Dans votre organisation, il y a peut-être en ce moment un collaborateur qui télécharge massivement des fichiers SharePoint. Un autre qui partage des données sensibles avec un contact externe via Teams. Un autre encore dont le comportement a changé depuis qu’il a déposé sa démission. Vous ne le savez pas. Et c’est exactement le problème.
Microsoft 365 génère un flux constant de journaux d’activité. Chaque téléchargement de fichier dans SharePoint, chaque email envoyé via Exchange, chaque fichier partagé dans Teams crée un enregistrement. Mais les données brutes d’activité ne sont pas du renseignement. Les signaux sont cloisonnés par défaut. Sans corrélation délibérée entre les systèmes, ce que vous obtenez, c’est du volume — pas de la clarté. C’est précisément ce que Purview Insider Risk Management est conçu pour résoudre. Nos équipes accompagnent les DSI dans le déploiement de ces outils dans le cadre de notre offre Sécurité Cloud & Gouvernance M365.
Purview Insider Risk Management : pourquoi le risque interne est sous-estimé
Les menaces internes représentent plus de 60 % des incidents de sécurité significatifs en entreprise. Elles sont plus difficiles à détecter que les attaques externes, plus longues à identifier — et souvent plus coûteuses à régler. Pourtant, la majorité des DSI concentrent leurs investissements sécurité sur la protection périmétrique.
En effet, le risque interne est contre-intuitif. Il ne vient pas d’un attaquant inconnu cherchant à pénétrer votre système. Il vient d’un collaborateur qui connaît vos processus, a accès à vos données et agit souvent sans laisser de trace évidente. Par conséquent, les outils de détection classiques — antivirus, firewall, SIEM — ne suffisent pas à adresser ce vecteur spécifique.
Ce que « risque interne » couvre réellement
Purview Insider Risk Management corrèle différents signaux pour identifier des risques internes potentiels malveillants ou inadvertants, tels que le vol de propriété intellectuelle, les fuites de données et les violations de politique de sécurité. En d’autres termes, le risque interne ne se limite pas à l’employé malveillant. Il couvre aussi le collaborateur qui fait une erreur involontaire — envoyer un fichier confidentiel au mauvais destinataire, partager un document sensible sur un canal Teams public par inadvertance.
Communication Compliance Microsoft 365 vs Insider Risk Management : deux outils, deux logiques
Ces deux modules Purview sont souvent confondus. Pourtant, ils adressent des enjeux distincts et se complètent plutôt qu’ils ne se substituent. Comprendre cette distinction est le premier prérequis avant tout déploiement.
Communication Compliance : surveiller ce qui est dit
Microsoft Purview Communication Compliance fournit des outils pour aider les organisations à détecter des problèmes potentiels de conformité réglementaire — par exemple SEC ou FINRA — et des violations de conduite professionnelle telles que des informations sensibles ou confidentielles, un langage harcelant ou menaçant, et le partage de contenu adulte.
Concrètement, Communication Compliance dans Microsoft 365 analyse le contenu des communications : emails Exchange, messages Teams, appels Teams Phone, et depuis 2026 les interactions Copilot. Il détecte des patterns linguistiques, des mots-clés définis, des types d’information sensible dans les messages et des comportements de communication non conformes. C’est donc un outil de conformité et de protection contre les risques réputationnels — particulièrement critique pour les secteurs réglementés.
Insider Risk Management : surveiller ce qui est fait
Insider Risk Management fonctionne différemment. Il n’analyse pas le contenu des messages — il analyse les comportements. Les politiques Insider Risk Management déterminent quels utilisateurs sont dans le scope et quels types d’indicateurs de risque sont configurés pour déclencher des alertes. Des scores de risque plus élevés sont attribués aux activités d’exfiltration cumulatives sur les sites SharePoint, les types d’informations sensibles et le contenu avec des étiquettes de sensibilité configurées comme contenu prioritaire.
