Adresse
8 rue de la Garenne, 41000 Blois
Email
contact@computasys.com
Téléphone
(+33) 9 72 57 08 46
ComputaSYS

impacts pour votre DSI et alternatives pour le partage externe

fin otp sharepoint ce quil faut savoir
  • 22 juin 2026
  • ComputaSYS
  • Blog
  • 0


À partir de juillet 2026, vos partenaires, prestataires et clients qui accèdent à vos fichiers SharePoint ou OneDrive avec un simple code reçu par e-mail risquent de se heurter à un message “Accès refusé”. La raison : Microsoft retire en effet l’authentification par code à usage unique (appelée SharePoint One-Time Passcode, ou SPO OTP) pour les partages externes, au profit des comptes invités Microsoft Entra B2B. Quel est l’impact de cette décision ? Quel est le calendrier prévu par Microsoft ? Existe-t-il une solution souveraine pour répondre à ce besoin ? Répondons à ces questions.

Ce changement n’est pas un détail, il est réel et impactant. Pensez aux situations du quotidien : une agence qui récupère des fichiers volumineux envoyés par le marketing, un candidat externe qui dépose son dossier de candidature, ou un client qui accède à votre réponse à un appel d’offres. Tous ces échanges reposent fréquemment sur l’OTP, parce que c’est plus simple. Le problème, c’est qu’ils vont s’interrompre si le destinataire ne possède pas de compte invité dans votre tenant Microsoft 365.

Dans cet article, nous allons faire le point sur ce que Microsoft change exactement, distinguer le vrai du raccourci marketing, détailler le calendrier officiel, puis examiner les options de transition selon vos cas d’usage : la bascule vers Entra B2B pour les collaborations récurrentes, et les solutions de transfert de fichiers maîtrisées par la DSI pour les échanges ponctuels. Pour vous accompagner, nous terminerons par une check-list à dérouler au cours de l’été 2026.

Cet article inclut une communication commerciale pour LockSelf.

Qu’est-ce que le partage externe par OTP dans SharePoint ?

L’OTP (One-Time Passcode, ou code à usage unique) est un mécanisme d’authentification que Microsoft propose depuis des années pour donner accès à un fichier SharePoint ou OneDrive à une personne qui ne dispose pas de compte Microsoft. C’est ce mécanisme qui est ciblé par la décision de Microsoft.

Le principe est simple : un collaborateur partage un lien de type “personnes spécifiques”, le destinataire externe reçoit par e-mail un code temporaire, le saisit, et accède au document le temps de sa session. Aucun compte invité n’est créé dans l’annuaire, aucune invitation à accepter, aucun mot de passe à mémoriser.

Cette fluidité a fait le succès de l’OTP ! De nombreuses organisations s’en sont servies pour détourner leurs utilisateurs des outils grand public comme WeTransfer ou Dropbox, grâce à cette fonction déjà présente dans Microsoft 365.

Le revers de la médaille, c’est l’absence de gouvernance. Un accès accordé par OTP n’apparaît pas comme une identité dans l’annuaire. Difficile, dès lors, de savoir précisément qui a accès à quoi, depuis quand, et de soumettre cet accès aux mêmes contrôles que ceux appliqués aux utilisateurs internes (politiques d’accès conditionnel, revues d’accès, journalisation centralisée). C’est d’ailleurs ce qui est pointé du doigt par Microsoft et qui justifie cette décision.

Remarque : sur le plan technique, Microsoft ne supprime pas la notion de code à usage unique en elle-même. Ce qui disparaît, c’est l’authentification OTP au niveau de SharePoint Online (le SPO OTP). L’authentification des invités passe désormais par Microsoft Entra B2B, qui peut lui aussi recourir à un code à usage unique envoyé par e-mail comme méthode par défaut pour les invités. La différence a un impact concret : avec Entra B2B, le destinataire existe comme identité invitée dans votre annuaire, là où le SPO OTP ne créait aucun objet. C’est tout l’enjeu de la gouvernance qui change.

Pourquoi Microsoft supprime l’OTP SharePoint ?

