Posez-vous une question simple : combien d’applications tierces sont aujourd’hui connectées à votre compte Microsoft 365 ou Google Workspace ? Si vous ne pouvez pas répondre précisément, vous êtes dans la situation de la grande majorité des TPE, cabinets et professions libérales que j’audite entre Nice et Monaco.
Au fil des années, on autorise un plugin de signature, un outil de prospection, un CRM, un assistant IA, une appli de prise de rendez-vous… Chaque clic sur « Autoriser » crée un accès permanent, qui survit souvent à l’outil lui-même. Voici comment reprendre le contrôle.
Ce qu’un simple « Autoriser » accorde réellement
Les connexions entre un service tiers et votre messagerie passent par le protocole OAuth. Concrètement, vous déléguez à l’application des portées d’accès (scopes). Le problème : leur libellé est souvent illisible pour un non-spécialiste, et beaucoup d’éditeurs demandent plus que nécessaire « pour simplifier ». Parmi les autorisations les plus fréquentes :
- lecture de tous les emails de la boîte, pas seulement ceux liés à l’outil ;
- accès aux pièces jointes et à l’historique complet des conversations ;
- lecture des contacts et des calendriers ;
- envoi d’emails en votre nom ;
- accès maintenu via un jeton, même après désinstallation de l’outil.
Pour une entreprise manipulant des contrats, des données financières ou des données personnelles soumises au RGPD, c’est une exposition considérable — d’autant que la sécurité de ces données dépend désormais de celle de l’éditeur, comme je l’explique dans mon article sur les risques des outils IA connectés à la messagerie.
L’audit en pratique : ce que je vérifie
Lors d’un audit de messagerie professionnelle, je passe en revue quatre points.
1. L’inventaire des applications autorisées. Côté Microsoft 365 : applications d’entreprise et consentements dans Entra ID (Azure AD). Côté Google Workspace : les applications tierces ayant accès au compte. On y découvre presque toujours des outils oubliés, des essais gratuits jamais résiliés, des accès accordés par d’anciens collaborateurs.
2. Les droits réellement accordés. Pour chaque application : lecture seule ou lecture/écriture ? Une boîte ou toutes les boîtes ? Le consentement a-t-il été donné au niveau d’un utilisateur ou de toute l’organisation ? Ce dernier point est crucial : un consentement administrateur expose potentiellement tous les comptes du tenant, pas seulement celui qui a cliqué.
3. Les jetons d’accès actifs. Un jeton volé chez un éditeur compromis permet d’accéder à vos données sans mot de passe et sans déclencher de MFA. Je révoque tout ce qui n’a plus de raison d’être.
4. Les paramètres du tenant. Le réglage le plus important — et le plus souvent absent : bloquer le consentement libre des utilisateurs aux applications tierces, pour que toute nouvelle connexion passe par une validation. Sans cela, le prochain plugin installé par un collaborateur recrée le problème.
Le principe du moindre privilège, appliqué concrètement
Une fois l’inventaire assaini, la règle est simple : chaque outil ne reçoit que les droits indispensables à sa mission. En pratique :
- Une boîte dédiée (
automation@votre-entreprise.fr,prospection@votre-entreprise.fr) pour les outils d’automatisation, sans aucune donnée sensible historique. L’outil ne voit que ce qui est placé dans cette boîte ; - Refus systématique des autorisations globales (« lire tous les emails », « accès complet à la boîte aux lettres ») quand une portée restreinte existe ;
- Pas d’accès aux dossiers partagés de l’entreprise ni aux emails historiques sans nécessité ;
- Un calendrier de revue : l’audit n’est utile que s’il est répété. Je le propose dans le cadre de mes contrats de maintenance préventive.
Pour qui, sur la Côte d’Azur ?
Cet audit s’adresse particulièrement aux structures qui manipulent des données sensibles avec des moyens informatiques limités : cabinets d’avocats et d’expertise comptable à Nice, sociétés de gestion et family offices à Monaco, agences immobilières, professions médicales, conciergeries. Toutes ont en commun une messagerie au cœur de l’activité et un risque réputationnel élevé en cas de fuite.
J’interviens dans vos locaux à Nice, Monaco et sur toute la Côte d’Azur, ou à distance pour les vérifications de configuration. Devis gratuit par téléphone, intervention sur devis.
FAQ — Audit de messagerie professionnelle
Combien de temps dure un audit des accès ? Pour une TPE avec un seul tenant Microsoft 365 ou Google Workspace, l’inventaire et le nettoyage se font généralement en une intervention. Le périmètre exact est défini ensemble lors du devis gratuit par téléphone.
Vais-je perdre mes outils actuels ? Non. L’objectif n’est pas de tout déconnecter, mais de garder les outils utiles avec des droits réduits au nécessaire — et de supprimer uniquement les accès oubliés ou injustifiés.
Désinstaller un plugin suffit-il à couper son accès ? Pas toujours. Le jeton d’autorisation peut rester actif côté serveur après la désinstallation. C’est précisément ce que l’audit vérifie et révoque.
Cet audit concerne-t-il aussi les assistants IA ? Oui, en priorité. Les assistants IA cumulent souvent des droits de lecture étendus et des capacités d’action automatique — le pire des combinaisons s’ils sont mal cloisonnés. Voir aussi mon article sur l’injection de prompt.
