Il fut un temps où l’on circulait un dossier client en le transférant de clé USB en clé USB, à travers les bureaux, en croisant les doigts pour que personne ne la perde. Aujourd’hui, le partage de fichiers s’effectue en un clic, souvent via des plateformes comme SharePoint. Mais cette facilité cache un revers : une exposition accrue des données sensibles. Partager avec un prestataire ou un partenaire, c’est bien. Le faire en toute sécurité, c’est indispensable.
Les fondamentaux d’un partage SharePoint maîtrisé
Le principe du moindre privilège
Dans un environnement professionnel, il est tentant de donner rapidement accès à un document en attribuant des droits complets. Erreur. Le principe du moindre privilège impose de limiter chaque utilisateur aux actions strictement nécessaires : lecture seule, édition limitée, ou accès temporaire. Cela réduit considérablement le risque de modification accidentelle ou d’exfiltration de données. Un prestataire n’a pas besoin de supprimer un fichier ni d’inviter d’autres personnes - alors pourquoi lui offrir cette possibilité ? Pour configurer les droits d'accès de manière granulaire, on peut s'appuyer sur ce guide pratique expliquant https://electrosensible-zone-blanche-ehs-film.com/high-tech/comment-assurer-un-partage-externe-securise-sur-sharepoint.php.
Comparatif des modes de partage sécurisés
SharePoint propose plusieurs types de liens de partage, mais tous ne se valent pas en matière de sécurité. Les liens ouverts à "tout le monde" ou "personnes anonymes" sont à proscrire en contexte professionnel. Ils permettent à n’importe qui, même sans compte Microsoft, d’accéder au contenu si l’URL tombe entre de mauvaises mains. Privilégiez plutôt le partage ciblé : inviter des personnes spécifiques via leur adresse e-mail, ou utiliser Azure AD B2B pour une collaboration externe plus robuste, avec traçabilité et authentification renforcée.
| 🔐 Type de lien | 🛡️ Niveau de sécurité | 📌 Usage recommandé | ⚠️ Risque associé |
|---|---|---|---|
| Lien "Tout le monde" | Faible | Partage public non sensible (ex. brochure) | Fuite massive, aucun contrôle d'accès |
| Lien "Personnes de l’organisation" | Élevé | Collaborateurs internes ou affiliés | Accès restreint aux comptes valides |
| Lien "Personnes spécifiques" | Très élevé | Prestataires, partenaires externes | Risque minimal si bien configuré |
Paramétrage avancé pour une administration sereine
Gérer les domaines et l’authentification multifacteur
Un administrateur SharePoint peut aller plus loin que le simple contrôle des droits. Parmi les leviers clés : la restriction de partage à certains domaines (ex. autoriser uniquement @partenaire.com), ce qui empêche les invités de boîtes gmail ou hotmail d’accéder à vos documents. Encore plus important : l’obligation de l’authentification multifacteur (MFA). Même pour un utilisateur externe, exiger une vérification en deux étapes (code SMS, application mobile, etc.) bloque une large part des tentatives d’intrusion automatisées.
Automatisation et cycles de vie des accès
Un lien de partage sans date d’expiration, c’est un accès fantôme. Combien de collaborations terminées laissent derrière elles des dossiers ouverts à des tiers jamais révoqués ? L’idéal est de systématiser les délais. En général, les entreprises fixent une durée entre 7 et 30 jours pour les accès externes, au-delà de quoi l’invitation expire automatiquement. Ce n’est pas seulement une bonne pratique technique - c’est une obligation de gouvernance. Et si la collaboration se prolonge ? Un simple renvoi du lien suffit.
Surveillance et protection intelligente des données
La sécurité ne s’arrête pas à la configuration. Elle passe par une veille permanente. SharePoint intègre des rapports de partage qui permettent d’extraire, à tout moment, une liste CSV des accès externes : qui a été invité, quand, sur quel document et avec quels droits. Ces données sont cruciales pour auditer régulièrement les accès. Mais l’humain seul ne peut tout surveiller. C’est là qu’intervient Microsoft Purview, une couche intelligente qui utilise l’IA pour détecter automatiquement les fichiers sensibles - comme un RIB, un contrat ou des données personnelles - et bloquer leur partage non autorisé. Entre nous, c’est ce genre de garde-fou qui fait la différence entre une fuite évitée et un incident majeur.
Check-list pour auditer vos partages externes
Vérification des accès existants
- Accéder au Centre d’administration SharePoint pour lister tous les utilisateurs externes actifs
- Identifier les sites avec le plus grand nombre d’invités
- Contrôler les permissions élevées (propriétaire, éditeur)
Nettoyage des liens obsolètes
Après la fin d’un projet ou d’une mission prestataire, il faut impérativement révoquer les accès. Cela inclut non seulement le retrait des utilisateurs, mais aussi la suppression des liens partagés qui ne servent plus. Un dossier racine OneDrive personnel, souvent utilisé à tort pour partager des fichiers, peut devenir une porte dérobée si mal géré.
Sensibilisation des collaborateurs
L’humain reste le maillon clé - fort ou faible. Un collaborateur bien formé évite de partager un dossier contenant des données sensibles avec un lien "tout le monde". Des sessions courtes et régulières, relayées par des rappels dans les newsletters internes, peuvent réduire drastiquement les erreurs de manipulation. En gros, la meilleure configuration technique ne vaut rien si l’équipe ne comprend pas les enjeux.
Les questions des utilisateurs
Qu'est-ce que l'on risque en laissant les liens anonymes activés par défaut ?
Laisser les liens anonymes activés expose vos documents à n’importe qui disposant de l’URL. Cela peut entraîner une fuite massive de données, notamment si le lien est transféré ou publié par erreur. Sans authentification, il est impossible de tracer qui a accédé au fichier, ce qui complique toute réponse en cas de violation.
Comment forcer un utilisateur externe à s'authentifier sans lui créer de compte ?
SharePoint peut envoyer un code secret à usage unique par e-mail à un invité. Ce dernier l’entre pour accéder au document, sans avoir besoin d’un compte Microsoft. Cela permet une authentification légère mais efficace, surtout combiné à Azure AD B2B pour des collaborations plus régulières.
Faut-il privilégier SharePoint ou OneDrive pour partager avec un client ?
On privilégie OneDrive pour un fichier unique, ponctuel et temporaire. En revanche, pour un ensemble structuré de documents liés à un projet, SharePoint est bien plus adapté : il permet une gestion centralisée, des versions, et un contrôle d’accès plus fin.
Existe-t-il une solution pour automatiser la détection de documents confidentiels ?
Oui, Microsoft Purview analyse automatiquement le contenu des fichiers pour identifier des motifs sensibles (comme des numéros de sécurité sociale ou de carte bancaire). Il peut alors bloquer le partage ou alerter l’administrateur, réduisant ainsi les risques liés à l’erreur humaine.
Quelles sont les obligations de l'administrateur concernant la traçabilité RGPD ?
L’administrateur doit garantir la protection des données personnelles et être en mesure de fournir un historique d’accès à la demande. Cela inclut la liste des utilisateurs externes, les dates d’accès et les permissions accordées, afin de prouver la conformité en cas de contrôle.
