Qu'est-ce qu'Exchange Online ?
Exchange Online est le service de messagerie cloud de Microsoft, hébergé dans Azure et intégré à Microsoft 365. Il remplace Exchange Server (on-premise) en supprimant la gestion d'un serveur physique : mises à jour, certificats SSL, sauvegardes système, sécurité périmétrique deviennent la responsabilité de Microsoft.
Concrètement, Exchange Online fournit : boîtes aux lettres avec quota de 50 Go ou 100 Go, calendriers partagés, contacts, règles de transport, anti-spam EOP (Exchange Online Protection), conformité RGPD, rétention légale, listes de distribution, salles de réunion. Les utilisateurs accèdent via Outlook desktop, Outlook web (OWA) ou Outlook mobile.
Pour une PME, Exchange Online élimine deux contraintes majeures d'Exchange on-premise : le coût d'un serveur dédié (5 000 à 15 000 euros pour un Exchange 2019) et la maintenance hebdomadaire d'un IT compétent. Microsoft assure 99,9 % de disponibilité contractuelle.
Plans et tarifs Exchange Online (FY26)
Exchange Online existe en standalone ou inclus dans M365 Business. Tarifs Microsoft FY26 hors taxes, en engagement annuel.
Exchange Online Plan 1 : 3,70 euros/user/mois. Boîte 50 Go, anti-spam EOP, calendrier, contacts, règles de transport. Sans Outlook desktop, sans Teams.
Exchange Online Plan 2 : 7,40 euros/user/mois. Boîte 100 Go + archivage in-place illimité, journalisation, eDiscovery, DLP basique.
Microsoft 365 Business Basic : 5,60 euros/user/mois. Inclut Exchange (50 Go) + Teams + OneDrive 1 To + SharePoint + apps web Office. Choix par défaut pour une PME qui démarre.
Pour comprendre la différence avec Standard, consultez notre comparatif Business Standard vs Basic.
Configuration en 5 étapes
Achat des licences et ajout du domaine personnalisé
Achetez les licences via le centre d'administration Microsoft 365 ou un partenaire CSP. Ajoutez votre domaine d'entreprise (entreprise.fr), puis configurez les enregistrements DNS : MX (vers mail.protection.outlook.com), SPF (v=spf1 include:spf.protection.outlook.com -all), DKIM (deux sélecteurs CNAME), DMARC (p=quarantine ou p=reject). Sans ces trois enregistrements, vos emails finiront en spam chez Gmail et Yahoo.
Création des utilisateurs et boîtes partagées
Créez chaque utilisateur dans le centre d'admin avec une licence M365 attribuée (Basic, Standard ou Exchange Plan 1). Pour les adresses génériques (contact@, facturation@, rh@), utilisez des boîtes partagées Exchange. Elles ne consomment pas de licence jusqu'à 50 Go et sont accessibles via délégation depuis Outlook des utilisateurs autorisés.
Politiques de sécurité : MFA, conditional access, anti-phishing
Activez le MFA pour 100 % des utilisateurs via Security Defaults ou Azure AD Conditional Access (avec licence M365 Business Premium). Configurez les politiques anti-phishing EOP : protection contre l'usurpation d'identité (impersonation protection sur les VIPs), filtrage des pièces jointes dangereuses, blocage des liens malveillants via Safe Links si vous avez Defender for Office 365.
Migration des boîtes existantes
Trois méthodes selon le source. Cutover (boîtes < 2 000 + Exchange 2003-2010, bascule en une nuit). Staged (Exchange 2010 hybride, par batch). IMAP (depuis Gmail, OVH, Free Pro : seuls les emails migrent, pas les contacts ni calendriers). Microsoft fournit l'assistant de déploiement Exchange et l'outil MMAT pour évaluer la complexité.
Sauvegarde tierce : Microsoft ne sauvegarde pas vos emails
Microsoft assure la haute disponibilité (3 copies géo-redondantes), pas la sauvegarde au sens reprise après erreur humaine ou ransomware. La rétention native est de 14 à 30 jours pour la corbeille. Pour une vraie sauvegarde, déployez Veeam Backup for M365, Datto SaaS Protection ou AvePoint Cloud Backup. Comptez 3 à 5 euros/user/mois. Critique en cas de cryptolocker ou de démission avec suppression intentionnelle.
