> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/fr/guides-de-remediation-des-vulnerabilites/cloud-scan/microsoft-azure-entra-id-microsoft-365.md).

# Microsoft Azure / Entra ID / Microsoft 365

Ces constatations s’appliquent aux organisations utilisant les services cloud Microsoft (abonnements Azure, Microsoft 365, Entra ID / Azure Active Directory).

## Utilisateurs privilégiés avec MFA désactivé

**Gravité : élevée**

### Ce que cela signifie

L’authentification multifacteur (MFA) ajoute une deuxième couche de sécurité lors de la connexion, généralement un code provenant d’une application mobile ou une clé matérielle. Sans MFA, si un attaquant devine ou vole le mot de passe d’un administrateur (par hameçonnage, fuite de données ou force brute), il obtient un accès complet à votre environnement cloud sans autre obstacle.

Cette détection signale **les comptes d’administrateur qui n’ont pas MFA activé**. Ce sont les comptes les plus sensibles de votre organisation : un compte d’administrateur compromis peut entraîner la prise de contrôle de vos e-mails, de vos fichiers et de votre infrastructure.

### Ce que l’analyse vérifie

L’analyse examine tous les utilisateurs disposant de rôles privilégiés (Administrateur général, Administrateur d’application, Administrateur de la sécurité, etc.) et vérifie s’ils sont inscrits à MFA. L’alerte se déclenche si un utilisateur privilégié a MFA désactivé.

### Comment corriger

**Option A : activer les paramètres de sécurité par défaut (le plus simple)**

Si vous n’avez pas encore de stratégies d’accès conditionnel, les paramètres de sécurité par défaut sont le moyen le plus rapide d’imposer MFA à tous les utilisateurs :

1. Accédez à [Entra ID](https://entra.microsoft.com) > `Identité` > `Vue d’ensemble` > `Propriétés`.
2. Cliquez sur `Gérer les paramètres de sécurité par défaut`.
3. Définissez sur `Activé`.

**Option B : utiliser l’accès conditionnel (recommandé pour les grandes organisations)**

1. Accédez à [Entra ID](https://entra.microsoft.com) > `Protection` > `Accès conditionnel`.
2. Cliquez sur `+ Nouvelle stratégie`.
3. Nommez-le : « Exiger MFA pour les administrateurs ».
4. Sous `Utilisateurs`: sélectionnez `Rôles de répertoire` et choisissez tous les rôles d’administrateur (Administrateur général, Administrateur de la sécurité, etc.).
5. Sous `Accorder`: sélectionnez `Exiger l’authentification multifacteur`.
6. Définissez la stratégie sur `Activé` et enregistrez.

Après avoir créé la stratégie, chaque administrateur sera invité à configurer MFA lors de sa prochaine connexion.

## Utilisateurs Shadow Admin

**Gravité : faible**

### Ce que cela signifie

Un « Shadow Admin » est un utilisateur qui dispose de pouvoirs d’administration sans être un administrateur évident. Il possède des rôles comme « Administrateur des mots de passe » ou « Administrateur du support technique » qui lui donnent des autorisations importantes (par exemple, réinitialiser le mot de passe de n’importe qui, gérer des applications), mais il peut ne pas être soumis aux mêmes contrôles de sécurité (MFA, revues d’accès) que les administrateurs officiellement reconnus.

Le risque est que ces comptes passent sous le radar : ils n’apparaissent pas dans la liste des « Administrateurs généraux », mais un attaquant qui en compromet un peut tout de même causer de sérieux dégâts, par exemple en réinitialisant le mot de passe d’un Administrateur général et en prenant le contrôle de l’ensemble du tenant.

### Ce que l’analyse vérifie

L’analyse identifie les utilisateurs affectés à l’un de ces rôles Entra ID :

* Administrateur d’application
* Administrateur de l’authentification
* Administrateur d’applications cloud
* Administrateur du support technique
* Administrateur des mots de passe
* Administrateur de l’authentification privilégiée
* Administrateur des rôles privilégiés
* Administrateur des comptes d’utilisateur

Les utilisateurs qui ont aussi le rôle d’Administrateur général sont exclus (ils sont déjà visibles comme administrateurs complets).