En d’autres termes, Insider Risk Management détecte les patterns d’action inhabituels : un volume de téléchargements SharePoint anormalement élevé en fin de semaine, un collaborateur qui copie massivement des fichiers vers un périphérique USB après avoir reçu une offre concurrente, ou une série de partages externes concentrés sur des documents financiers. Ce sont des signaux comportementaux — pas des mots-clés.
Détection risques internes M365 : ce que ces outils voient concrètement
Les capacités de détection des risques internes dans Microsoft 365 couvrent quatre surfaces distinctes. Voici ce que chaque outil peut analyser — et les limites à connaître avant le déploiement.
Dans Teams
Communication Compliance analyse le contenu des messages Teams : mots-clés définis, types d’informations sensibles (numéros de carte bancaire, données personnelles), langage inapproprié. Insider Risk Management, lui, détecte les partages de fichiers vers des utilisateurs externes via Teams, les téléchargements de fichiers depuis des bibliothèques SharePoint connectées à Teams, et les comportements de communication anormaux en volume. De plus, Insider Risk Management supporte désormais le scan OCR sur Teams — permettant de détecter des données sensibles dans des images partagées dans les conversations.
Dans Exchange Online
Communication Compliance est particulièrement puissant sur Exchange. Il peut analyser 100 % des emails sortants d’une population ciblée, détecter les pièces jointes contenant des données sensibles, identifier les emails envoyés vers des domaines concurrents ou non autorisés. Insider Risk Management détecte, lui, les volumes d’emails anormaux, les transferts automatiques configurés vers des adresses externes, et les patterns d’activité email qui corrèlent avec d’autres signaux de risque.
Dans SharePoint Online et OneDrive
Les indicateurs comme « téléchargement de contenu depuis OneDrive » ou « partage de fichiers SharePoint avec des personnes extérieures à l’organisation » sont désactivés par défaut dans Insider Risk Management. Les administrateurs avec les permissions appropriées doivent explicitement activer ces indicateurs avant qu’une politique puisse détecter ces activités. Cette information est cruciale : Insider Risk Management ne surveille rien sans une configuration explicite. C’est un choix architectural de Microsoft — Privacy by Design. Toutefois, cela signifie que beaucoup d’organisations pensent être protégées alors qu’aucun indicateur n’est activé dans leur tenant.
Privacy by Design : l’architecture qui protège les utilisateurs
C’est le sujet qui freine le plus de déploiements — la crainte de surveillance abusive. Microsoft a anticipé cette objection. Les utilisateurs sont pseudonymisés par défaut dans Insider Risk Management, et des contrôles d’accès basés sur les rôles et des journaux d’audit sont en place pour garantir la confidentialité au niveau de l’utilisateur.
Ce que « pseudonymisation » signifie concrètement
Dans Insider Risk Management, les alertes présentent d’abord les utilisateurs sous forme pseudonymisée — un identifiant anonyme, pas un nom. L’analyste sécurité voit un pattern de comportement à risque sans voir immédiatement qui est concerné. Pour désanonymiser, une action administrative explicite et loguée est nécessaire. En d’autres termes, la surveillance est proportionnée : elle ne révèle l’identité que quand le niveau de risque le justifie — et chaque révélation est auditée. Nos équipes en projets Microsoft 365 accompagnent la configuration de ces contrôles d’accès et la mise en place du cadre juridique RH.
Le prérequis juridique avant le déploiement
Ces outils analysent les comportements des collaborateurs. En France, cela implique des obligations légales précises : information des représentants du personnel, mention dans la politique RGPD interne, base légale pour le traitement des données de surveillance. Ces étapes doivent être documentées avant l’activation — pas après. Par conséquent, le déploiement de Communication Compliance et Insider Risk Management est un projet transverse DSI, RH et Juridique — pas un projet IT uniquement.
Purview Insider Risk Management : les licences et le business case
La question de la licence est souvent l’obstacle numéro un. Insider Risk Management et Communication Compliance nécessitent Microsoft 365 E5 à 57 $/user/mois, ou l’add-on E5 Compliance à 12 $/user/mois pour les organisations déjà en E3. Pour un DSI qui doit justifier ce surcoût devant son CFO, le business case se construit sur deux axes.
