Nous contacter
Nous contacter

Vos fichiers dans le cloud sont-ils vraiment en sécurité ? Ce que votre prestataire ne vous dit pas

Stocker vos fichiers dans Microsoft 365 ne les protège pas automatiquement contre la suppression accidentelle, le ransomware ou la perte définitive de données. La quasi-totalité des PME en PACA font cette confusion : elles ont migré vers le cloud, elles se croient couvertes, et leur prestataire ne les a jamais détrompées. En région PACA — de Marseille à Monaco, en passant par Sophia Antipolis et Nice — nous auditons chaque semaine des entreprises de 10 à 80 salariés dont le tenant Microsoft 365 ne contient aucune politique de sauvegarde active. Cet article explique ce que Microsoft protège réellement, ce qu’il ne protège pas, et ce qu’une PME doit mettre en place pour ne pas perdre ses données le jour où l’incident arrive.

Pourquoi "être dans le cloud" ne signifie pas "être protégé" ?

La confusion est compréhensible. Microsoft investit massivement dans la sécurité de son infrastructure — ses datacenters sont redondés, certifiés, surveillés en permanence. Ce que Microsoft garantit, c’est la disponibilité de sa plateforme : si leurs serveurs tombent, vos données restent accessibles. Ce qu’il ne garantit pas, c’est la protection contre ce que vous faites à vos propres données.

La distinction est fondamentale : Microsoft assure la résilience de l’infrastructure. La responsabilité de la protection des données côté utilisateur — suppressions, corruptions, erreurs humaines, ransomwares — incombe à votre entreprise. C’est ce que Microsoft appelle le « modèle de responsabilité partagée », clairement documenté dans ses conditions d’utilisation, rarement expliqué par les revendeurs.

Quelles menaces pèsent réellement sur vos fichiers Microsoft 365 ?

L’ANSSI l’a documenté dans son panorama de la cybermenace 2024 : les PME sont devenues la cible prioritaire des groupes ransomware, précisément parce qu’elles sont moins bien protégées que les grandes entreprises et plus solvables que les particuliers. Mais le ransomware n’est pas la seule menace — et ce n’est pas toujours la plus fréquente.

Les quatre incidents que nous rencontrons le plus souvent sur le terrain en PACA :

  • Suppression accidentelle : un collaborateur supprime un dossier partagé SharePoint en pensant ne supprimer qu’un fichier. La corbeille Microsoft conserve les éléments 93 jours au maximum — après quoi, la récupération est impossible.
  • Ransomware synchronisé : un poste est infecté, les fichiers sont chiffrés, OneDrive synchronise les fichiers chiffrés sur tous les postes et dans le cloud avant que l’incident soit détecté. Le « cloud » n’a alors que la version chiffrée.
  • Départ malveillant : un collaborateur sur le départ supprime ses dossiers et ses mails avant de rendre le matériel. Sans sauvegarde externe, ces données sont définitivement perdues.
  • Suppression de compte : quand un compte utilisateur Microsoft 365 est supprimé sans procédure correcte (désactivation + archivage), toutes ses données OneDrive disparaissent dans les 30 jours. [TERRAIN : cas fréquent sur nos missions PME — à enrichir d’un exemple concret]

OneDrive, SharePoint, Exchange Online : quelle protection native en cas de sinistre ?

Il faut être précis sur ce que chaque outil offre nativement, sans configuration supplémentaire :

ServiceCe que Microsoft conserve nativementLimite critique
OneDriveHistorique des versions + corbeille pendant 30 à 93 jours selon la licenceDélai insuffisant si l’incident est découvert tardivement ; ne protège pas contre les suppressions définitives de compte
SharePointCorbeille de site à deux niveaux (93 jours)Un administrateur peut vider la corbeille définitivement ; pas de protection contre la suppression de site
Exchange OnlineDossier Éléments récupérables 14 à 30 joursUne purge intentionnelle ou une attaque ciblée peut contourner cette rétention

Le point que personne ne vous dit : OneDrive est un outil de synchronisation bidirectionnelle. Ce qui se passe sur votre poste se reproduit dans le cloud — y compris la corruption ou la suppression d’un fichier. Ce n’est pas une sauvegarde. C’est une réplique en temps réel, avec toutes les erreurs que cela implique.