### Comment corriger

1. Accédez à [Entra ID](https://entra.microsoft.com) > `Rôles et administrateurs`.
2. Cliquez sur chacun des rôles listés ci-dessus.
3. Passez en revue la liste des utilisateurs affectés. Pour chaque utilisateur, demandez-vous :
   * **Cette personne a-t-elle réellement besoin de ce rôle ?** Sinon, supprimez-la.
   * **S’agit-il d’une attribution permanente ?** Envisagez d’utiliser [Privileged Identity Management (PIM)](https://learn.microsoft.com/en-us/entra/id-governance/privileged-identity-management/) pour un accès juste-à-temps plutôt que des attributions de rôle permanentes.
   * **MFA est-il activé pour cet utilisateur ?** Les Shadow Admin devraient avoir les mêmes exigences MFA que les administrateurs complets.

## Pourcentage élevé d’utilisateurs privilégiés

**Gravité : moyenne**

### Ce que cela signifie

Plus de **10 % de vos utilisateurs** ont des rôles d’administrateur dans Entra ID. Cela indique que les autorisations d’administration ont été accordées de manière trop large, peut-être par commodité, ou parce qu’un accès temporaire n’a jamais été révoqué.

Chaque compte d’administrateur est un point d’entrée potentiel pour un attaquant. Réduire le nombre d’administrateurs limite l’impact si un compte est compromis.

### Ce que l’analyse vérifie

L’analyse compte le nombre total d’utilisateurs disposant d’un rôle d’administration et le compare au nombre total d’utilisateurs activés. L’alerte se déclenche si le ratio dépasse 10 %.

### Comment corriger

1. Accédez à [Entra ID](https://entra.microsoft.com) > `Rôles et administrateurs`.
2. Pour chaque rôle d’administrateur, vérifiez qui est affecté.
3. Supprimez les utilisateurs qui n’ont plus besoin d’un accès d’administration.
4. Pour les utilisateurs qui n’ont besoin d’un accès d’administration qu’occasionnellement, utilisez **Privileged Identity Management (PIM)** pour une élévation juste-à-temps.

## Utilisateurs avec MFA désactivé

**Gravité : élevée**

### Ce que cela signifie

Certains utilisateurs de votre organisation n’ont pas MFA activé. Sans MFA, un mot de passe volé ou deviné suffit à un attaquant pour accéder à leur boîte aux lettres, à leurs fichiers et à toutes les applications auxquelles ils ont accès.

C’est ainsi que se produisent la majorité des attaques de compromission de messagerie professionnelle (BEC) : un attaquant récupère le mot de passe d’un utilisateur par hameçonnage, se connecte sans MFA, puis envoie des e-mails frauduleux ou vole des données sensibles.

### Ce que l’analyse vérifie

L’analyse vérifie l’état d’inscription MFA de tous les utilisateurs activés. Tout utilisateur dont `isMfaRegistered = false` déclenche l’alerte.

### Comment corriger

L’approche la plus efficace consiste à imposer MFA à tous les utilisateurs via l’accès conditionnel ou les paramètres de sécurité par défaut (voir « Utilisateurs privilégiés avec MFA désactivé » ci-dessus pour les instructions étape par étape).

Pour vérifier quels utilisateurs n’ont pas MFA :

1. Accédez à [Entra ID](https://entra.microsoft.com) > `Protection` > `Méthodes d’authentification` > `Détails d’inscription de l’utilisateur`.
2. Filtrez par « MFA capable = No » pour voir qui ne s’est pas inscrit.

## Aucun contact de sécurité configuré

**Gravité : moyenne**

### Ce que cela signifie

Microsoft Defender for Cloud peut détecter des menaces de sécurité dans votre environnement Azure (tentatives de connexion suspectes, logiciels malveillants, services exposés, etc.). Mais si aucune adresse e-mail n’est configurée, ces alertes n’ont nulle part où aller : personne n’est notifié et les attaques peuvent passer inaperçues.