Le retrait du SPO OTP s’inscrit dans une trajectoire entamée il y a plusieurs années. L’intégration de SharePoint et OneDrive avec Entra B2B était proposée en opt-in dès 2021, puis activée automatiquement pour les nouveaux tenants à partir de 2023. En juillet 2025, le SPO OTP a déjà été déprécié pour les tenants qui avaient choisi d’activer l’intégration B2B. Il ne restait donc plus, début 2026, que les tenants plus anciens restés sur le modèle OTP historique : ce qui représente des milliers d’entreprises, Microsoft 365 étant très utilisé depuis des années.

L’objectif affiché par Microsoft est d’unifier la collaboration externe autour d’un fournisseur d’identité unique. En transformant chaque accès externe en compte invité Entra. Pour ceux qui le souhaitent, il devient possible d’appliquer aux partenaires les mêmes garde-fous que sur les comptes internes : accès conditionnel, exigence de MFA, Access Review, expiration automatique, politiques de collaboration B2B autorisant ou bloquant certains domaines, et journalisation dans les logs Entra.

Ceux qui prennent la sécurité et la gouvernance à cœur le savent : un accès tracé et gouverné vaut mieux qu’un lien OTP anonyme sans piste d’audit.

Cette amélioration au niveau de la gouvernance a un coût opérationnel, et elle reporte sur les équipes IT une charge de gestion des identités invitées qui n’existait pas auparavant (en tout cas pas dans ce contexte). Pour une organisation qui ne gérait jusqu’ici aucun compte invité, le changement n’est pas neutre.

Pour résumer ce qui change, le schéma suivant met en parallèle l’ancien parcours par code OTP, désormais retiré, et le nouveau parcours reposant sur Microsoft Entra B2B.

Le calendrier officiel de la transition vers Entra B2B

Microsoft a documenté cette transition dans la notification MC1243549 de son centre de messages Microsoft 365. Il permet d’avoir une connaissance précise des jalons à venir (et de ceux déjà passés).

Juillet 2025 : le SPO OTP est déprécié pour les tenants ayant déjà activé l’intégration Entra B2B. Les nouveaux liens de partage de ces tenants n’utilisent plus l’OTP historique.

Fin avril 2026 : dernière fenêtre pour activer manuellement l’intégration Entra B2B avant la bascule automatique.

Mai 2026 : pour tous les tenants, les nouvelles invitations de partage externe basculent vers Entra B2B. Un compte invité est créé automatiquement via l’Invitation Manager lors d’un partage. Le paramètre EnableAzureADB2BIntegration, qui permettait jusque-là de piloter ce comportement, cesse d’avoir un effet, et l’option de désactiver l’intégration disparaît.

Juillet 2026 : le retrait du SPO OTP commence. Les anciens liens « personnes spécifiques » créés via OTP commencent à renvoyer un refus d’accès aux destinataires qui ne disposent pas d’un compte invité Entra B2B correspondant.

31 août 2026 : retrait considéré comme finalisé sur l’ensemble des environnements Microsoft 365 (commercial, gouvernemental). Tout accès externe nécessite alors une identité invitée Entra. Il n’existe plus de repli vers le SPO OTP.

Pendant que Microsoft déroule sa feuille de route, il faut savoir que les destinataires qui perdent l’accès ne reçoivent aucune notification automatique, pas plus que le collaborateur à l’origine du partage. Certains utilisateurs découvriront les liens cassés au moment où ils vont chercher à accéder à un fichier partagé.

Quels impacts concrets pour votre organisation ?

Pour saisir ces impacts, il faut visualiser le nouveau parcours de partage de bout en bout : ce qui se passe côté expéditeur, ce que le destinataire vit de son côté, et surtout ce que l’opération déclenche dans votre tenant.

Remarque sur l’expérience du destinataire :

Dès que votre utilisateur partage le fichier, le compte invité est créé dans votre annuaire. Toutefois, l’invitation doit d’abord être acceptée avant de donner accès. La suite dépend de la configuration de votre tenant : si vous n’imposez pas de MFA aux invités, une simple connexion suffit, et l’authentification par code à usage unique reste activable dans Entra pour les invités sans compte Microsoft.