Pour une vraie protection, deux options existent : Microsoft 365 Backup (la solution native lancée par Microsoft en 2024, avec une rétention jusqu’à 1 an) ou une solution tierce certifiée comme Veeam Backup for Microsoft 365 ou Acronis Cyber Protect. Ces solutions prennent des snapshots indépendants de l’environnement, non affectés par les modifications côté utilisateur.

Comment vérifier que votre PME est vraiment couverte ?

Voici la checklist que nous utilisons lors de nos audits de tenant Microsoft 365 en PACA. Si vous répondez « non » ou « je ne sais pas » à l’un de ces points, votre entreprise n’est pas couverte :

  1. Politique de rétention active — Avez-vous configuré des politiques de rétention dans Microsoft Purview au-delà des 30 jours par défaut ?
  2. Sauvegarde complémentaire — Votre tenant dispose-t-il d’une solution de backup indépendante de la synchronisation OneDrive (Microsoft 365 Backup ou solution tierce) ?
  3. Protection des comptes administrateurs — Le MFA (Multi-Factor Authentication, ou double authentification) est-il activé sur tous les comptes à privilèges, pas seulement sur les utilisateurs standard ?
  4. Procédure de départ collaborateur — Avez-vous une procédure documentée pour désactiver et archiver un compte Microsoft 365 avant sa suppression ?
  5. Test de restauration — Avez-vous testé au moins une fois la restauration d’un fichier supprimé depuis votre solution de backup ? Un backup jamais testé est un backup dont on ne connaît pas la fiabilité.
  6. Protection des appareils — Microsoft Defender for Business ou Microsoft Intune sont-ils déployés sur l’ensemble du parc pour détecter une infection avant qu’elle ne se propage aux fichiers synchronisés ?

Si vous n’êtes pas certain de vos réponses, c’est précisément ce qu’un audit de tenant permet de cartographier en moins d’une journée.

Ce qu'Adigit déploie pour les PME PACA

En tant que Microsoft Solutions Partner certifié depuis 2001, Adigit intervient sur la protection des données de bout en bout — pas seulement sur la licence.

Concrètement, voici ce qui est déployé selon le profil de chaque client :

  • Microsoft 365 Backup : activation et paramétrage de la politique de sauvegarde native Microsoft, avec rétention longue durée et granularité de restauration (fichier par fichier, boîte mail, site SharePoint)
  • Microsoft Defender for Business : protection endpoint sur l’ensemble du parc, détection comportementale des ransomwares avant que la synchronisation OneDrive ne propage les fichiers chiffrés
  • Microsoft Intune : gestion centralisée des appareils, politiques d’accès conditionnel, cloisonnement des données d’entreprise sur les mobiles personnels (BYOD)
  • Microsoft Purview : politiques de rétention et de conformité RGPD, classification des données sensibles, audit des accès

Pour une agence immobilière de 18 collaborateurs à Nice, nous avons détecté lors de l’audit initial que 4 anciens comptes utilisateurs avaient été supprimés sans archivage préalable — soit plusieurs années de correspondance client définitivement inaccessibles. La mise en place de Microsoft 365 Backup et d’une procédure de départ structurée a été réalisée en 3 jours ouvrés, sans interruption d’activité.