### Ce que l’analyse vérifie

L’analyse vérifie qu’au moins une adresse e-mail de contact de sécurité est configurée dans les paramètres de notification de Microsoft Defender for Cloud.

### Comment corriger

1. Accédez à l'onglet [Portail Azure](https://portal.azure.com).
2. Accédez à `Microsoft Defender for Cloud` > `Paramètres de l’environnement`.
3. Sélectionnez votre abonnement.
4. Cliquez sur `Notifications par e-mail`.
5. Renseignez :
   * **Adresses e-mail supplémentaires :** ajoutez une liste de distribution (par ex., `security@yourcompany.com`), évitez d’utiliser l’adresse e-mail d’une seule personne.
   * **Types de notifications :** au moins les alertes de gravité élevée.
6. Cliquez sur `Enregistrer`.

## Aucun rôle d’administration des verrous de ressources

**Gravité : faible**

### Ce que cela signifie

Azure **Verrous de ressources** protègent les ressources critiques (bases de données, réseaux virtuels, comptes de stockage) contre une suppression ou une modification accidentelle. Même un administrateur disposant de toutes les autorisations ne peut pas supprimer une ressource verrouillée sans d’abord retirer le verrou.

Cette détection signifie que personne dans votre organisation n’a reçu de rôle spécifiquement destiné à la gestion de ces verrous. Sans responsable désigné, les verrous peuvent ne pas être utilisés de manière cohérente, ou des ressources critiques peuvent rester non protégées.

### Ce que l’analyse vérifie

L’analyse recherche un rôle RBAC personnalisé disposant des autorisations pour gérer les verrous de ressources (`Microsoft.Authorization/locks/*`). Si un tel rôle n’existe pas ou si personne ne lui est affecté, l’alerte se déclenche.

### Comment corriger

1. Accédez à l'onglet [Portail Azure](https://portal.azure.com) > `Abonnements` > sélectionnez votre abonnement.
2. Accédez à `Contrôle d’accès (IAM)` > `Rôles` > `+ Ajouter` > `Ajouter un rôle personnalisé`.
3. Créez un rôle avec les autorisations suivantes :

```
Microsoft.Authorization/locks/read
Microsoft.Authorization/locks/write
Microsoft.Authorization/locks/delete
```

4. Attribuez ce rôle à un administrateur de confiance.
5. Demandez à cet administrateur d’appliquer **Supprimer les verrous** sur les ressources critiques (bases de données, comptes de stockage, coffres de clés).

## Key Vault non récupérable

**Gravité : élevée**

### Ce que cela signifie

Azure Key Vault stocke vos secrets, vos clés de chiffrement et vos certificats. Si quelqu’un supprime accidentellement (ou malveillamment) un Key Vault, vous perdez tout cela. Sans **soft-delete** et **purge protection** activés, un Key Vault supprimé est perdu pour toujours : il n’y a aucune récupération.

### Ce que l’analyse vérifie

L’analyse vérifie que les deux protections sont activées :

* **Soft-delete :** les coffres Key Vault supprimés sont conservés pendant une période de rétention (90 jours par défaut) et peuvent être récupérés.
* **Protection contre la purge :** même après le soft-delete, le coffre ne peut pas être supprimé définitivement pendant la période de rétention.

### Comment corriger

1. Accédez à l'onglet [Portail Azure](https://portal.azure.com) > `Coffres Key Vault` > sélectionnez votre coffre.
2. Accédez à `Propriétés`.
3. Activez `Suppression réversible` (remarque : cette option est désormais activée par défaut sur les nouveaux coffres et ne peut pas être désactivée).
4. Activez `Protection contre la purge`.
5. Cliquez sur `Enregistrer`.

Pour les coffres existants via Azure CLI :

```bash
az keyvault update --name <vault-name> --enable-purge-protection true
```

## HTTPS non imposé sur App Service

**Gravité : élevée**

### Ce que cela signifie

Votre App Service Azure (site web ou API) accepte du trafic HTTP non chiffré. Cela signifie que les données envoyées entre les utilisateurs et votre application, y compris les identifiants de connexion, les informations personnelles et les jetons de session, peuvent être interceptées par toute personne située sur le chemin réseau.

