. Le rapport CyberArk 2025 Identity Security Threat Landscape révèle que le ratio entre identités machines et identités humaines est désormais de 82 pour 1. Or, 42 % des identités machines disposent d’un accès privilégié ou sensible, alors même que 88 % des organisations définissent encore un « utilisateur privilégié » comme exclusivement humain. Les applications Entra ID à privilèges excessifs constituent un angle mort majeur : 51 % des tenants ont plus de 250 applications avec des permissions en lecture-écriture, dont certaines disposent de capacités équivalentes à un « Global Administrator ».

Pourquoi le moindre privilège reste un vœu pieux

Si le principe est universellement accepté, pourquoi son application reste-t-elle aussi lacunaire ? Les obstacles sont à la fois techniques, organisationnels et culturels.

La complexité du modèle de rôles Microsoft. Entra ID compte plus de 100 rôles intégrés, dont 28 marqués comme « privilégiés ». Ces rôles se répartissent entre rôles Entra ID, rôles spécifiques aux services (Exchange, Intune, SharePoint, Teams) et rôles Azure RBAC. Cette tripartition est source de confusion chronique. Les « Administrative Units » permettent de limiter la portée des rôles, mais ajoutent une couche de complexité supplémentaire. Résultat : 89 % des organisations souhaitent réduire les droits d’administration excessifs, mais 62 % estiment que le modèle natif Microsoft est trop complexe pour y parvenir efficacement (CoreView, 2025).

L’héritage des privilèges historiques. Les environnements Microsoft 365 ne naissent pas sur-privilégiés : ils le deviennent progressivement. Une migration, une réorganisation, un départ mal traité, un projet urgent qui nécessitait « temporairement » un accès élargi, autant d’occasions où des droits s’accumulent et ne sont jamais révoqués. Sans mécanisme systématique de revue et de nettoyage, les privilèges forment une dette technique silencieuse.

La tension entre sécurité et productivité. Restreindre les privilèges génère de la friction opérationnelle. Un administrateur qui doit demander une élévation de droits pour chaque action est un administrateur ralenti. Un service desk qui ne peut pas résoudre un ticket faute de permissions suffisantes est un service desk frustré. Dans cette tension quotidienne, la facilité l’emporte presque toujours sur la sécurité. Jusqu’à l’incident.

La négligence des identités non humaines. Les applications, les « service principals » et les comptes de service sont les grands oubliés de la gouvernance des privilèges. Ils ne changent pas de mot de passe, ne partent pas en congés, ne démissionnent pas. Leurs permissions, une fois accordées, restent actives indéfiniment. Et leurs secrets (clés API, certificats) expirent sans que personne ne s’en préoccupe. Ou, pire, sont renouvelés avec les mêmes niveaux de permissions excessifs.

Ce que les attaquants font de vos privilèges excessifs

L’affaire Midnight Blizzard (MSRC, janvier 2024) illustre parfaitement la chaîne d’exploitation. L’attaquant n’a pas eu besoin de trouver une faille technique. Il a trouvé un compte de test sans MFA, avec un mot de passe faible. À partir de ce compte, il a exploité une application « OAuth legacy » disposant de privilèges élevés dans l’environnement : une application créée des années auparavant pour un besoin ponctuel, jamais décommissionnée, jamais auditée. Cette application a servi de tremplin pour obtenir le rôle « full_access_as_app » sur Exchange Online, donnant accès aux boîtes mail de la direction de Microsoft.

Deux enseignements à en tirer. D’abord, l’attaquant n’a pas eu à escalader les privilèges par une technique sophistiquée : les privilèges étaient déjà là, en attente d’être exploités. Ensuite, le compte compromis n’était pas un compte d’administrateur actif, mais un vestige, un artefact de la dette de privilèges accumulée au fil des années.

Des vecteurs d’attaque encore plus préoccupants ont été documentés. Des chercheurs en sécurité ont démontré qu’une application Entra disposant de la permission « AppRoleAssignment.ReadWrite.All » peut s’auto-attribuer le rôle « RoleManagement.ReadWrite.Directory », puis se promouvoir « Global Administrator », sans aucune intervention humaine (Semperis, 2024). C’est un chemin d’escalade qui part d’une permission apparemment anodine pour atteindre le contrôle total du tenant.

