NL
NL
Boek een kennismaking
Blog

Microsoft 365 security audit: bescherm uw bedrijf tegen onzichtbare risico’s

Ontdek de 5 meest voorkomende M365-misconfiguraties bij KMO’s en gebruik onze checklist om uw cloudomgeving vandaag nog te controleren.
Professionele serverruimte met blauwe verlichting als symbool voor Microsoft 365 cloud security audit

TL;DR Veel KMO’s gebruiken Microsoft 365 met de standaardinstellingen, maar die bieden onvoldoende bescherming. Onvolledige MFA, actieve legacy-protocollen, ongecontroleerd extern delen, permanente adminrechten en verborgen doorstuurregels zijn de vijf meest voorkomende misconfiguraties. Een professionele Microsoft 365 security audit brengt deze risico’s in kaart en levert een concrete roadmap op om uw cloudomgeving te beveiligen.

Uw bedrijf draait op Microsoft 365. E-mail, documenten, Teams-vergaderingen, klantgegevens: alles staat in de cloud. Dat is handig, maar het maakt de configuratie van uw M365-omgeving ook uw eerste verdedigingslinie. Toch werken veel Vlaamse KMO’s nog met de standaardinstellingen van Microsoft. Instellingen die onvoldoende rekening houden met de specifieke risico’s van uw organisatie. Een gerichte Microsoft 365 security audit maakt het verschil tussen een schijnbaar veilige omgeving en een écht beveiligde omgeving. In dit artikel ontdekt u welke misconfiguraties we het vaakst tegenkomen, wat u zelf kunt controleren en wanneer een professionele audit meerwaarde biedt.

Waarom een cloud security audit anders is dan een traditionele audit

Bij een klassieke cybersecurity audit kijkt u naar firewalls, servers en netwerksegmentatie. In een cloudomgeving verschuift de focus naar identiteiten en configuraties. De traditionele netwerkperimeter bestaat niet meer: uw medewerkers loggen in vanuit thuis, onderweg of bij klanten. De beveiliging hangt niet af van een fysieke muur, maar van hoe uw M365-tenant is ingesteld. Eén verkeerde instelling in Entra ID (voorheen Azure AD) of Exchange Online kan de deur openzetten voor aanvallers, zonder dat een firewall daar iets aan verandert.

De 5 meest voorkomende Microsoft 365 misconfiguraties

Uit analyses van incidenten in de Benelux blijkt dat een handvol specifieke misconfiguraties verantwoordelijk is voor het overgrote deel van succesvolle inbreuken. Dit zijn de vijf die we het vaakst tegenkomen.

1. Onvolledige MFA-handhaving

Multi-factor authenticatie staat misschien “aan”, maar is dat voor alle gebruikers? Bij veel bedrijven zijn admin-accounts of directieleden uitgezonderd via een groep. Aanvallers gebruiken geautomatiseerde tools die duizenden wachtwoordcombinaties per uur testen (credential stuffing). Eén account zonder MFA is genoeg om binnen te komen.

Oplossing: dwing MFA af voor alle gebruikers, met prioriteit voor admin-rollen. Gebruik number matching in de Authenticator-app om MFA-moeheid te voorkomen.

2. Actieve legacy-protocollen

Oudere e-mailprotocollen zoals POP3 en IMAP ondersteunen geen MFA. Als deze protocollen nog actief zijn in uw tenant, kunnen aanvallers MFA volledig omzeilen. Legacy-endpoints zijn vaak de eerste aanvalspoort voor geautomatiseerde botnets.

Oplossing: blokkeer legacy-authenticatie volledig via Conditional Access policies. Controleer of er nog oude e-mailclients of multifunctionele printers zijn die deze protocollen gebruiken.

3. Ongecontroleerd extern delen

SharePoint- en OneDrive-mappen die via “Anyone”-links toegankelijk zijn, vormen een structureel risico. Gevoelige documenten kunnen onbedoeld extern terechtkomen via een gedeelde link die nooit verloopt. In de praktijk zien we dat deellinks maanden of jaren actief blijven, lang nadat het oorspronkelijke doel is vervallen.

Oplossing: beperk extern delen tot vertrouwde domeinen. Stel een vervaldatum in op deellinks en voer periodieke reviews uit van gasttoegang in uw tenant.

4. Permanente adminrechten

Als admin-accounts altijd de hoogste rechten hebben, vergroot u de impact van een eventuele overname enorm. Eén gecompromitteerd admin-account geeft een aanvaller volledige controle over uw omgeving: mailboxen, bestanden, gebruikersbeheer en meer.