### Ce que l’analyse vérifie

L’analyse vérifie le `HTTPS uniquement` paramètre sur chaque App Service. S’il est défini sur `Désactivé`, l’alerte se déclenche.

### Comment corriger

1. Accédez à l'onglet [Portail Azure](https://portal.azure.com) > `App Services` > sélectionnez votre application.
2. Accédez à `Paramètres` > `Configuration` > `Paramètres généraux`.
3. Définissez `HTTPS uniquement` sur `Activé`.
4. Cliquez sur `Enregistrer`.

## Version TLS non sécurisée sur App Service

**Gravité : élevée**

### Ce que cela signifie

Votre App Service accepte des connexions utilisant TLS 1.0 ou 1.1, qui sont des protocoles de chiffrement obsolètes présentant des vulnérabilités connues. Les navigateurs modernes et les normes de sécurité exigent TLS 1.2 ou une version supérieure.

### Ce que l’analyse vérifie

Version TLS minimale configurée sur l’App Service. L’alerte se déclenche si elle est inférieure à 1.2.

### Comment corriger

1. Accédez à l'onglet [Portail Azure](https://portal.azure.com) > `App Services` > sélectionnez votre application.
2. Accédez à `Paramètres` > `Configuration` > `Paramètres généraux`.
3. Définissez `Version TLS minimale` sur `1.2`.
4. Cliquez sur `Enregistrer`.

## SQL / PostgreSQL / MySQL : application du SSL désactivée

**Gravité : élevée**

### Ce que cela signifie

Votre serveur de base de données accepte des connexions non chiffrées. Sans application de SSL/TLS, les identifiants et les données envoyés entre votre application et la base de données peuvent être interceptés sur le réseau.

### Comment corriger

**Pour Azure Database for MySQL :**

1. Accédez à [Portail Azure](https://portal.azure.com) > `Azure Database for MySQL` > sélectionnez votre serveur.
2. Accédez à `Sécurité de la connexion`.
3. Définissez `Imposer une connexion SSL` sur `ACTIVÉ`.
4. Cliquez sur `Enregistrer`.

**Pour Azure Database for PostgreSQL :**

1. Accédez à [Portail Azure](https://portal.azure.com) > `Azure Database for PostgreSQL` > sélectionnez votre serveur.
2. Accédez à `Sécurité de la connexion`.
3. Définissez `Imposer une connexion SSL` sur `ACTIVÉ`.
4. Cliquez sur `Enregistrer`.

## Conteneur Blob public

**Gravité : élevée**

### Ce que cela signifie

Un ou plusieurs de vos conteneurs blob Azure Storage sont configurés pour un **accès public**, ce qui signifie que n’importe qui sur Internet peut lire les fichiers qu’ils contiennent sans authentification. C’est une source fréquente de fuites de données.

### Comment corriger

1. Accédez à [Portail Azure](https://portal.azure.com) > `Comptes de stockage` > sélectionnez le compte.
2. Accédez à `Configuration`.
3. Définissez `Autoriser l’accès public aux blobs` sur `Désactivé`.
4. Ou, pour corriger des conteneurs individuels : accédez à `Conteneurs`, sélectionnez le conteneur et modifiez `Niveau d’accès public` sur `Privé`.

## Disques de machine virtuelle non chiffrés

**Gravité : élevée**

### Ce que cela signifie

Les disques de votre machine virtuelle ne sont pas chiffrés. Si le matériel physique sous-jacent est compromis, mis hors service ou éliminé de manière incorrecte, les données sur ces disques pourraient être lues en clair.

### Comment corriger

1. Accédez à [Portail Azure](https://portal.azure.com) > `Machines virtuelles` > sélectionnez la VM.
2. Accédez à `Disques` > `Paramètres supplémentaires`.
3. Activez `Chiffrement de disque Azure` (ADE) ou `chiffrement côté serveur avec des clés gérées par le client`.
4. Pour les nouvelles VM, activez le chiffrement lors de la création.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/fr/guides-de-remediation-des-vulnerabilites/cloud-scan/microsoft-azure-entra-id-microsoft-365.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
