Des tests ont révélé que Copilot dans SharePoint peut contourner les restrictions d’accès. Un simple “Lis-moi ce fichier” suffit pour qu’il révèle le contenu d’un document protégé. SharePoint respecte les permissions, mais Copilot les ignore. Une faille qui transforme l’IA en outil d’exfiltration intégré à Microsoft 365. En attendant un correctif, mieux vaut isoler les fichiers sensibles… ou désactiver Copilot.

Microsoft a intégré dans Windows 11 une fonction qui rouvre automatiquement votre dernière session Bloc-notes, même sans sauvegarde. Pratique ? Pas vraiment : tout texte non enregistré, y compris mots de passe ou tokens sensibles, reste stocké en clair sur le disque. Une faille majeure côté sécurité. Pour protéger vos données, préférez un gestionnaire de mots de passe plutôt que ce Bloc-notes “trop zélé”.

Microsoft déploie les comptes “passwordless”, sans mot de passe, pour renforcer la sécurité. Basée sur l’authentification biométrique, les applications mobiles ou les clés physiques, cette méthode supprime le mot de passe, souvent le maillon faible des cyberattaques. Pour l’instant, seuls les comptes personnels Microsoft sont concernés, mais une extension aux comptes professionnels est envisagée.

Microsoft a récemment perdu deux semaines de journaux de sécurité sur plusieurs services cloud (Sentinel, Defender XDR, Purview, Entra ID). Une erreur logicielle passée inaperçue a temporairement privé clients et équipes de toute visibilité sur d’éventuelles intrusions. Un rappel brutal que même les géants du cloud ne sont pas infaillibles.

Microsoft 365 propose des sauvegardes automatiques… mais elles peuvent aussi conserver des fichiers infectés ou des portes dérobées. En cas de restauration, ces menaces peuvent réintégrer le système. Une sauvegarde mal contrôlée devient alors un risque, pas une solution.

Microsoft 365 et Google Chrome ont été récemment ciblés par des attaques critiques. Ces incidents rappellent que toutes les entreprises, même les plus petites, sont exposées. Une seule erreur peut suffire à paralyser l’activité. La cybersécurité n’est plus optionnelle : c’est une priorité stratégique.