Des accès externes interrompus

Le premier effet est immédiat : tout flux qui reposait sur un lien OTP et dont le destinataire n’a pas de compte invité s’arrête. Pour rétablir l’accès, deux options : créer proactivement un compte invité pour ce destinataire, ou repartager le contenu (ce qui déclenche la création automatique du compte). Encore faut-il avoir identifié les liens concernés en amont.

Vous pouvez vous appuyer sur les rapports SharePoint :

Le rapport par site : Partagé avec des utilisateurs externes (Ouvrez le site concerné > menu Paramètres > Utilisation du site > section Partagé avec des utilisateurs externes)

Les rapports tenant “Gouvernance de l’accès aux données” (Ouvrez le Centre d’administration SharePoint > Rapports > Gouvernance de l’accès aux données > Liens de partage > Exécutez les rapports).

Une prolifération de comptes invités à gouverner

Chaque client ponctuel, chaque prestataire occasionnel, chaque interlocuteur ad hoc se traduit désormais par un compte invité dans Entra ID. Sur le papier, un partage de fichier ordinaire suffit à créer une identité. Il faut l’avoir en tête.

Pour des organisations qui échangent beaucoup avec l’extérieur, le volume peut grimper vite. Un tenant avec plus de comptes invités que de comptes internes ? Ce n’est pas à exclure. Or chaque compte invité est un objet à gérer dans la durée :

L’inventaire régulier des invités actifs et de leurs accès,

L’application de politiques d’accès conditionnel spécifiques aux invités,

L’encadrement des domaines autorisés via la politique de collaboration B2B,

La gestion du cycle de vie, appuyée sur une politique d’expiration d’accès au niveau des sites (jusqu’à quand l’accès reste actif, quand le révoquer),

Les revues d’accès pour purger les invités obsolètes.

L’occasion de préciser que le modèle de facturation d’Entra External ID inclut 50 000 utilisateurs actifs mensuels invités gratuits. Au-delà, les identités externes deviennent payantes. Tout le monde n’ira pas jusque-là, mais pour les très grandes entreprises, c’est un cap atteignable. Surtout, les Access Review s’appuient sur des licences Entra payantes.

À défaut, une approche plus économique consiste à produire des rapports PowerShell pour repérer les comptes invités inactifs, ou tout simplement pour les lister. J’ai sollicité mon collègue Claude pour qu’il prépare un script de reporting.

Vous pourrez le télécharger sur le dépôt GitHub et l’adapter à votre guise (n’hésitez pas à contribuer directement sur le dépôt).

Le risque de shadow IT

Le troisième effet est le plus insidieux. Si vos collaborateurs ne disposent plus d’un moyen simple de partager un fichier avec un externe, beaucoup contourneront le problème par eux-mêmes. Le réflexe est connu : WeTransfer, Google Drive, Dropbox. Ce shadow IT fait sortir vos données du périmètre maîtrisé, sans chiffrement adapté aux documents sensibles, sans piste d’audit, et le plus souvent avec un hébergement hors de France.

Les équipes qui ont investi du temps et de l’énergie pour combattre le “phénomène WeTransfer” vont devoir de nouveau se méfier. Le retrait de l’OTP peut, si rien n’est anticipé, ramener exactement les usages que l’on avait cherché à éliminer.

Microsoft Entra B2B : pour vos partenaires récurrents

La bascule vers Entra B2B n’est pas à diaboliser, loin de là. C’est une bonne décision prise de la part de Microsoft, même si elle s’accompagne de changements.

Désormais, le recours à Entra B2B me semble pertinent lorsque la collaboration est récurrente et identifiée : un partenaire avec lequel vous travaillez sur la durée, un cabinet qui intervient régulièrement, une filiale ou un sous-traitant intégré à vos projets. Dans ce cas, l’invité a vocation à exister durablement dans l’annuaire, et la gouvernance a tout son sens.

Vous pourriez alors configurer les paramètres de collaboration externe via les External Identities d’Entra ID pour restreindre les domaines autorisés pour les comptes invités. Si vous optez pour cette approche, vous pourriez uniquement autoriser les domaines de messagerie de vos partenaires. Ce paramètre est aussi pratique pour limiter les domaines génériques (gmail.com, yahoo.com, etc…) utilisé fréquemment par des attaquants.