Le coût d’un incident non détecté
Un incident de fuite de données intentionnelle — un commercial qui part avec la base clients, un ingénieur qui exfiltre la roadmap produit — coûte en moyenne plusieurs centaines de milliers d’euros entre la détection tardive, les recours juridiques, la perte commerciale et l’atteinte réputationnelle. En conséquence, 12 $/user/mois sur une population ciblée de 100 utilisateurs à risque représente 14 400 $/an — soit le coût d’une demi-journée de gestion de crise.
Le déploiement ciblé, pas universel
Il n’est pas nécessaire de déployer Communication Compliance et Insider Risk Management sur l’ensemble de l’organisation. Une approche ciblée — populations à fort accès aux données sensibles, équipes en transition (départs, restructurations), secteurs réglementés — maximise la valeur tout en limitant le surcoût de licences. Pour aller plus loin, consultez la documentation officielle Microsoft sur la configuration d’Insider Risk Management.
Le plan de déploiement en quatre phases
Un déploiement structuré de Purview Insider Risk Management et Communication Compliance suit quatre phases. Chacune conditionne la suivante — sauter une étape génère les faux positifs en cascade que les équipes sécurité redoutent.
Phase 1 — Cadrage juridique et RH (semaines 1 à 2)
Valider la base légale avec le DPO et le juridique. Informer les représentants du personnel. Mettre à jour la politique RGPD interne. Définir les rôles RBAC : qui peut voir les alertes, qui peut désanonymiser, qui gère les cas. Cette phase est non négociable — elle précède toute activation technique.
Phase 2 — Configuration des indicateurs (semaines 2 à 4)
Une approche par phases permet aux organisations de développer des compétences et de la confiance à chaque étape avant d’ajouter de la complexité. Commencez par les indicateurs les moins intrusifs et les plus pertinents : volumes de téléchargements SharePoint anormaux, partages externes de fichiers sensibles, transferts d’emails vers des adresses non autorisées. Ajoutez progressivement des indicateurs plus fins à mesure que l’équipe maîtrise le calibrage.
Phase 3 — Pilote et calibrage (semaines 4 à 8)
Déployez les politiques sur une population pilote. Analysez les premières alertes avec l’équipe sécurité. Identifiez les faux positifs récurrents et ajustez les seuils. Des politiques larges par défaut génèrent des volumes d’alertes élevés, et les équipes sécurité apprennent rapidement que la plupart sont du bruit. Le calibrage des seuils est l’étape qui transforme un outil bruyant en outil exploitable.
Phase 4 — Déploiement et gouvernance continue
Étendez le déploiement aux populations cibles définies en phase 1. Établissez un processus de réponse aux incidents : qui est notifié, dans quel délai, avec quel workflow DSI / RH / Juridique. Mesurez mensuellement le ratio alertes / vrais positifs pour affiner en continu. Notre offre conduite du changement accompagne la communication interne sur le déploiement de ces outils.
Conclusion — Purview Insider Risk Management : voir avant que ça explose
Purview Insider Risk Management et Communication Compliance ne sont pas des outils de surveillance. Ce sont des outils de détection précoce qui permettent à votre organisation de voir des signaux que les logs bruts ne révèlent pas — et d’intervenir avant qu’un comportement à risque ne devienne un incident. La différence entre les deux est mesurable en euros, en réputation et en continuité d’activité.
Toutefois, leur efficacité dépend entièrement de la qualité du déploiement : cadrage juridique en amont, configuration des indicateurs adaptée à votre contexte, calibrage des seuils et processus de réponse clair entre la DSI, les RH et le juridique. Sans ce cadre, ces outils génèrent plus de bruit que de signal — et c’est précisément pour ça que beaucoup d’organisations les activent et les désactivent rapidement.
Si vous souhaitez évaluer si ces outils sont pertinents pour votre organisation et cadrer leur déploiement, contactez Eliadis. Eliadis, spécialiste Microsoft 365 depuis plus de 20 ans, vous accompagne de l’audit à la mise en production opérationnelle.