Anti-spam et anti-phishing : EOP et Defender for Office 365
Exchange Online Protection (EOP) est inclus par défaut. Il filtre 99 % du spam et 100 % des malwares connus via signatures. Trois couches : réputation IP de l'expéditeur, analyse de contenu (machine learning sur des milliards d'emails Microsoft), validation SPF/DKIM/DMARC. Vous configurez les règles depuis le portail security.microsoft.com : seuil anti-spam, expéditeurs autorisés, langues bloquées.
Defender for Office 365 Plan 1 (1,84 euros/user/mois) ajoute trois protections critiques. Safe Links : réécrit les URL des emails entrants et vérifie au moment du clic si la destination est malveillante (protège contre les liens qui deviennent dangereux après l'envoi). Safe Attachments : détonne les pièces jointes dans une sandbox avant livraison. Anti-phishing impersonation : détecte les emails qui usurpent l'identité d'un dirigeant.
Plan 2 (4,60 euros/user/mois) ajoute la threat intelligence et la simulation de phishing pour la sensibilisation. Pour une PME exposée aux attaques BEC (compromission de mail professionnel), Defender Plan 1 minimum est recommandé. Voir notre guide protection phishing PME.
DLP et règles de conformité
Le DLP (Data Loss Prevention) détecte et bloque l'envoi de données sensibles. Exchange Online inclut 100 modèles de détection : numéro de carte bancaire, IBAN, numéro de sécurité sociale, données de santé. Vous configurez une politique : si un email contient un IBAN, l'utilisateur reçoit un avertissement, et l'email est bloqué s'il est envoyé en externe.
Pour une PME du secteur santé, juridique ou financier, le DLP est un pré-requis RGPD. Configuration en 30 minutes depuis le centre de conformité Microsoft Purview. Disponible en M365 Business Premium ou Exchange Plan 2.
Erreurs fréquentes en PME
Quatre erreurs récurrentes sur les déploiements Exchange Online en PME, observées sur nos audits.
Pas de MFA activé. 60 % des PME que nous auditons en 2025 n'ont pas de MFA généralisé. Microsoft impose pourtant Security Defaults par défaut sur les nouveaux tenants. Vérifiez : portal.azure.com, Azure AD, Properties, Manage Security Defaults. Sans MFA, un mot de passe phishé = compte compromis.
Pas de sauvegarde tierce. Les PME pensent que Microsoft sauvegarde tout. Faux. Si un utilisateur supprime sa boîte ou si un ransomware chiffre des fichiers OneDrive synchronisés, vous perdez tout au-delà de 30 jours. Veeam Backup for M365 ou Datto SaaS Protection : 3 à 5 euros/user/mois.
SPF mal configuré. SPF doit lister TOUS les serveurs autorisés à envoyer pour votre domaine : Microsoft 365, plateforme marketing (Mailchimp, Sendinblue), CRM (Salesforce), outils RH. Un SPF incomplet bloque les emails légitimes ou les fait classer en spam. Vérification : mxtoolbox.com.
Comptes partagés. Plusieurs personnes utilisent un même compte (commercial@, contact@) avec un seul mot de passe. Mauvaise traçabilité, MFA impossible, départs douloureux. Solution : boîte partagée Exchange + délégations individuelles. Chaque collaborateur garde son compte personnel et accède à la boîte générique.
Cas Sicollab : migration Exchange 2016 vers Exchange Online
Une PME de services BtoB à Clermont-Ferrand, 30 boîtes, exploitait un Exchange 2016 sur un serveur HP local arrivant en fin de support. Le client souhaitait basculer dans le cloud sans interrompre l'activité.
Phase 1 (J-7) : audit DNS, retraitement SPF/DKIM/DMARC, achat de 30 licences M365 Business Standard via partenariat CSP. Phase 2 (J-3) : création des comptes M365, MFA activé sur tout le tenant, configuration de Defender for Office 365 Plan 1.