En revanche, cette approche basée sur Entra B2B montre ses limites pour tout ce qui est ponctuel ou éphémère : un envoi unique à un destinataire que vous ne reverrez probablement jamais, un échange de quelques jours dans le cadre d’un appel d’offres, le partage d’un fichier volumineux avec un interlocuteur de passage. Créer, gouverner puis révoquer un compte invité pour un échange one-shot génère une charge disproportionnée en comparaison de ce besoin. C’est ce genre de situation qui risque d’alimenter le stock d’identités dormantes dans votre annuaire Entra ID.

Pour cette seconde catégorie d’usage, une solution dédiée au transfert de fichiers a tout son intérêt.

Les alternatives pour le partage externe ponctuel

Les outils grand public, à écarter pour les données sensibles

Avant de présenter une alternative souveraine et adaptée pour les professionnels, il faut nommer les fausses bonnes solutions. WeTransfer, Google Drive ou Dropbox seront la tentation naturelle de vos collaborateurs : ils connaissent ces outils et c’est la facilité pour régler ce problème sans douleurs. Mais pour des documents sensibles ou réglementés, ils posent plusieurs difficultés :

Un chiffrement absent ou insuffisant dans les versions gratuites,

L’absence de preuve de dépôt et de traçabilité réellement exploitable pour un audit,

Un hébergement généralement situé hors de France, donc non souverain,

L’impossibilité, pour la DSI, de garder la main sur les politiques de partage : l’exemple parfait du shadow IT.

Autrement dit, ces outils déplacent le risque plutôt qu’ils ne le traitent. L’enjeu, pour une DSI, est de proposer une solution aussi simple à utiliser que WeTransfer, mais qu’elle pilote elle-même.

LockTransfer : reproduire l’expérience OTP dans un cadre maîtrisé

LockTransfer est la solution de transfert de fichiers sécurisé de l’éditeur français LockSelf, certifié CSPN par l’ANSSI. Son intérêt dans le contexte de la fin de l’OTP tient à un principe simple : permettre d’envoyer n’importe quel fichier à un destinataire externe sans lui imposer la création d’un compte, là où Entra B2B en génère un obligatoirement.

Autrement dit, si on veut faire simple : vous retrouvez l’expérience qui faisait la force de SharePoint OTP, mais dans une solution que la DSI conserve sous contrôle. Quelques informations clés à propos de LockTransfer :

Les fichiers sont chiffrés (AES-256 en mode CBC),

L’hébergement est assuré en France sur des infrastructures Outscale et Scaleway (avec une option On-Premise, si besoin)

La traçabilité des accès est conservée via les journaux et les preuves générées par l’outil (procès verbaux)

L’occasion d’en placer une pour un autre sujet tendance : ce sont des arguments concrets dans le cadre des démarches de conformité NIS2 et DORA. Avec notamment ces fonctionnalités adaptées aux besoins des entreprises :

Traçabilité et intégration au SIEM

LockTransfer renforce également les capacités d’audit en fournissant aux équipes sécurité une visibilité sur chaque échange :

Des notifications en temps réel à chaque dépôt ou téléchargement,

Un procès-verbal horodaté pour chaque transfert, qui fait office de preuve de dépôt,

Une date d’expiration et un quota de téléchargements configurables transfert par transfert,

Le cloisonnement des dépôts entre destinataires,

La remontée des logs vers votre SIEM, pour centraliser la supervision et le déclenchement d’alertes avec le reste de votre SI.

L’enjeu n’est pas de remplacer Entra B2B, mais de le compléter : Entra pour les collaborations durables et gouvernées dans l’annuaire, une solution de transfert dédiée pour les échanges ponctuels que l’on ne veut pas transformer en comptes invités. Cette complémentarité évite à la fois la rupture d’usage et l’inflation d’identités externes.

LockSelf, d’accord. Mais quels sont les cas d’usages ?

