Il existe différentes approches en matière de contrôles autour du partage de fichiers auxquelles vous pouvez vous conformer, par exemple avec la norme ISO 27001.
Le partage de fichiers au sein des entreprises est l’une des technologies applicatives qui passent le plus souvent « inaperçues ».
Depuis l’utilisation de sites SharePoint, en mode projets jusqu’à la création d’équipes, le partage de nombreux fichiers est fréquent, que ce soit avec des utilisateurs internes ou externes. La plupart du temps, personne n’y pense, jusqu’à ce que des documents et des données sensibles se retrouvent entre des mauvaises mains.
C’est le défi de la gouvernance des données et du respect des règles de conformité que les RSSI et les administrateurs informatiques connaissent bien : le partage de fichiers, tant avec des groupes internes qu’avec des collaborateurs externes, est censé être aussi facile et fluide que possible pour s’adapter à la réalité du lieu de travail numérique moderne, mobile et collaboratif.
Du point de vue de la conformité, cette approche ouverte peut toutefois constituer une bombe à retardement.
L’arrivée d’outils comme Copilot contribue à accélérer la minuterie de cette bombe du fait qu’ils ont accès aux mêmes documents que l’utilisateur. En clair, vous ne savez pas nécessairement à quels documents l’outil accède pour répondre aux requêtes ou pour créer une nouvelle version de document.
Un partage « facile » quasi incontrôlé qui révèle les dangers des autorisations d’accès aux fichiers non gérées
Le partage de fichiers au sein de messageries instantanées est probablement l’une des méthodes qui prêtent le plus facilement à confusion.
Lorsque vous partagez un fichier dans un canal Teams par exemple, ou si vous téléchargez un fichier dans une conversation à deux ou en groupe, ce dernier est en fait stocké sur le site d’équipe dans SharePoint.
Bien sûr, si vous utilisez un canal privé, Teams dispose de son propre site SharePoint séparé, avec une bibliothèque de documents à laquelle seuls les membres du canal privé ont accès. Or, dans tous les cas, les documents sont tous stockés dans divers sites SharePoint, plutôt que dans l’application Teams elle-même.
Et si vous partagez un fichier avec un collaborateur externe, en fonction des paramètres définis par votre service informatique, rien n’empêche qu’il reçoive un courriel l’invitant à créer un compte invité dans votre espace cloud.
Si vous êtes RSSI, cela doit vous inquiéter. Vous savez que les données commerciales sont facilement partagées en interne, même avec du personnel qui ne devrait pas y avoir accès, et vous n’avez qu’un contrôle limité sur ce partage. Elles sont même probablement partagées avec des collaborateurs externes et vous n’en savez pas plus non plus.
Or bloquer complètement le partage de fichiers, sans partage externe et avec des autorisations strictes par défaut pour le partage interne risque fort d’amener les utilisateurs à chercher un autre moyen d’accomplir leurs tâches.
Les documents sensibles peuvent alors être partagés via le stockage cloud d’un tiers, où vous avez encore moins la main. Si vous êtes administrateur informatique et que vous devez gérer le partage de fichiers, en plus de toutes vos autres tâches, cela peut paraître insurmontable.
Dans ce cas, par où commencer ? Même si vous pouvez produire des rapports sur les autorisations accordées et les fichiers partagés en externe, vous ne savez pas ce qui relève du partage excessif et ce qui relève de l’activité légitime. Vous devrez travailler avec les différents services de l’entreprise pour identifier ces éléments, site par site.
Notons qu’il est pratiquement impossible d’aider un utilisateur final, même avec des outils intégrés, à comprendre quel contrôle il a sur le partage de documents en interne et en externe (qui dépend de la configuration des espaces cloud) et comment il peut déterminer la part de son propre rôle dans le partage excessif.
De la gouvernance des données
Auditer manuellement des centaines de sites est impossible. Il est même difficile de créer des rapports PowerShell pour collecter les données.
Certes vous pouvez renforcer vos paramètres actuels et agir sur les options dont vous disposez dans le centre d’administration SharePoint, mais ils ne s’appliquent qu’aux nouveaux partages, et non aux sites et fichiers partagés existants.
L’un des principes de la « confiance zéro » (Zero Trust) est l’accès sur la base du moindre privilège.
En d’autres termes, n’accordez aux utilisateurs que l’accès aux données dont ils ont besoin pour accomplir leurs tâches, et pas plus. Ces données doivent être mises à jour lorsque les utilisateurs changent de rôle au sein de l’organisation ou qu’ils sont promus.
Pour autant, il est difficile de faire un inventaire exact de qui a accès à quels documents à l’aide des outils intégrés.
Il existe différentes approches en matière de contrôles autour du partage de fichiers auxquelles vous pouvez vous conformer, par exemple avec la norme ISO 27001.
En fonction du lieu d’implantation de votre entreprise, de votre secteur d’activité et du type de données que vous stockez et traitez, différentes réglementations s’appliqueront.
Le point commun à beaucoup d’entre elles est que vous devrez contrôler l’accès aux données avec un accès sur la base du moindre privilège, mais aussi auditer l’accès, souvent avec des examens réguliers de l’accès – et être en mesure de prouver à un auditeur que vous le faites.
Pour ce faire, rien de tel qu’un outil évolutif de gestion des autorisations qui puisse couvrir de espaces cloud étendus avec des milliers de sites SharePoint, qui soit convivial et qui vous fournit une interface de gestion centralisée pour appliquer des politiques, trouver des écarts par rapport à ces politiques et remédier à l’excès d’accès autorisés en masse.
L’administrateur informatique dispose ainsi d’une seule console et d’une seule page importante, la liste des tâches. Celle-ci répertorie toutes les violations des politiques appliquées à chaque site SharePoint Online et vous permet d’y remédier en masse, ainsi que de fournir des exceptions lorsqu’il y a une justification commerciale.
