À l’ouverture de classeurs Excel depuis SharePoint Online ou OneDrive, certains postes affichent l’alerte « This content presents a potential security issue. Do you trust this content? ». Voici les causes probables, les contournements sûrs et les déploiements GPO/Intune recommandés.
Alerte de sécurité lors de l’ouverture de fichiers Excel depuis SharePoint/OneDrive
Vue d’ensemble de la question
Des utilisateurs signalent qu’à l’ouverture de classeurs Excel stockés sur SharePoint Online ou OneDrive, une alerte s’affiche : « This content presents a potential security issue. Do you trust this content? ». Le phénomène touche des environnements Windows à jour (par exemple Excel 2406, Build 16.0.17726.20078, 64 bits), peut se produire alors même que les URL exactes du tenant figurent en Sites de confiance, et a été corrélé à un incident Microsoft 365 référencé SP843810 (suivi dans Centre d’administration > État des services). Des retours de terrain ont mentionné une atténuation, puis une réapparition ponctuelle en août–septembre 2024. Un message additionnel « Microsoft Excel is waiting for another application to complete an OLE action » a parfois été observé, puis a disparu chez les personnes concernées.
Pourquoi cette invite apparaît‑elle ?
Lorsqu’Excel ouvre un classeur issu d’un emplacement web (SharePoint/OneDrive), plusieurs couches de sécurité entrent en jeu :
- Zones de sécurité Windows (ZoneMap) : Office s’appuie encore sur les zones héritées d’Internet Explorer, utilisées aussi par WebView2. Les domaines non explicitement classés « Sites de confiance » sont traités comme Internet (zone 3) avec des restrictions additionnelles.
- Marque de provenance (MOTW) : les fichiers marqués « Internet » déclenchent Protected View et/ou des invites supplémentaires.
- Éléments actifs et connexions : liens externes, Power Query, OLE/COM, contrôles ActiveX, connexions ODBC/OLEDB ou images distantes peuvent accroître la surface d’alerte.
Combinés, ces éléments expliquent pourquoi un classeur pourtant légitime peut déclencher l’invite « Do you trust this content? ».
Réponse & solutions
Vérifier d’abord le statut du service (cause Microsoft)
Avant d’engager des changements structurels, validez la cause potentielle côté service :
- Ouvrez le Centre d’administration Microsoft 365 > État des services et recherchez l’ID SP843810.
- S’il est listé comme « Actif » ou « En atténuation », privilégiez des contournements temporaires (voir ci‑dessous) plutôt que des assouplissements de sécurité durables.
Contournements et correctifs côté client/tenant
Mettre à jour Office (Microsoft 365 Apps)
- Dans Excel : Fichier > Compte > Options de mise à jour > Mettre à jour maintenant.
- Si possible, basculez un groupe pilote vers un canal où le correctif est confirmé (ex. Current Channel) pour vérification rapide avant déploiement large.
- Documentez la version exacte (canal, build) lors des tests et conservez un anneau de validation avant généralisation.
Utiliser « Sites de confiance » (avec prudence, périmètre strict)
Ajoutez uniquement les URL exactes de votre tenant dans la zone « Sites de confiance » :
https://<votre-tenant>.sharepoint.com(SharePoint)https://<votre-tenant>-my.sharepoint.com(OneDrive)
À ne pas faire : n’ajoutez pas d’entrées génériques avec des jokers (ex. *.sharepoint.com), ni d’autres domaines que les vôtres.
Déploiement à l’échelle : stratégie « Site to Zone Assignment List »
GPO (Ordinateur et/ou Utilisateur) : Stratégies Adm. Windows > Composants Windows > Internet Explorer > Panneau de configuration Internet > Page Sécurité.
- Activez Site to Zone Assignment List et ajoutez chaque URL avec la valeur 2 (zone « Sites de confiance »).
- Appliquez sur un groupe pilote, validez, puis étendez.
| Zone | Identifiant | Contexte |
|---|---|---|
| Intranet local | 1 | Réseau interne uniquement (non pertinent pour SharePoint Online). |
| Sites de confiance | 2 | Recommandé pour vos URL exactes du tenant. |
| Internet | 3 | Par défaut pour les domaines Internet non listés. |
| Sites sensibles | 4 | Blocages renforcés ; à éviter pour SharePoint/OneDrive légitimes. |
Remarques de sécurité
- Cette mesure réduit certaines invites mais élargit la confiance pour le domaine ciblé ; limitez‑la strictement à votre tenant.
- Nécessite une réévaluation après correction complète côté Microsoft : supprimez les contournements devenus inutiles.
Alternatives si vous ne souhaitez pas utiliser « Sites de confiance »
- Téléchargement local : téléchargez le fichier puis ouvrez‑le depuis un dossier local contrôlé. C’est simple, réversible et ne modifie pas vos politiques de confiance.
- Conservez vos protections : laissez actives les règles ASR, l’interdiction des macros Internet et Protected View pour les sources Internet.
- Références inter‑domaines : si le classeur appelle des contenus d’un autre domaine (autre tenant, CDN, API…), l’invite peut persister. Harmonisez l’hébergement ou ajoutez uniquement ce domaine supplémentaire (mêmes règles de prudence).
| Cas | Symptôme | Action conseillée |
|---|---|---|
| Classeur simple (aucun lien externe) | Invite « Do you trust this content? » | Télécharger localement / Ajouter vos URL en zone 2 (pilote). |
| Power Query vers autre domaine | Invite persistante | Unifier l’emplacement des sources ou ajouter seulement ce domaine précis en zone 2. |
| Macros signées nécessaires | Barre de sécurité + invite | Garder ASR/macros ; signer et approuver le certificat, éviter de relâcher Protected View. |
Message OLE (si observé)
Le message « Microsoft Excel is waiting for another application to complete an OLE action » a été vu ponctuellement et a disparu chez la majorité des utilisateurs affectés. S’il persiste :
- Mettez Office à jour.
- Démarrez Excel en mode sans échec (
excel /safe) et désactivez temporairement les compléments tiers pour test. - Vérifiez l’option : Fichier > Options > Avancé : « Ignorer les autres applications qui utilisent DDE » doit rester désactivée dans la plupart des cas.
Support Microsoft
Si le problème persiste alors que SP843810 est annoncé comme résolu pour votre région/canal, ouvrez un ticket via Centre d’administration > Support > Nouvelle demande et joignez :
- Version d’Office (produit, canal, build) et édition Windows.
- Captures de la configuration « Sites de confiance » (poste et GPO/Intune).
- URL exactes concernées, circulez le contexte (OneDrive, bibliothèque SharePoint, lien « Ouvrir dans l’application », Sync, etc.).
- Un échantillon de fichier (expurgé de données sensibles) reproduisant le problème.
Procédures pas à pas
Déployer la « Site to Zone Assignment List » via GPO
- Dans la GPMC, créez ou éditez un GPO ciblant votre groupe pilote.
- Chemin : Configuration ordinateur (ou Configuration utilisateur) > Modèles d’administration > Composants Windows > Internet Explorer > Panneau de configuration Internet > Page Sécurité.
- Ouvrez Site to Zone Assignment List, définissez sur Activé, puis cliquez sur Afficher….
- Ajoutez :
- Nom de la valeur :
https://<tenant>.sharepoint.com— Données :2 - Nom de la valeur :
https://<tenant>-my.sharepoint.com— Données :2
- Nom de la valeur :
- Forcer l’application :
gpupdate /forcesur un poste pilote, redémarrez Excel et validez.
Déployer via Microsoft Intune (modèle d’administration)
- Créez une stratégie Modèles d’administration > Internet Explorer.
- Activez Site to Zone Assignment List et ajoutez les deux URL du tenant avec la valeur 2.
- Affectez la stratégie à un groupe pilote, vérifiez l’état dans Rapports > État de l’appareil, puis étendez.
Ajouter manuellement sur un poste pilote (interface graphique)
- Ouvrez Options Internet (rechercher « Options Internet » dans le menu Démarrer).
- Onglet Sécurité > sélectionnez Sites de confiance > Sites.
- Ajoutez
https://<tenant>.sharepoint.comethttps://<tenant>-my.sharepoint.com(conservez l’exigence HTTPS). - Fermez et relancez Excel.
