Quand je dis bien sécurisé, j'entend OS à jour, server core 2019 pour exchange 2019, CU à jour, DMZ avec deux firewall de marques différentes, IDS/IPS, chiffrement des VMs, serveur Kemp en frontal ou autre LB, et serveur EDGE en DMZ, virer les vieux protocoles d'auth, AD lui aussi correctement géré etc ... . Bien évidement si possible avec déploiement S/MIME et comme tu l'as cité RMS si cal achetés. Pour les mobiles, solution MDM et certificat qui va bien. Je pourrai en dire plus, mais là ça deviendrait une check list d'audit    
Et qui te dit que c'est forcément mieux et archi béton chez MS ? Peut-être ou bien peut-être pas, on en sait rien. Il y a effectivement des chances que ce soit béton mais tout peut arriver.  
Et oui, j'ai également des clients sur O365, que j'ai conseillés et migrés vers cette plateforme, donc je crache pas dessus non plus. Par contre Google je veux pas en entendre parler