A retenir

  • OneDrive synchronise vos fichiers — il ne les sauvegarde pas. La distinction est critique.
  • Microsoft protège son infrastructure ; la protection de vos données reste votre responsabilité.
  • Les PME disposent de 30 à 93 jours de rétention native — insuffisant face aux scénarios réels.
  • Microsoft 365 Backup et Microsoft Defender for Business couvrent les deux angles : restauration et prévention.
  • Un audit de tenant permet de cartographier les failles en moins d'une journée, sans interruption de service.

Vos données méritent mieux qu’une synchronisation. Si vous n’êtes pas certain que votre Microsoft 365 dispose d’une vraie politique de sauvegarde, un audit de tenant permet de le vérifier en moins d’une journée — sans interruption de service, sans engagement.

Demandez votre audit informatique gratuit

Adigit intervient sur site dans toute la région PACA — Marseille, Aix-en-Provence, Toulon, Nice, Antibes, Sophia Antipolis, Cannes, Monaco — avec un délai d’intervention inférieur à 4 heures depuis notre base d’Antibes.

Demander un audit gratuit

FAQ — Questions fréquentes sur la sécurité des
fichiers cloud en PME

Non. OneDrive est un outil de synchronisation, pas de sauvegarde. Si un fichier est supprimé ou corrompu sur votre poste, la suppression ou la corruption se propage immédiatement sur tous les appareils synchronisés et dans le cloud. Microsoft conserve un historique de versions pendant 30 à 93 jours selon votre licence, mais ce délai est insuffisant si l'incident est découvert tardivement. Une vraie sauvegarde nécessite Microsoft 365 Backup ou une solution tierce dédiée avec rétention longue durée.

Toutes les entreprises utilisant Microsoft 365 sans sauvegarde complémentaire sont exposées, quelle que soit leur taille. En pratique, les PME de 5 à 80 salariés sont les plus vulnérables : elles ne disposent généralement pas de DSI interne pour surveiller la configuration de leur tenant, et supposent à tort que Microsoft gère la sauvegarde. Les secteurs les plus touchés en PACA sont l'immobilier, le BTP, les cabinets comptables et les professions de santé, où la confidentialité et la continuité des données sont critiques.

Le tarif dépend du nombre d'utilisateurs et du niveau de protection souhaité. À titre indicatif, Microsoft 365 Backup est disponible à partir de 0,07 € par Go et par mois pour les données OneDrive et SharePoint. Pour une PME de 20 utilisateurs avec un volume moyen de données, le coût de la sauvegarde native Microsoft se situe généralement entre 30 et 80 € par mois. Des solutions tierces certifiées (Veeam, Acronis) peuvent se positionner différemment selon le périmètre. Adigit réalise un audit gratuit pour chiffrer précisément votre situation.

Le déploiement de Microsoft 365 Backup ou d'une solution tierce pour une PME de moins de 50 utilisateurs prend en général entre 1 et 5 jours ouvrés. Ce délai comprend l'audit du tenant existant (configuration actuelle des droits, volume de données, politiques de rétention en place), le paramétrage de la solution et la vérification des premières sauvegardes. L'intervention n'implique aucune interruption de service pour les utilisateurs.

Oui. Adigit accompagne les PME de toute la région PACA : Marseille, Aix-en-Provence, Toulon, Nice, Antibes, Sophia Antipolis, Cannes, Grasse, Monaco et les zones intermédiaires. L'intervention sur site est possible avec un délai inférieur à 4 heures depuis notre base d'Antibes. Pour les audits de sécurité des données, une première analyse peut être réalisée à distance sans déplacement.

Sans sauvegarde complémentaire, une PME s'expose à trois scénarios concrets : la suppression accidentelle de fichiers au-delà de la période de rétention Microsoft (30 à 93 jours), une attaque ransomware qui chiffre les fichiers synchronisés avant d'être détectée, et le départ malveillant d'un collaborateur qui supprime ses données avant de quitter l'entreprise. Dans les trois cas, la récupération devient impossible sans sauvegarde externe. L'ANSSI signale que les PME représentent une cible croissante pour les ransomwares depuis 2023.