Vérifier la configuration dans le Registre (lecture seule)
Pour contrôle (ne modifiez le Registre que si vous savez exactement ce que vous faites) :
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sharepoint.com\<tenant>
"https"=dword:00000002
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sharepoint.com\<tenant>-my
"https"=dword:00000002 Chaque sous-clé représente un hôte précis (<tenant>.sharepoint.com, <tenant>-my.sharepoint.com). Évitez d’ajouter des domaines globaux.
FAQ rapides
Cette alerte est‑elle la même que la « Protected View » ?
Non. Protected View (bandeau jaune) ouvre le fichier en lecture seule suite à un marquage « Internet » ou un emplacement non sûr. L’invite « Do you trust this content? » survient plutôt lors de contenus actifs (par ex. requêtes, OLE, liens) ou d’une classification de zone défavorable.
Ajouter des « Sites de confiance » n’est‑ce pas risqué ?
Oui, si c’est trop large. C’est pourquoi nous insistons : n’ajoutez que vos deux hôtes exacts et uniquement sur un périmètre pilote au départ. Révoquez le contournement lorsque Microsoft confirme la résolution complète.
Mac ou Excel Web sont‑ils concernés ?
Le comportement décrit ici concerne surtout Excel pour Windows. Excel pour le Web ne montre pas cette invite spécifique. Sur macOS, la logique de zones « Internet »/« Sites de confiance » ne s’applique pas de la même manière.
Les « Emplacements approuvés » d’Excel peuvent-ils aider ?
Évitez d’ajouter des partages réseau ou des URL web en Emplacements approuvés. Préférez la gestion de zones au niveau système (GPO/Intune) et maintenez ASR/Protected View pour les sources Internet.
Pourquoi l’invite réapparaît même après ajout en zone 2 ?
Le classeur peut appeler un autre domaine (autre tenant, CDN, API, image externe). Utilisez Données > Requêtes et connexions pour inventorier les sources, Gestionnaire de noms pour repérer des URL cachées, et harmonisez l’emplacement des données.
Diagnostic & collecte d’informations
- Inventaire du classeur : listez feuilles, requêtes, connexions, macros, liens externes (menu Données et Gestionnaire de noms).
- Chaîne d’ouverture : lien « Ouvrir dans l’application », synchro OneDrive, ouverture via navigateur, etc.
- Versions : produit Office, canal, build, architecture (x64/x86), édition Windows.
- Compléments : testez en
excel /safe. - Zone effective : confirmez que les deux hôtes du tenant sont en zone 2.
- Journalisation : Event Viewer Application (erreurs Excel/COM), journaux Office (si activés), captures contrôlées (sans données sensibles).
Recommandation pratique (résumé opérable)
- Contrôlez l’ID SP843810 dans État des services et mettez Office à jour.
- Pour un contournement rapide et sûr : téléchargez et ouvrez localement les fichiers sensibles.
- Si acceptable : déployez via GPO/Intune la Site to Zone Assignment List pour vos deux URL exactes (valeur = 2), sans jokers.
- Réévaluez après déploiement complet du correctif et retirez les contournements devenus inutiles.
Bon à savoir : ajouter des Sites de confiance n’altère pas les permissions SharePoint/OneDrive ni le partage ; cela influe surtout sur le traitement des éléments actifs et la provenance. Conservez vos politiques de macros/ASR.
Matrice de décisions (contournements)
| Option | Effet | Avantages | Inconvénients / Risques | Quand l’utiliser |
|---|---|---|---|---|
| Télécharger puis ouvrir localement | Contourne la provenance web | Simple, réversible, sûr | Moins fluide, versions locales | Urgence, fichiers sensibles ponctuels |
| Zone 2 pour les deux hôtes du tenant | Réduit les invites Excel | Expérience fluide, gérable par GPO/Intune | Surface de confiance élargie (périmètre strict requis) | Déploiement pilote, équipes internes identifiées |
| Changer de canal Office (pilote) | Bénéficier d’un correctif plus tôt | Valider rapidement | Variabilité de build, test nécessaire | Anneau de test, IT seulement |
| Désactiver Protected View | Supprime une protection | Moins d’invites | Déconseillé : réduit la sécurité | Tests très encadrés et temporaires uniquement |
Modèle de communication vers les utilisateurs
[Objet] Excel – Alerte de sécurité lors de l’ouverture depuis SharePoint/OneDrive
Bonjour,
Nous observons une alerte de sécurité dans Excel (« This content presents a potential security issue ») lors de l’ouverture de certains fichiers depuis SharePoint/OneDrive.
