Permissions SharePoint : pourquoi elles dérapent et comment les maîtriser

SharePoint est l'endroit où les PME subissent le plus de fuites de données involontaires : des dossiers visibles par « tout le monde dans l'entreprise » alors qu'on les croyait strictement internes. Voici les modèles mentaux à adopter.

Les permissions SharePoint sont organisées en couches — ce qui s'applique au niveau du site diffère de ce qui vaut pour une bibliothèque, un dossier ou un fichier individuel. C'est à la fois sa force et la source de tous les problèmes.

Les 3 couches

1. Niveau site : qui a accès au site tout simplement. Trois rôles : Owner, Member, Visitor.
2. Niveau bibliothèque/liste : permissions spécifiques par bibliothèque de documents.
3. Niveau élément : fichiers ou dossiers individuels avec des permissions dérogatoires.

Pourquoi ça dérape

• Les utilisateurs cliquent sur « Anyone with the link » dans la boîte de partage. Cela crée un lien anonyme.
• « Everyone in your organization » semble interne — mais inclut les invités dans certaines configurations.
• Permissions héritées : des exceptions au niveau des éléments que personne ne surveille.
• Permissions orphelines : un collaborateur est parti, mais ses permissions sont toujours actives.

Hygiène des permissions

• Définissez « only people you specify » comme option de partage par défaut. « Anyone with link » uniquement sur demande explicite.
• Revue trimestrielle : les sites avec > 50 membres. Sont-ils toujours à jour ?
• Recherchez les exceptions de permissions héritées : « View permissions » → « Advanced ».
• Envisagez des politiques DLP pour les types de fichiers sensibles (fiches de paie, contrats).

Rétention + permissions

Les politiques de rétention définissent combien de temps un document est conservé. Les permissions définissent qui peut le consulter. Les deux sont indépendants — un document à conserver selon la politique de rétention mais visible par tous reste une fuite. Voir politiques de rétention.

Voir aussi : politique de partage OneDrive, pilier M365.