Bonnes pratiques sur les partages externes Microsoft 365

Le partage externe dans Microsoft 365 permet aux utilisateurs de collaborer avec des partenaires, des clients. Les utilisateurs peuvent appliquer différents types de liens de partages en fonction de leurs besoins.

Pour autant, les différents paramètres proposés par OneDrive ou SharePoint ne sont pas toujours maîtrisés par les utilisateurs et certains de nos clients ont pu constater une forte augmentation du nombre de liens anonymes.
Pour donner un exemple d’un de nos clients d'environ 3 000 utilisateurs : 35 330 liens anonymes ont été créés uniquement sur les services OneDrive for Business.

Ce type de partages représente un risque de fuite de données, nous vous proposons ici quelques bonnes pratiques pour accompagner l’utilisateur dans la maîtrise de ses partages externes.

• Qu’est-ce qu’un partage externe dans Microsoft 365 ?
• Quelles sont les bonnes pratiques sur les partages externes à partager avec vos utilisateurs ?

Qu’est-ce qu’un partage externe dans Microsoft 365 ?

Un utilisateur externe ou invité, est une personne en dehors du tenant, autorisée à participer à une conversation Teams, à accéder à des fichiers partagés et collaborer sur des projets.
Aujourd’hui la gestion des partages se fait par des liens de partages et il en existe plusieurs : Anonyme, Toute entreprise, Utilisateur Spécifique.

1. Partages externes vs liens de partages anonymes

Le partage externe sous-entend que l’utilisateur a souhaité partager un document avec un utilisateur spécifique, externe à l’organisation via une équipe Teams, un site SharePoint ou encore son espace OneDrive.

Le partage anonyme, connu sous l’option « Toute personne ayant un lien » de l’interface Microsoft, autorise quant à lui n’importe qui à pouvoir accéder au document grâce au lien généré, y compris des utilisateurs externes. Il peut y avoir des effets d’escalade de droits non souhaités, puisque différentes personnes peuvent se transmettre le lien, repartager et accéder au document.
Les liens de partages anonymes sont donc particulièrement sensibles et redoutés par l’IT puisque qu'ils complique le contrôle sur les accès.

Note : Il existe également les liens de partages ouverts à toute l’entreprise (Personnes au sein de l’entreprise ou « Company link »). Comme dans le cas des partages anonymes, ils peuvent comporter des risques d’accès non souhaités ou des risques pour la conformité réglementaire, même s’ils sont internes à l’entreprise et ne concernent pas les externes.

2. Partages externes Outlook

Un partage externe peut s’exécuter depuis la messagerie Outlook. Il est possible d’envoyer un document « classique » en pièce jointe sans lien de partage ou avec la possibilité de collaboration.

Cette deuxième option implique qu’à partir d’un email, un utilisateur peut envoyer un lien de partage avec un externe. Il pourra alors partager un document stocké sur son espace OneDrive ou dans un site SharePoint (ou Microsoft Teams).

La complexité des partages externes dans Outlook réside dans le paramétrage des permissions. Par défaut, Outlook applique un lien anonyme.

La gestion du lien et des autorisations est possible en sélectionnant l’option « Modifier les autorisations ». Cette option n’est cependant pas mise en évidence et l’utilisateur peut passer à côté de l’information.

3. Partages externes OneDrive

Le partage avec des externes est possible depuis l’espace OneDrive. Les utilisateurs retrouvent les mêmes options de partage : anonyme, toute entreprise, personne spécifique avec des options supplémentaires comme l’autorisation de modification, bloquer le téléchargement ou la date d’expiration.

L’utilisateur a alors la possibilité de partager un fichier ou même un dossier avec un utilisateur externe à son organisation.
L’interface de partages OneDrive est ergonomique et simple d’utilisation pour les collaborateurs. D’ailleurs Microsoft a récemment simplifié le paramétrage des permissions accordées, avec des modifications accessibles directement sur la première interface de partage.

➡️   Une question ?  

4. Partages externes SharePoint

Il existe plusieurs manières de collaborer avec des utilisateurs externes au sein de SharePoint.

• Inviter un externe dans un site SharePoint

Dans cette configuration, l’utilisateur externe aura accès à l’ensemble du site SharePoint.

Par défaut, SharePoint crée un groupe nommé « Visiteurs » qui comprend les invités externes. Les administrateurs du site peuvent alors inviter des partenaires externes à consulter le site SharePoint et les différents documents stockés. Il est possible de paramétrer les droits accordés à ce groupe d’utilisateurs externes : lecture, collaboration, modification et conception.

• Partager des fichiers et des dossiers avec un externe

Cette option peut se révéler utile si le propriétaire du site SharePoint souhaite partager un contenu spécifique et non l’ensemble du site et des ressources.
Le partage ici se fera au niveau du dossier ou du document, et proposera le même paramétrage qu’un partage OneDrive.

Par contre, les utilisateurs ne disposeront pas d’une vision consolidée des partages réalisés à travers leurs sites SharePoint ce qui peut compliquer la gestion des partages dans le temps.