Nos équipes ont :
* vérifié l’état du service Microsoft (référence SP843810),
* déployé les mises à jour Office,
* et mis en place des contournements temporaires.
En attendant la résolution complète, si vous voyez l’alerte, vous pouvez télécharger le fichier localement puis l’ouvrir. Évitez toute désactivation de protections (macros/Protected View).
Merci de signaler tout cas persistant au Service Desk en joignant captures et lien du fichier.
Cordialement,
\[Signature] Annexes techniques (exemples prêts à l’emploi)
Fichier .reg – ajout en zone 2 (poste utilisateur)
À utiliser uniquement en environnement pilote et après sauvegarde du Registre.
Windows Registry Editor Version 5.00
; Remplacez CONTOSO par votre tenant
\[HKEY\_CURRENT\_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sharepoint.com\CONTOSO]
"https"=dword:00000002
\[HKEY\_CURRENT\_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sharepoint.com\CONTOSO-my]
"https"=dword:00000002 PowerShell – vérification et ajout contrôlé
# À exécuter dans le contexte utilisateur (pilote)
$tenant = "CONTOSO"
$base = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sharepoint.com"
New-Item -Path "$base\$tenant" -Force | Out-Null
New-ItemProperty -Path "$base\$tenant" -Name "https" -Value 2 -PropertyType DWord -Force | Out-Null
New-Item -Path "$base\$tenant-my" -Force | Out-Null
New-ItemProperty -Path "$base\$tenant-my" -Name "https" -Value 2 -PropertyType DWord -Force | Out-Null
# Vérification
Get-ItemProperty -Path "\$base\$tenant","\$base\$tenant-my" | Select-Object PSChildName, https Checklist avant ouverture de ticket
- Capture de l’alerte exacte (texte intégral).
- Version Office : produit, canal, build, architecture.
- Windows : édition, version, mises à jour récentes.
- GPO/Intune : export des paramètres « Site to Zone Assignment List » (poste et utilisateur).
- Inventaire des connexions (Power Query, OLE/ODBC, images distantes, liens).
- Classeur exemple (données fictives) reproduisant l’incident.
Garde‑fous de sécurité à préserver
- ASR/Defender : ne désactivez pas les règles visant les macros ou le contenu provenant d’Internet.
- Protected View : laissez‑le actif pour les sources Internet/Outlook.
- Signatures de macros : exigez des certificats approuvés pour les macros internes.
- Principe du moindre privilège : ne généralisez pas la zone 2 à des domaines non nécessaires.
Critères de rollback
- Incident SP843810 clôturé pour la région et les canaux utilisés.
- Aucun nouveau signalement pendant au moins un cycle de patch mensuel.
- Validation que les classeurs sensibles s’ouvrent sans invite indue.
- Retrait progressif des entrées de zone 2 ajoutées en contournement, en commençant par les groupes pilotes.
Historique et suivi
Des témoignages concordants ont mentionné une atténuation puis une réapparition ponctuelle de l’invite en août–septembre 2024. Dans ce contexte, privilégiez : (1) la surveillance de l’État des services (réf. SP843810), (2) la mise à jour régulière d’Office, (3) une stratégie de contournement réversible (téléchargement local ou zone 2 à périmètre strict), et (4) un plan de rollback documenté.
En résumé
Si vos utilisateurs voient « This content presents a potential security issue. Do you trust this content? » en ouvrant des fichiers Excel depuis SharePoint/OneDrive, suivez une démarche à la fois pragmatique et réversible : vérifiez SP843810, mettez à jour Office, contournez temporairement en téléchargeant localement ou en attribuant la zone 2 à vos deux URL exactes de tenant, puis retirez toute mesure transitoire quand le correctif Microsoft est entièrement déployé.