Le rapport Verizon DBIR 2025 confirme l’ampleur du phénomène : 22 % des violations commencent par l’abus d’identifiants, 88 % des attaques web basiques impliquent des identifiants volés, et les violations impliquant des partenaires tiers ont doublé pour atteindre 30 % du total. Chaque privilège excessif, chaque accès oublié, chaque application sur-privilégiée élargit d’autant la surface accessible à l’attaquant.

Ce que les régulateurs exigent désormais

L’obligation ne vient plus seulement des bonnes pratiques. Elle est inscrite dans la loi.

NIS2, dans ses articles 18 à 22, impose explicitement les politiques de contrôle d’accès, l’application du moindre privilège, l’authentification multi-facteur, et la distinction complète entre utilisateurs avec et sans privilèges administratifs. Les comptes d’administration doivent avoir des identifiants différents des comptes utilisateurs. Les droits doivent être vérifiés périodiquement et révoqués en cas de changement.

L’ANSSI a publié en juin 2025 son guide PA-111 « Modèle Zero Trust – Les fondamentaux », avec une douzaine de recommandations pour adopter le Zero Trust de manière progressive. L’agence y réaffirme un principe fondateur : aucune entité n’est digne de confiance par défaut, le moindre privilège doit être appliqué, une surveillance constante est nécessaire. L’ANSSI précise que les postes d’administration doivent faire l’objet d’un traitement spécifique, conforme au guide PA-022 (v3, 2021) qui recommande le modèle de « tiering » et la séparation stricte des comptes.

Gartner prévoyait en janvier 2023 que d’ici 2026, seulement 10 % des grandes entreprises disposeraient d’un programme Zero Trust mature et mesurable, contre moins de 1 % au moment de la publication. L’analyste ajoutait que plus de la moitié des cyberattaques cibleraient des zones non couvertes par les contrôles Zero Trust. Nous sommes en 2026. La question n’est plus de savoir si le moindre privilège est important. La question est de savoir pourquoi, malgré l’unanimité théorique et la pression réglementaire, l’exécution reste aussi défaillante.

Le vrai défi est organisationnel, pas technique

La réponse à cette question ne se trouve pas dans la technologie. Les outils existent : PIM pour l’accès Just-In-Time, « Entra Administrative Units » pour la segmentation, les rôles personnalisés pour la granularité, les workflows d’approbation pour le contrôle. Le vrai défi est organisationnel.

Il exige de transformer des habitudes ancrées depuis des années : l’habitude de donner le rôle Global Admin « parce que c’est plus simple », l’habitude de ne jamais révoquer un accès « au cas où », l’habitude de créer des comptes de service avec des permissions maximales « pour que ça marche ». Cela suppose aussi de traiter la gouvernance des privilèges non pas comme un projet technique ponctuel, mais comme une discipline continue portée au niveau de la direction.

Les organisations qui y parviennent ne sont pas seulement mieux protégées contre les attaquants qui exploitent les identités, c’est-à-dire la très grande majorité des attaquants aujourd’hui. Elles sont aussi les mieux préparées pour les audits NIS2, les contrôles DORA et les revues d’accès que les régulateurs imposeront avec une exigence croissante.

Le moindre privilège est peut-être le principe le plus consensuel de la cybersécurité. Il est temps qu’il devienne aussi le plus appliqué.
____________________________

Par Vincent Convert, Region Sales Manager, Southern Europe, CoreView

 

____________________________

À lire également :

Claude IA s’installe peu à peu au cœur de Microsoft 365

Microsoft 365 E7 et Agent 365 : le prix de l’ère agentique

Proton Workspace défie Microsoft 365 et Google Workspace tout en protégeant la vie privée

Pourquoi les sauvegardes de Microsoft 365 sont une nécessité, et non un choix !

Les comptes Microsoft 365 sont la cible d’une vaste campagne d’attaques ciblées