Le partage ponctuel de fichiers volumineux

Un collaborateur doit transmettre un PDF, un document bureautique (Word, Excel, etc.) ou une vidéo à un destinataire externe, en dehors de tout espace SharePoint ou Teams. Le fichier est déposé sur LockTransfer, le destinataire reçoit un lien sécurisé, et aucun compte invité n’apparaît dans votre annuaire.

La vérification de l’identité du destinataire peut se faire par mot de passe transmis sur un canal séparé (téléphone, SMS), ce qui constitue un second facteur, ou par un jeton temporaire envoyé par e-mail. L’utilisateur à l’origine du dépôt de fichiers a le choix (ou bien la DSI peut imposer un type de partage autorisé pour tous les utilisateurs).

L’intégration à Outlook

LockTransfer intègre également un plugin Outlook. Il s’utilise directement depuis la fenêtre de rédaction d’un mail dans Outlook : le collaborateur dépose son fichier par glisser-déposer, définit les options de sécurité (date d’expiration, quota de téléchargements, mot de passe), et un lien chiffré s’insère automatiquement dans le corps du message.

Côté pratique : l’utilisateur ne quitte pas son environnement de travail habituel et le destinataire n’a pas besoin de compte LockSelf pour recevoir le document, ce qui réduit la résistance au changement des deux côtés de l’échange. De plus, LockTransfer s’assure de tracer les accès à votre téléchargement : ce qui est impossible avec une pièce jointe traditionnelle.

Les appels d’offres et la remise de livrables

Pour une réponse à appel d’offres, le parcours du destinataire doit être le plus fluide possible : un client qui doit créer un compte ou récupérer un mot de passe avant même de consulter votre offre démarre dans de mauvaises conditions.

LockTransfer permet de créer une boîte de dépôt sécurisée où le destinataire accède aux consignes et dépose sa réponse sans compte. Les réponses des différents soumissionnaires peuvent être cloisonnées, chacun voyant les consignes mais pas les dépôts des concurrents (sinon, ce serait un vrai problème, n’est-ce pas ?). Le même mécanisme s’applique à des processus de recrutement.

Check-list à dérouler avant juillet 2026

En tant que DSI et RSSI, voici la check-list des actions à dérouler pour anticiper cette évolution dès maintenant :

Communiquer en interne. Informez les utilisateurs que certains liens de partage externes vont cesser de fonctionner et qu’ils ne doivent pas basculer spontanément vers des outils non validés.

Inventorier les liens OTP existants. Exploitez le rapport de partage externe de SharePoint pour repérer les invités OTP sans compte Entra B2B et qualifier les accès à préserver.

Décider, usage par usage, du bon canal. Réservez Entra B2B aux partenaires récurrents et orientez les échanges ponctuels vers une solution de transfert maîtrisée telle que LockTransfer.

Préparer la gouvernance des invités. Vérifiez vos politiques d’accès conditionnel applicables aux invités, définissez des règles d’expiration.

Vérifier le paramétrage Entra. Assurez-vous que l’e-mail OTP des invités B2B reste activé si vous comptez dessus, et passez en revue vos politiques de collaboration B2B (domaines autorisés ou bloqués).

Outiller le partage ponctuel. Déployez et faites adopter une alternative simple et souveraine pour couper l’herbe sous le pied au shadow IT.

Pour tester l’approche sur vos propres cas d’usage, LockTransfer propose un essai gratuit de 14 jours. Suivez ce lien pour en profiter :

Conclusion

Le retrait du SPO OTP modifie la manière dont vos collaborateurs partagent des fichiers avec l’extérieur, et il transfère vers les équipes IT une charge de gestion des identités invitées qui n’existait pas auparavant. Le partage de données, c’est le quotidien des utilisateurs, donc cela va forcément engendrer une forte augmentation du nombre de comptes invités.

La bonne solution pourrait être de segmenter : Entra B2B pour les collaborations durables et gouvernées, une solution de transfert dédiée et conforme pour les échanges ponctuels, afin de préserver une expérience proche de l’OTP.

Si vous cherchiez un beau sujet à traiter cet été, en voici un à rajouter sur le haut de la pile.

Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *