Comment sécuriser le partage de fichiers en entreprise ?

Le partage de fichiers en entreprise s’impose désormais comme un standard, mais un sondage de Ponemon Institute fait le point sur la question. D’une part, environ 66 % des entreprises remettent en cause la sécurité de cette pratique. D’autre part, près de 50 % rechignent à recourir aux services destinés au grand public pour cause d’inadéquation aux besoins. Tous reconnaissent pourtant la nécessité et l’efficacité du partage de fichiers. La meilleure solution réside ainsi dans l’utilisation d’un outil adapté et sécurisé.

Pourquoi sécuriser le partage de fichiers au sein d’une entreprise ?

Les défis des entreprises ne cessent d’augmenter à mesure que la technologie avance. La hausse croissante des cyberattaques et les failles du système informatique impliquent la mise en place de mesures importantes. Le choix d’un outil de partage de fichiers sécurisé compte parmi les priorités.

Avantages du partage de fichiers

Le partage de fichiers au sein d’une entreprise à un intérêt évident : L’efficacité. Permettre à vos équipes de communiquer rapidement et simplement entre elles augmente la productivité et fluidifie tous les échanges au sein de l’entreprise et même avec des acteurs extérieurs.

De plus, choisir un outil sécurisé permet de diminuer les risques d’attaques cyber sur votre entreprise. Car même si votre choix d’outils doit être basé sur les besoins de vos collaborateurs afin de ne pas les bloquer dans leurs tâches, vous devez prendre en compte le niveau de sécurité de l’outil pour limiter les risques cyber de votre entreprise. Ce dernier point est encore plus important si jamais vous traitez des données encadrées par des règles de sécurité strictes, par exemple des données de santé. 

Le fait de définir un outil pour le partage de fichiers apporte aussi un avantage très visible pour les DSI : une réduction nette des pratiques de shadow IT. Mettre fin à l’utilisation des outils comme WeTransfer en proposant des alternatives et une problématique commune à de nombreux RSSI en France. 

Catégorisation des fichiers à sécuriser

D’emblée, il est essentiel de catégoriser les fichiers avant d’identifier les mesures de sécurité dont ils ont besoin.

Diffusion restreinte

Le terme DR ou diffusion restreinte désigne une mention de protection pour préserver la confidentialité de certaines informations. Il ne s’agit pas d’un niveau de classification à proprement parler et repose sur la sensibilisation de l’utilisateur. Ce dernier s’engage ainsi à manipuler les informations en toute discrétion.

Secret défense

Un dossier classé « secret défense » relève de l’existence d’informations militaires ou relatives à la sécurité nationale. Cette classification est régie par des réglementations précises et strictes, notamment le code de la défense. La catégorie regroupe encore différents niveaux, à savoir le très secret-défense, le secret-défense et le confidentiel-défense.

Données personnelles

Les données personnelles renvoient à toute information permettant d’identifier précisément un individu. Elles portent sur l’identité, la vie personnelle et professionnelle, les informations économiques et judiciaires ou encore la localisation.

Données à haute valeur ajoutée

Avec le big data, la collecte et le traitement de données sont au cœur des préoccupations. Les données en masse analysées sont créatrices d’opportunités. La valeur ajoutée d’une information concerne, par exemple, la possibilité d’en faire un levier d’amélioration ou d’optimisation.

Données sensibles

Les données sensibles sont caractérisées de plusieurs manières, selon qu'elles concernent une personne physique ou une personne morale. Dans le premier cas, elle renvoie, entre autres, aux origines (raciale ou ethnique) et aux opinions (politique, religieuse, philosophique). Dans le deuxième cas, elle concerne les secrets commerciaux, la propriété intellectuelle ou encore les projets de l’entreprise. Tout renseignement susceptible de nuire via une concurrence déloyale est classé sensible.

Quelles sont les exigences de sécurité par typologie ?

Les DSI et à fortiori les RSSI sont de plus en plus exposés aux risques de l’entreprise, notamment concernant, la sécurisation des données et des pratiques des collaborateurs. L’objectif principal est de trouver une solution capable de couvrir les besoins de sécurité des fichiers.

À chaque fichier son niveau de criticité

Les besoins de sécurité des fichiers varient en fonction de leur typologie. Concrètement, le niveau de protection exigé pour un dossier secret défense diffère de celui pour les données personnelles d’un client. 

Diffusion restreinte

La diffusion restreinte se limite à une simple mention, car les documents n’appartiennent pas à une classification distincte. Autrement dit, elle ne réclame pas forcément un chiffrement particulier, mais insiste sur la sensibilisation des utilisateurs. Néanmoins, toute forme de négligence ou de mauvaise foi entraînant la divulgation est considérée comme une faute professionnelle. Les conséquences d’un tel acte vont de sanctions disciplinaires ou administratives à des sanctions pénales en cas de non-respect de secret professionnel.

