Hantise des DSI et des RSSI, l’utilisation de solutions de partage de fichiers non maîtrisées et donc non sécurisées est dommageable pour l’entreprise. Fuite de fichiers, fichiers vérolés, synchronisation hasardeuse, plateformes de transfert qui se réservent beaucoup trop de droits sur vos documents… les risques sont nombreux.
Les cinq actions décrites ci-dessous sont en apparence anodines. Pourtant, elles peuvent exposer l’entreprise à des risques de cybersécurité majeurs. Entre fuite de données, infections par des malwares et non-conformité aux réglementations, certains comportements doivent être bannis pour garantir l’intégrité et la sécurité des informations échangées. À commencer par l’usage d’outils grand public. La Cnil signale que « sans mesure complémentaire, les canaux de transmission de données grand public (exemples : messagerie électronique, messagerie instantanée, plateforme de dépôt de fichiers) constituent rarement un moyen de communication sûr pour transmettre des données » – personnelles pour ce qui intéresse le régulateur mais toute donnée d’entreprise est à risque.
L’un des premiers scénarios à éviter est l’utilisation d’une messagerie personnelle pour envoyer des fichiers professionnels. Cette pratique, souvent motivée par une volonté d’efficacité, expose l’entreprise à un risque de perte de contrôle sur ses données. Contrairement aux solutions internes sécurisées, les messageries personnelles ne garantissent ni le chiffrement adéquat ni la traçabilité des échanges.
Un fichier envoyé à une adresse erronée ou stocké sur un serveur tiers sans mesures de protection appropriées devient une cible potentielle pour des cybercriminels ou des concurrents indélicats. De plus, en cas de départ du salarié, l’entreprise n’a aucun moyen de récupérer les fichiers stockés sur des comptes personnels.
La situation est identique pour l’envoi de fichiers par messagerie instantanée non sécurisée. Certaines applications grand public, bien qu’extrêmement populaires, ne disposent pas des protocoles de sécurité requis pour garantir la confidentialité des échanges professionnels.
Public/privé, une distinction à faire
Le recours aux services de stockage cloud grand public est un autre piège fréquent. Certes, des plateformes comme Google Drive, Dropbox ou WeTransfer facilitent le partage de fichiers volumineux mais leur utilisation hors du cadre défini par l’entreprise présente des failles. « Ces solutions cloud gratuites sont très faciles d’accès et destinées au grand public. Elles ne conviennent pas à une utilisation professionnelle car elles remettent en cause la sécurité et la confidentialité des fichiers stockés d’une entreprise », explique Netskope.
La configuration des droits d’accès, souvent laissée par défaut, peut exposer des documents sensibles à des tiers non autorisés. En cas de piratage du compte utilisateur, l’intégralité des fichiers stockés peut être compromise. De surcroît, ces services n’offrent pas toujours une visibilité complète sur les actions effectuées, rendant difficile toute enquête en cas de fuite d’informations. De plus, en l’absence de gestion centralisée, ces outils échappent au contrôle des équipes IT, rendant toute supervision impossible.
Un sujet de conformité
L’utilisation de supports de stockage physiques non sécurisés constitue également une pratique à proscrire. Copier des fichiers confidentiels sur une clé USB ou un disque dur externe sans protection adéquate expose les données à un risque de perte ou de vol. Un périphérique oublié dans un lieu public ou subtilisé peut contenir des informations stratégiques qui pourraient tomber entre de mauvaises mains. L’absence de chiffrement accroît encore davantage le danger.
Le transfert de fichiers via des connexions non sécurisées représente également un risque critique. Envoyer des documents depuis un réseau Wi-Fi public, dans un café ou un aéroport par exemple, ouvre une brèche dans la protection des données. Ces réseaux étant souvent mal protégés, un attaquant peut intercepter les fichiers en transit et accéder à des informations confidentielles. L’usage a minima d’un VPN est indispensable pour éviter ce type de menace mais il est souvent négligé par manque de sensibilisation.
Globalement, le non-respect des règles internes en matière de transfert de fichiers peut causer des incidents de sécurité. Dans certaines entreprises, des solutions dédiées existent mais elles sont contournées par des employés qui les jugent trop contraignantes. Le shadow IT fragilise la posture de cybersécurité globale en multipliant les canaux de transfert non maîtrisés. L’absence de formation et de sensibilisation aux bonnes pratiques joue un rôle clé dans ces mauvaises habitudes, rendant indispensable l’accompagnement des salariés vers des solutions conformes et sécurisées.
Scénario 1 : LinkedIn
Jeudi, 13 h 43. De retour d’un rendez-vous prospect, je m’aperçois que je dois impérativement envoyer un contrat signé hier à ma directrice. Et avant 14 heures ! Les transports risquant d’être capricieux, je décide d’improviser. Heureusement, nous sommes en contact sur LinkedIn : il me suffit de lui faire un rapide message privé, d’y joindre le contrat et hop, directement sur son téléphone avant la deadline.
Scénario 2 : e-mail personnel
Lundi, 18 h 31. Ça y est ! J’en ai fini avec la rédaction de cette fiche technique. Je suis dans les temps, quand bien même j’ai dû terminer de chez moi, sur l’ordinateur de la maison. Mince, c’est vrai, je n’ai pas accès au serveur de l’entreprise depuis ce PC… Tant pis, je vais me contenter d’ouvrir ma messagerie personnelle, de faire un e-mail vers mon adresse professionnelle et on verra demain au bureau. Même si le document est confidentiel, c’est juste un e-mail, ça ne risque rien, pas vrai ?
Scénario 3 : Drive
Mardi, 11 h 12. Fin de chantier, je prends de nombreuses photos du site achevé. J’en ai quand même pour 1 gigaoctet d’images en haute résolution, prises depuis mon téléphone personnel. Faut dire aussi qu’il prend de bien meilleures photos que mon portable professionnel. Pour les transférer du téléphone à mon ordinateur, histoire de faire quelques retouches avant envoi au client, j’ai la combine. Je télécharge les photos sur mon Drive personnel, qu’il me suffira d’ouvrir sur le navigateur une fois rentré au bureau. Je n’ai plus qu’à tout télécharger sur mon PC.
Scénario 4 : la clé USB
Vendredi, 9 h 18. Bon, je voulais finir les plans avant d’aller au bureau, c’est raté. J’ai bien commencé mais mon ordinateur portable, bien que fourni par l’entreprise, n’est pas assez puissant pour faire tourner correctement le logiciel de CAO. Ce n’est pas grave, je finirai sur place. Hop, j’attrape la première clé USB qui passe, je copie-colle les plans dessus et direction le bureau. Il me suffira tout simplement d’insérer la clé dans mon poste de travail pour retrouver tous mes documents !
Scénario 5 : la plateforme de transfert en ligne
Mercredi, 16 h 07. Ils sont bien gentils à la R&D d’ajouter moult schémas et images à leurs brevets mais voilà, le fichier fait plus de 25 mégaoctets, impossible de l’envoyer par e-mail. Pas grave, pour l’envoyer au juridique, je vais passer par cette célèbre plateforme en ligne permettant d’envoyer des fichiers volumineux. On rentre son e-mail, celui du destinataire, on upload et le tour est joué. J’ai même un lien pour télécharger le fichier au cas où.
Guillaume Périssat