Oplossing: implementeer Privileged Identity Management (PIM) voor just-in-time rechten. Admins activeren hun verhoogde rechten alleen wanneer nodig, voor een beperkte periode.

5. Verborgen doorstuurregels

Aanvallers die toegang krijgen tot een mailbox, stellen vaak onzichtbare regels in die e-mails doorsturen naar een extern adres. Zo kunnen ze factuurfraude plegen door betaalverzoeken te onderscheppen en te manipuleren. Deze regels blijven actief zonder dat de gebruiker er iets van merkt.

Oplossing: schakel extern doorsturen uit op tenant-niveau en monitor actief op de creatie van nieuwe inbox-regels via het auditlogboek.

Microsoft Secure Score: uw gratis startpunt

Microsoft biedt met Secure Score een ingebouwde tool die uw beveiligingsstatus meet op basis van uw M365-configuratie. Het is een goed startpunt: u krijgt een score op 100 en concrete aanbevelingen om die te verbeteren.

Maar Secure Score heeft belangrijke beperkingen. Uit onderzoek blijkt dat 63% van de organisaties een Secure Score onder de 50% heeft, met een gemiddelde tussen 30% en 45%. Dat klinkt alarmerend, en dat is het ook. Maar een hoge score betekent niet automatisch dat u veilig bent.

Secure Score controleert of een functie is ingeschakeld, maar niet of de configuratie effectief is voor úw specifieke situatie. MFA kan “aan” staan terwijl de volledige directie is uitgezonderd. Deellinks kunnen beperkt lijken terwijl verouderde uitzonderingen de regels ondermijnen. Die nuance mist een geautomatiseerde score.

Wat voegt een professionele M365 security audit toe?

Waar Secure Score stopt, begint een professionele audit. Bij Cyberplan doorlichten we uw M365-omgeving op meer dan 50 configuratiepunten die Secure Score niet controleert. Het verschil zit in vier gebieden.

Contextgebonden beoordeling. Een auditor beoordeelt of uw instellingen passen bij uw bedrijfsmodel. Een productiebedrijf met 80 medewerkers heeft andere risico’s dan een softwarebedrijf met 20 developers en veel externe samenwerkingen.

Uitzonderingen en mazen. We zoeken actief naar uitzonderingen in Conditional Access-regels, vergeten testaccounts met verhoogde rechten en OAuth-apps die ongemerkt brede toegang hebben gekregen tot uw data.

Processen en menselijke factor. Hoe verloopt de offboarding van medewerkers? Worden licenties en toegangsrechten tijdig ingetrokken? Secure Score meet dit niet. Wij wel.

Hybride risico’s. Veel Vlaamse bedrijven werken met een combinatie van lokale Active Directory en cloud-identiteiten. Kwetsbaarheden in de lokale infrastructuur kunnen doorwerken naar uw M365-tenant. Een professionele audit beoordeelt de volledige keten.

Het resultaat is een concreet rapport met geprioriteerde aanbevelingen: welke risico’s zijn kritiek, wat kunt u zelf oplossen en waar is begeleiding nodig. Benieuwd naar het verschil tussen een audit en een pentest? We hebben daar een apart artikel over geschreven.

Valt M365-configuratie onder NIS2?

Kort antwoord: ja, voor bedrijven die onder de NIS2-richtlijn vallen. Artikel 21 vereist dat organisaties passende technische en organisatorische maatregelen nemen om hun netwerk- en informatiesystemen te beveiligen. Microsoft 365 is voor de meeste KMO’s hét centrale informatiesysteem.

Het CyberFundamentals (CyFun) framework van het CCB concretiseert deze verplichting. Op het Basic-niveau moet u al MFA en basisbescherming van identiteiten aantonen. Op het Important-niveau komen Conditional Access, monitoring van auditlogs en encryptie erbij. Een Microsoft 365 security audit levert rechtstreeks bewijslast voor compliance op deze niveaus.

Dat maakt een M365-audit niet alleen een technische oefening, maar ook een compliance-instrument. Benieuwd wat een cybersecurity audit kost en wat u ervoor terugkrijgt? Lees er meer over in ons overzichtsartikel.

Checklist: 10 M365-instellingen om vandaag te controleren

Wilt u zelf een eerste beoordeling doen? Doorloop deze tien punten en noteer waar u twijfelt of waar de instelling niet klopt.