Secret défense

Toute divulgation non autorisée d’un document secret défense est passible de peine. En ce sens, le niveau de criticité impose un accès très restrictif et hautement contrôlé. Cet accès exige deux conditions : la nécessité de connaître l’information et l’autorisation explicite d’y accéder. Le protocole se présente ainsi avec un niveau très élevé.

Données personnelles

La mise en place du RGPD ou Règlement Général de la Protection des Données vise essentiellement les données personnelles. Le renforcement de la sécurité se traduit par plusieurs solutions, dont le chiffrement, la vérification biométrique et les systèmes d’authentification. La distribution de jetons de sécurité ou encore l’attribution de mots de passe temporaires se pratiquent également.

Données à haute valeur ajoutée

La protection des données à forte valeur ajoutée dépend des impacts liés à leur divulgation ou leur perte. À ce niveau, le choix des mesures de sécurité appartient principalement à la stratégie et à la décision de l’entreprise.

Données sensibles

Le niveau de criticité de ces données est relativement le même que pour les fichiers secret-défense. La protection des informations d’un individu, comme ses données biométriques ou ses condamnations pénales, est cruciale. Les services ayant accès à ces renseignements mettent en place des protocoles rigoureux pour les protéger. Il en va de même pour les données sensibles des entreprises, au risque d’en subir les conséquences financières ou diplomatiques.

Équipes concernées

La sécurisation des données ne concerne pas seulement le RSI ou l’admin Sys. Le vaste champ des conséquences en cas de perte, de violation ou de vol implique tous les services de l’entreprise. Les enjeux s’avèrent d’une importance capitale.

Service juridique

Le caractère juridique de la protection des données se justifie par les sanctions en cas de fuite ou de divulgation. Sous la supervision de la CNIL, les entreprises s’exposent à des amendes administratives en cas de défaillance. La Commission Nationale de l’Informatique et des Libertés est également en mesure d’appliquer des sanctions pénales. Le paiement de dommages et intérêts représente un autre risque majeur. Subséquemment, le service juridique de l’entreprise est concerné par les mesures, leur mise en place et leur application.

Comité exécutif ou COMEX

Chargé des décisions stratégiques de l’entreprise, le Comité exécutif s’investit dans la sécurisation des données. Parmi les rôles de ce groupe figure le suivi de l’activité et des résultats. Ceux-ci sont liés aux performances du système informatique. En réunissant les départements comme le marketing ou le commercial, le Comex est confronté aux mêmes défis que le DSI.

Ressources humaines ou RH

Le service des Ressources Humaines accède et traite souvent des PII ou Personal Identifiable Information. En ce sens, ce département est concerné par leur sécurisation. L’accès d’un hacker à ces données expose les propriétaires à des risques d’usurpation d’identité, voire de phishing. Création de fausses cartes de crédit, accès à des comptes bancaires ou escroquerie sont autant de dangers possibles.

Service commercial

La pratique commerciale elle-même repose sur la collecte d’informations privées. Le service se base sur le profil des prospects ou des clients pour élaborer les offres. Le développement de l’activité s’appuie également sur l’obtention du consentement des concernés. L’implication du département marketing et commercial dans la sécurisation des fichiers s’impose. Le stockage s’effectue obligatoirement sur des serveurs et des data center fiables. L’utilisation de ces types d’informations est aussi réglementée.

Recherche & Développement

Les innovations développées par le département Recherche & Développement requièrent une protection juridique. La sécurisation des fichiers portant sur ces découvertes incombe au service lui-même, mais également au RSI. Le brevet est déposé auprès de l’INPI, idéalement en présence d’un avocat spécialisé. La protection dure 20 ans. Le certificat d’utilité est valable 6 ans et ce titre de propriété industrielle exige aussi une sécurisation des données. La confidentialité de toutes ces informations stratégiques pour l’entreprise passe par le recours à des outils juridiques spécifiques.

Quels outils sont utilisés ?

Le choix ne manque pas quand il s’agit de choisir des outils de partage de fichiers. D'autre part, il existe des offres avec différentes options, tant en termes de sécurité que d'utilisation. Il faut également considérer des limitations comme les restrictions et le volume de stockage disponible selon la gamme choisie. La facilité de prise en main constitue un autre critère.

Les outils utilisés pour partager des fichiers sont, entre autres, le mail, le courrier, Microsoft Teams, DataRoom, WeTransfer et LockTransfer.

