Comprendre le Baseline Security Mode (BSM) de Microsoft 365

Qu’est-ce que le Baseline Security Mode (BSM) ?

Le Baseline Security Mode (BSM) est une nouvelle fonctionnalité de sécurité introduite par Microsoft pour offrir à tous les tenants Microsoft 365 un socle minimal de protection robuste, cohérent et actualisé, sans nécessiter de configuration complexe.

L’idée est simple : réduire au maximum la surface d’attaque des organisations en appliquant automatiquement (ou sur demande) un ensemble de bonnes pratiques de sécurité soutenues par Microsoft, notamment autour de :

  • l’authentification et la gestion des accès,
  • le blocage des protocoles legacy,
  • la protection des fichiers et applications Office,
  • la sécurité des appareils de réunion et comptes de ressources,
  • les paramètres « secure by default ».

BSM n’est pas un remplacement des Conditional Access, ni des Security Defaults, ni des baselines Intune.
Il s’agit plutôt d’un cadre centralisé, conçu pour garantir que toutes les organisations disposent au moins d’un niveau plancher de sécurité.

Pourquoi Microsoft déploie-t-il les BSM ?

Pour combler les écarts de sécurité entre tenants

Beaucoup d’organisations, notamment les petites et moyennes, n’ont pas le temps ni les compétences pour configurer proprement la sécurité Microsoft 365.
Résultat : des milliers de tenants restent vulnérables par défaut.

Avec BSM, Microsoft cherche à réduire ces écarts en rendant accessibles des réglages jusqu’ici réservés aux organisations plus avancées.

Pour limiter les compromissions à l’échelle mondiale

Microsoft observe que la majorité des intrusions dans M365 proviennent de tenants :

  • sans MFA,
  • avec des protocoles obsolètes encore actifs,
  • avec des comptes de ressources non protégés,
  • utilisant d’anciens contrôles Office non sécurisés.

Un socle commun réduit les vulnérabilités globales, et donc l’exposition de tout l’écosystème Microsoft.

Pour aligner automatiquement les organisations sur des standards reconnus

Les BSM s’appuient sur des recommandations Microsoft telles que Zero Trust, Secure-by-Default et Rapid Modernization Roadmap.

Ce que cela implique pour les organisations

BSM est optionnel (pour le moment)

Les organisations doivent décider d’activer ou non les BSM.
Microsoft ne les force pas (à la différence des Security Defaults).

Aucune activation automatique qui “casserait tout”

Les BSM ne remplaceront pas brutalement vos Conditional Access ou vos stratégies existantes.
Ils peuvent être activés en mode rapport/simulation, permettant d’identifier :

  • doublons,
  • conflits,
  • angles morts de sécurité,
  • comptes legacy problématiques.

Les organisations matures peuvent s’en servir comme outil d’audit

Même un tenant avancé peut tirer profit des BSM :

  • pour valider que rien n’a été oublié,
  • pour détecter des applications encore dépendantes de protocoles obsolètes,
  • pour comparer sa posture interne au standard Microsoft 2025+.

Les organisations moins matures peuvent adopter un socle fiable en quelques clics

BSM sert alors de “configuration de sécurité prête à l’emploi”, un gain de temps énorme.

Pourquoi est-il important d’être accompagné ?

La sécurité Microsoft 365 est devenue complexe

Entre Security Defaults, Conditional Access, Intune, Defender, et maintenant BSM, les interactions peuvent être nombreuses.
Un mauvais réglage peut perturber :

  • des applications métiers,
  • des comptes de service,
  • des processus d’authentification déjà en place.

Un accompagnement permet d’éviter des interruptions, même temporaires.

Les BSM peuvent révéler des dépendances legacy cachées

L’activation en mode simulation peut mettre en lumière des risques inconnus :

  • scripts anciens,
  • agendas de salles mal configurés,
  • applications dépendant d’IMAP/POP/SMTP legacy,
  • fichiers Office obsolètes encore utilisés.

Un expert peut alors évaluer les impacts et guider la remédiation.

Il faut intégrer BSM dans une stratégie Zero Trust plus large

Les BSM ne remplacent pas :

  • la segmentation des accès,
  • les politiques de conformité devices,
  • les stratégies DLP,
  • les contrôles d’accès conditionnels avancés.

L’accompagnement permet de déterminer comment intégrer BSM intelligemment, sans redondance ni conflit.

Une adoption progressive et maîtrisée

Un accompagnement aide à :

  1. activer BSM en mode report-only,
  2. analyser les retours,
  3. corriger les écarts,
  4. migrer proprement vers un mode enforce si nécessaire.

Conclusion

Avec le Baseline Security Mode, Microsoft élève le niveau minimal de sécurité attendu dans Microsoft 365.
Mais comme tout changement structurel, son adoption doit s’inscrire dans une démarche maîtrisée : analyse d’impact, compréhension des interactions avec les politiques existantes, gestion des exceptions, communication interne.
Se faire accompagner permet non seulement d’éviter les écueils, mais aussi de tirer pleinement parti de cette évolution pour consolider votre stratégie Zero Trust, sécuriser vos usages cloud et renforcer durablement votre posture de cybersécurité.

Partager

Publications similaires