  1. MFA voor alle gebruikers. Controleer in Entra ID of er accounts zijn zonder MFA, inclusief admin- en serviceaccounts.
  2. Legacy-authenticatie geblokkeerd. Ga naar Conditional Access en verifieer dat POP3, IMAP en andere legacy-protocollen zijn uitgeschakeld.
  3. Extern delen beperkt. Controleer in het SharePoint-beheercentrum of “Anyone”-links zijn uitgeschakeld en of deellinks een vervaldatum hebben.
  4. Geen permanente Global Admins. Controleer hoeveel gebruikers permanent de Global Admin-rol hebben. Idealiter zijn dat er maximaal twee noodaccounts.
  5. Doorstuurregels beperkt. Verifieer in Exchange Online dat extern doorsturen van e-mails standaard is uitgeschakeld op tenant-niveau.
  6. Audit logging ingeschakeld. Controleer of het Unified Audit Log actief is en of de retentieperiode minstens 90 dagen is.
  7. Conditional Access actief. Controleer of er beleid is dat inlogpogingen uit ongebruikelijke landen blokkeert en of apparaatcompliance wordt afgedwongen.
  8. Gasttoegang gereviewed. Controleer welke externe gastgebruikers toegang hebben tot uw Teams-omgeving en SharePoint-sites. Verwijder inactieve gasten.
  9. OAuth-apps gecontroleerd. Bekijk in Entra ID welke apps van derden toegang hebben tot uw M365-data. Verwijder apps die u niet herkent.
  10. Wachtwoordbeleid geüpdatet. Stel wachtwoorden in op “never expire” (conform Microsoft- en NIST-advies) in combinatie met verplichte MFA. Voorspelbare wachtwoordrotatie leidt tot zwakkere wachtwoorden.

Twijfelt u bij een of meer van deze punten? Dan is een professionele Microsoft 365 security audit een logische volgende stap. Plan een vrijblijvend kennismakingsgesprek en ontdek waar uw omgeving staat.

Veelgestelde vragen over Microsoft 365 beveiliging

Hoe hoog is de gemiddelde Secure Score van een KMO?

De meeste organisaties scoren tussen 30% en 45%. Onderzoek toont dat 63% van de bedrijven een score onder de 50% heeft. Een score onder 30% betekent dat essentiële controles zoals MFA en het blokkeren van legacy-protocollen ontbreken.

Kan ik mijn M365-beveiliging zelf controleren?

Gedeeltelijk. Microsoft Secure Score en de checklist in dit artikel geven een eerste indruk. Maar een geautomatiseerde score mist context: uitzonderingen in uw Conditional Access-regels, vergeten testaccounts en OAuth-apps met brede rechten ontdekt u pas bij een handmatige audit.

Valt Microsoft 365-configuratie onder NIS2?

Ja, als uw bedrijf onder NIS2 valt. De richtlijn vereist passende technische maatregelen voor netwerk- en informatiesystemen. Voor de meeste KMO’s is Microsoft 365 het centrale informatiesysteem. Het CyFun-framework van het CCB specificeert welke M365-controles nodig zijn per beveiligingsniveau.

Wat kost een Microsoft 365 security audit?

De investering hangt af van de grootte van uw omgeving en het aantal gebruikers. Een M365-audit voor een KMO met 50 tot 150 gebruikers duurt doorgaans een tot twee weken. Via de VLAIO KMO-portefeuille kunt u tot 45% subsidie krijgen op cybersecurity-advies, wat de netto-investering aanzienlijk verlaagt. Lees meer over audit kosten en subsidies.

Hoe vaak moet ik een M365 security audit laten uitvoeren?

Minimaal jaarlijks, en aanvullend na grote wijzigingen in uw omgeving zoals een migratie, overname of nieuwe licentiestructuur. Microsoft voert regelmatig wijzigingen door aan standaardinstellingen en beveiligingsfuncties. Wat vorig jaar veilig was, is dat vandaag niet automatisch meer.

Wilt u weten hoe veilig uw Microsoft 365-omgeving werkelijk is? Onze ethische hackers en auditoren doorlichten uw tenant op meer dan 50 configuratiepunten, inclusief de risico’s die Secure Score niet ziet. Plan een kennismakingsgesprek en ontvang een concreet beeld van uw M365-beveiliging. Of bekijk eerst wat onze cybersecurity audits precies inhouden.