Phase 3 (Vendredi soir au lundi matin) : migration cutover en 36 heures via le centre d'administration Exchange. Tous les emails, contacts, calendriers et règles ont été transférés. Bascule du MX DNS le dimanche soir, deuxième synchronisation différentielle au réveil. Lundi matin : 30 collaborateurs sur Outlook web ou Outlook desktop reconfiguré, zéro email perdu, zéro ticket support en première semaine.
Coûts : 320 euros/mois pour 30 licences Standard + 55 euros pour Defender P1 + 120 euros pour Veeam Backup M365. Total 495 euros/mois, contre 280 euros/mois pour le serveur Exchange (électricité, maintenance, sauvegarde, support) mais avec un risque de panne et un coût de remplacement de 12 000 euros qui se profilait.
Si vous venez de Google Workspace, consultez notre guide migration Google Workspace vers Microsoft 365. Pour le projet d'ensemble : page Microsoft 365 pour PME.
Questions fréquentes
Une boîte de 50 Go suffit-elle pour une PME ?
Pour 90 % des collaborateurs, oui. 50 Go représente environ 8 à 12 ans d'historique pour un usage normal (50 emails reçus/jour). Si vos commerciaux conservent 15 ans d'historique avec pièces jointes, prenez Exchange Plan 2 (100 Go + archivage in-place illimité à 7,40 euros/user/mois).
Peut-on créer des alias illimités sur une licence ?
Oui. Chaque utilisateur peut avoir jusqu'à 400 alias (adresses secondaires). Aucun coût supplémentaire. Configuration via le centre d'admin Exchange ou PowerShell (Set-Mailbox -EmailAddresses). Utile pour absorber plusieurs marques ou anciennes adresses sans créer de comptes.
Comment fonctionne l'archivage in-place ?
L'archivage in-place ajoute une boîte secondaire (archive) accessible depuis Outlook. Avec Plan 2, l'archive est illimitée. Une règle MRM (Messaging Records Management) déplace automatiquement les emails de plus de 2 ans vers l'archive, ce qui libère la boîte principale et accélère Outlook.
Outlook desktop est-il obligatoire pour Exchange Online ?
Non. Exchange fonctionne avec Outlook web (OWA), Outlook mobile (iOS/Android) et n'importe quel client IMAP/POP3. Outlook desktop apporte le mode offline, les règles avancées et l'intégration avec les logiciels métiers (Sage, CRM). Il nécessite une licence M365 Standard ou Apps for Business.
L'anti-spam Microsoft EOP suffit-il pour une PME ?
EOP bloque environ 99 % du spam et 100 % des malwares connus. Il est inclus avec toutes les licences Exchange Online. Pour le phishing ciblé (BEC, usurpation de dirigeant) et les liens malveillants en temps réel, ajoutez Defender for Office 365 Plan 1 à 1,84 euros/user/mois.
Microsoft sauvegarde-t-il gratuitement mes emails ?
Non. Microsoft réplique vos données sur 3 datacenters (haute disponibilité), mais ne propose aucune sauvegarde au sens classique. Si un utilisateur supprime sa boîte ou si un ransomware chiffre les fichiers via OneDrive synchronisé, vous perdez tout au-delà de 30 jours. Une sauvegarde tierce est indispensable.
Exchange Online est-il conforme RGPD ?
Oui. Microsoft héberge les données européennes dans des datacenters UE (France, Pays-Bas, Irlande). Le DPA Microsoft est conforme RGPD. Vous restez responsable de la configuration : politiques de rétention, DLP pour protéger les données personnelles, journalisation des accès. Vérifiez le centre de conformité M365.
Exchange Online vs Google Workspace : que choisir ?
Exchange Online s'intègre nativement avec Outlook, Teams, SharePoint et la suite Office desktop. Google Workspace excelle sur Gmail, Drive et la collaboration temps réel. Pour une PME française B2B avec Office historique, Exchange est le choix par défaut. Notre comparatif complet : article mail professionnel comparatif.
Article rédigé par Quentin Beauger, fondateur de Sicollab et DSI pour PME en Auvergne.
Migration Exchange Online clé en main
Diagnostic gratuit de 30 minutes. On audite votre messagerie actuelle et on chiffre la migration vers Exchange Online avec MFA, Defender et sauvegarde tierce.
Planifier un diagnostic gratuit