Où en est l'ouverture des journaux de sécurité chez Microsoft ?

En juillet dernier, on apprenait que certains logs Microsoft 365 n’allaient plus nécessiter de licence premium. Qu’en est-il aujourd’hui ?

La journalisation étendue sur Microsoft 365 ? C’est une longue histoire…

Le chantier « prendra du temps », nous affirme-t-on tout du moins. Peut-être plus que n’avait laissé penser la première annonce à ce sujet, en juillet 2023.

Microsoft avait alors promis « plus de 30 types de logs » supplémentaires – sans détailler lesquels – sur la version de base de sa solution d’audit Purview. Il n’y aurait donc plus besoin de la licence premium, accessible uniquement dans le cadres des forfaits E5 (Commercial), A5 (Éducation) et G5 (Gouvernement). Rendez-vous était donné en septembre pour le démarrage du déploiement.

En toile de fond, une attaque survenue quelques semaines auparavant. Une agence fédérale américaine avait vu sa messagerie Exchange infiltrée. Un incident découvert grâce à l’événement MailsItemsAccessed… auquel ne pouvaient accéder que les utilisateurs de Purview Audit Premium.

Dans une analyse technique, la CISA (homologue de notre ANSSI) avait expliqué qu’à sa connaissance, il n’y avait pas d’autre indice exploitable. Aussi avait-elle fortement recommandé à toute organiser d’activer Purview Audit Premium, non sans reconnaître le surcoût que cela pouvait représenter. L’agence avait posé, en filigrane, une question : est-il raisonnable, pour les fournisseurs technologiques, de faire de journaux de sécurité une activité lucrative ?

Mi-octobre, Microsoft avait donné des nouvelles. Assurant que le déploiement avait bien démarré au moment prévu, il avait publié la liste des logs supplémentaires. Et invité à consulter sa roadmap publique pour davantage d’informations.

Microsoft donne la priorité au gouvernement US

D’après cette feuille de route, les logs supplémentaires pour Stream sont en GA depuis novembre 2023. Ceux pour Yammer / Viva Engage le sont depuis la même date pour le secteur privé et depuis décembre pour le secteur public.

Ce dernier a désormais la priorité. Microsoft, en tout cas, insiste sur ce point. En première ligne, les agences fédérales américaines, qui accéderont dès ce mois-ci à l’ensemble des logs additionnels (Teams, Exchange et SharePoint). Le secteur privé devra attendre mars. On en sera alors au stade de la preview : la disponibilité générale n’interviendra qu’en juin pour tout le monde.

En parallèle, la durée de conservation par défaut passe de 90 à 180 jours. Sur ce volet, la transition a démarré en octobre 2023 pour le secteur privé et en novembre pour le secteur public.

Tous les nouveaux logs seront activés automatiquement par défaut sur les licences Microsoft 365 E3. Sauf SearchQueryInitiatedExchange et SearchQueryInitiatedSharePoint, qui nécessitent une activation manuelle.

Pour accompagner le déploiement auprès du gouvernement US, la CISA a produit un guide d’implémentation.

Lire aussi : Windows Server 2025 en six points