5. Partages externes Microsoft Teams

Microsoft Teams permet aux utilisateurs de collaborer facilement avec des utilisateurs internes ou externes.

• Collaborer avec un externe dans une équipe Teams

Dans le cadre d’un projet ou d’une collaboration, un utilisateur peut créer une équipe Teams et y inclure des prestataires externes. Ils auront les mêmes permissions de collaboration qu’un utilisateur interne, les restrictions seront seulement au niveau de la gestion d’une équipe (ajout de membres, suppression de membres).

Nouveauté : possible d’ajouter des externes seulement dans un canal grâce à Teams Connect.

• Partager des fichiers dans les conversations chat

Lorsqu’une personne partage un document dans une conversation privée Microsoft Teams, les documents sont automatiquement stockés dans une bibliothèque de documents de son espace OneDrive.
Les droits et permissions sont également automatiquement accordés à tous les participants de la conversation selon les règles de configuration de l’organisation. La revue des accès et des droits doit être initiée par le propriétaire à partir de son OneDrive.

Quelles sont les bonnes pratiques sur les partages externes à partager avec vos utilisateurs ?

Une mauvaise compréhension ou utilisation des options de partages notamment avec les utilisateurs externes dans les outils collaboratifs peut compromettre la sécurité des données.
C’est pourquoi, aujourd’hui, la sensibilisation des collaborateurs aux enjeux de sécurité devient indispensable pour prévenir les risques de fuite de données.
Voici quelques bonnes pratiques à partager avec vos utilisateurs :

Les bonnes pratiques d’utilisation d’un partage anonyme

• Communiquer sur les risques d’un partage anonyme

Il est important de sensibiliser sur les risques d’un partage ouvert à tous. Les partages Anonymes peuvent entraîner des accès et des modifications non souhaités. En effet, lors de ces partages, les personnes sont libres de transmettre le lien à d’autres personnes.

• Rappeler les cas d’usage pour un partage anonyme

Les utilisateurs ont besoin d’être guidés. Pour cela, les équipes IT peuvent transmettre des exemples de cas d’usage adaptés à l’utilisation des partages anonymes.

Par exemple, le partage anonyme peut être utilisé pour partager un document à un nombre important de personnes comprenant des externes et éviter de rentrer manuellement la liste des personnes autorisées. Cela peut être le cas pour le partage d’un communiqué ou le partage d’un évènement.
Il est important de rappeler qu’un document confidentiel ne doit jamais être partagé en anonyme.

• Paramétrer le lien de partage anonyme

Si le partage anonyme est choisi, il est important de communiquer aux utilisateurs les options qui s’offrent à eux pour sécuriser le partage : définir une date d’expiration, modifier les permissions (document uniquement en lecture).

Les bonnes pratiques d’utilisation d’un partage externe

Dans tous les cas, il est préférable d’utiliser le partage ‘Personne spécifique’ pour une collaboration avec des externes.

• Paramétrer le lien de partage externe

Il est important de toujours vérifier les paramètres de partage et donner les bonnes autorisations aux bonnes personnes.

Une communication aux utilisateurs peut être transmise pour rappeler les options de paramétrage : désactiver la modification, bloquer le téléchargement.

• Faire une revue des droits et des accès par trimestre

Une autre bonne pratique sécurité consiste à mettre en place une gestion des partages dans le temps. Dans le cadre du cycle de vie de la donnée, un document peut évoluer et le partage peut ne plus être légitime.

Sur certains outils Microsoft, des astuces peuvent être partagées pour aider les utilisateurs à revoir la validité des partages en cours.

Bon à savoir une icône est directement visible depuis les équipes Teams pour savoir si l’équipe intègre des utilisateurs externes. Le propriétaire peut alors revoir les membres de cette équipe et supprimer les externes non nécessaires.

OneDrive propose également une rubrique ‘Partagés’ qui permet d’avoir une liste des documents partagés afin de repérer les partages obsolètes.

Les équipes sécurité ou Workplace peuvent décider d’envoyer des campagnes d’emailing pour pousser les utilisateurs à cette revue périodique.

Améliorer la visibilité pour maitriser les risques sur la sécurité des données

Les collaborateurs créent énormément de partages et les applications Microsoft ne sont pas vraiment adaptées pour des opérations de revue de droits et des partages par l'utilisateur. D'ailleurs Microsoft ne propose pas de vision consolidée des partages en cours.

Pourtant la revue de droits est importante pour s’assurer que les droits et les accès sont conformes à la politique de sécurité, à l’usage des collaborateurs et les corriger dans le cas échéant.

Pour faciliter la revue des partages externes, les équipes doivent fournir une interface user friendly aux utilisateurs avec :

• Une vue unique sur l’ensemble des accès, des permissions et configurations donnés à travers les différents outils collaboratifs
• Une mise en avant des partages à risque : anonymes, données sensibles
• Une correction du partage en quelques clics

Découvrir le tableau de bord de sécurité personnel, MyDataSecurity.