Partage de fichiers : l'accès temporaire qui ne l'est jamais vraiment

“Je t’envoie l’accès au dossier, c’est temporaire.” Cette phrase est prononcée des dizaines de fois par semaine dans chaque PME. Et dans la quasi-totalité des cas, l’accès n’est jamais révoqué.

Ce n’est pas de la négligence. C’est simplement la façon dont fonctionnent les outils de partage modernes : donner accès prend deux secondes, retirer cet accès demande de s’en souvenir, de retrouver la bonne interface, et d’y consacrer du temps. Personne ne le fait systématiquement.

Comment les accès s’accumulent

Dans une entreprise de 30 personnes utilisant Microsoft 365 ou Google Workspace depuis quelques années, voici ce qui s’est probablement produit :

• Des prestataires externes ont reçu accès à des dossiers de projets terminés depuis longtemps
• Des stagiaires et intérimaires passés ont gardé accès aux dossiers sur lesquels ils travaillaient
• Des clients ont reçu un lien de partage pour un devis ou une présentation — lien qui n’expire jamais
• Des anciens employés ont été désactivés dans l’Active Directory mais leurs partages personnels OneDrive restent accessibles
• Des dossiers partagés en interne ont grandi et contiennent maintenant bien plus que ce que la personne à qui on avait donné accès devait voir

Personne n’a une vue d’ensemble de qui accède à quoi. Les plateformes cloud ne vous alertent pas quand un accès “ne fait plus sens”.

Ce que ça expose concrètement

Données clients. Un prestataire qui a aidé sur un projet il y a deux ans a toujours accès au dossier client complet, incluant les informations mises à jour depuis.

Données financières. Un ancien collaborateur de la comptabilité peut consulter les bilans et les fiches de paie s’ils sont dans un dossier partagé qu’on a oublié de fermer.

Propriété intellectuelle. Des offres commerciales, des prix, des méthodes internes sont accessibles à des personnes qui n’ont aucune raison légitime de les consulter.

Du point de vue RGPD, chaque accès non justifié à des données personnelles (noms clients, coordonnées, données RH) constitue une violation du principe de minimisation des accès. En cas de contrôle ou d’incident, vous devrez être en mesure de justifier qui avait accès à quoi et pourquoi.

La dérive des dossiers partagés

Il y a un phénomène spécifique aux dossiers partagés collectifs : ils grandissent naturellement au fil du temps, et les droits d’accès ne suivent pas cette croissance.

Un dossier “Projets clients” partagé avec l’équipe commerciale il y a trois ans contient peut-être aujourd’hui des documents RH, des informations financières sensibles, ou des données personnelles qui n’auraient jamais dû y être. Personne n’a audité le contenu depuis le début.

Comment reprendre le contrôle

Inventaire des partages actifs. Microsoft 365 et Google Workspace permettent d’extraire la liste des partages actifs. C’est rarement fait, mais c’est la première étape indispensable. Notre gestion Microsoft 365 intègre cet inventaire à l’onboarding.

Politique d’expiration. Microsoft 365 permet de configurer une durée d’expiration automatique sur les liens de partage externes. Activée sur tous les partages, elle force une révision régulière des accès.

Revue trimestrielle. Un audit des accès à programmer dans l’agenda, comme une revue comptable. Qui a accès à quels dossiers ? Ces accès sont-ils toujours justifiés ?

Protocole départ. À chaque fin de collaboration (employé, prestataire, stagiaire), une liste de contrôle des accès à révoquer, exécutée systématiquement avant le départ effectif.

Ce qu’on fait chez Zerobug

Dans le cadre de nos contrats d’infogérance, la gestion des accès est un processus continu : audit initial à l’intégration, révision lors de chaque départ, et alertes automatisées sur les partages anciens non utilisés.

Si vous n’avez jamais fait cet inventaire et que vous utilisez Microsoft 365 ou Google Workspace depuis plusieurs années, il est probable que vos données sont accessibles à davantage de personnes que vous ne le pensez. Un audit de sécurité ne prend pas longtemps, et les résultats sont souvent surprenants. Contactez-nous pour un premier état des lieux.