Mail

Le mail se révèle le plus pratique et le plus basique des solutions de partage de documents. Son utilisation est ancrée dans l’environnement numérique actuel. Il peut se développer en interne ou en externe : intranet ou internet. En revanche, le courrier électronique n’est pas chiffré et est donc peu gérable. De plus, les fichiers volumineux sont peu pris en charge.

Courrier

Le courrier reste le plus standard et le plus traditionnel des transferts de dossiers. Cette solution historique n’a pas besoin de digitalisation des process. Malheureusement, son principal inconvénient est l’absence de traçabilité et la lenteur comparée au numérique. Le risque de perte ou de vol demeure également très élevé.

Teams

Microsoft Teams apparaît comme une solution pratique pour les groupes de travail collaboratif. Cette application s’adresse aux entreprises souhaitant s’organiser à distance via une connexion internet pour collaborer. Toutefois, elle exige l’ouverture d’un compte d’utilisateur. Elle présente également quelques difficultés en termes de sécurité, que ce soit au niveau du chiffrement ou de l’hébergement.

Dataroom

La solution DataRoom constitue une option sécurisée pour les entreprises effectuant régulièrement des transferts de documents importants. La confidentialité des données est plus optimisée, permettant de stocker des projets de haute importance. Le bémol reste le tarif onéreux et la complexité de la mise en place dans certaines situations.

WeTransfer

WeTransfer est ancrée dans le quotidien des utilisateurs, qu’ils soient professionnels ou particuliers. Il s’agit d’un service grand public qui autorise le partage de fichiers à travers un lien. La version gratuite ne garantit aucunement la sécurité des données, sans compter l'absence de gestion des partages. Le volume des documents transférés est limité à 2 Go. Un compte Pro offre davantage de protection avec des mots de passe et un partage jusqu’à 20 Go.

LockTransfer

LockTransfer est développé pour répondre aux exigences des entreprises en termes de sécurité. La solution remplace les outils grand publics et permet de partager simplement des fichiers au sein de votre entreprise ou avec des partenaires externes. De plus, il existe des plugins office365 & Outlook pour que vos collaborateurs puissent effectuer des partages sécurisés directement depuis les outils qu’ils ont l’habitude d’utiliser.

Sur quels critères choisir sa solution de partage de fichiers ?

Les critères de base pour choisir une solution de partage de fichiers se définissent en fonction du type de services. Toutefois, les entreprises recherchent la simplicité et la sécurité en priorité.

Simplicité

La simplicité constitue le premier mot d’ordre dans le choix d’un outil. Il faut intégrer au maximum le dispositif à l’environnement de travail. La fonctionnalité et la compatibilité représentent aussi des conditions sine qua non. Autrement, le retour du shadow IT est un risque à prendre.

Sécurité

Chaque typologie de fichiers requiert un niveau de protection différent. Il varie aussi selon la sensibilité des informations. Toutefois, l’hébergement sécurisé détient une place prépondérante, outre le besoin de chiffrement.

Recommandations

Le bon outil de partage de fichiers n’est pas le même pour les entreprises, car les besoins peuvent être basiques ou complexes.

Mail

Le mail convient pour des échanges classiques et demeure ainsi un outil incontournable. Ses différentes options sont intéressantes, comme le recensement des mails envoyés ou les pièces jointes. Ce plugin est intégré sur Outlook.

Data Room

La Data Room est adaptée pour partager efficacement d’importants volumes de documents. Cette solution sert à stocker et à transférer des documents sur des transactions M & A, le dépôt de brevet, etc. Elle se distingue d’un stockage Cloud par sa grande capacité de stockage et le déploiement de fonctionnalités de gestion. Néanmoins, cette sécurité a un coût qu’il faut anticiper. Le tarif dépend aussi du fournisseur.

LockTransfer

LockTransfer constitue une solution tout-en-un. Non seulement il permet d’attribuer un mot de passe pour chaque fichier, mais offre aussi un contrôle total des transferts. L’envoi de fichiers est chiffré de bout en bout pour une protection optimale. Des accusés de réception à chaque téléchargement garantissent une information en temps réel des mouvements dans les documents. Avec ce niveau de protection élevé, LockTransfer se distingue par sa simplicité d’utilisation. Par conséquent, il permet un gain de temps considérable. De plus, tout est pensé pour que l’utilisation de l’outil deviennent un réflexe pour les collaborateurs.

Enfin les modérateurs et administrateurs disposent d’un espace défini pour configurer l’application selon les besoins de leurs services. La configuration avancée donne l’opportunité de paramétrer et d’intégrer la solution à l’environnement spécifique de l’entreprise.