Partager des fichiers en toute sécurité dans les PME : sans que tout le monde doive apprendre une nouvelle appli

La plupart des fuites de données dans les PME ne viennent pas de hackers, mais d'un lien partagé par erreur ou d'un compte invité oublié. Voici comment mettre en place un partage de fichiers sécurisé en une après-midi.

Vous l'avez certainement déjà vu : un collègue envoie rapidement un document via WeTransfer, un fournisseur transmet par message un fichier Excel avec des données clients, ou quelqu'un ouvre un dossier partagé « au cas où, pour tout le monde ». Ça fonctionne, et personne ne se plaint. Jusqu'au jour où un fichier atterrit au mauvais endroit.

Partager des fichiers en toute sécurité, ça paraît réservé aux grandes entreprises avec un service informatique. Ce n'est pas le cas. Avec quelques règles simples, vous pouvez mettre ça en place en une après-midi, sans acheter de nouveau logiciel. Voici une approche concrète.

Pourquoi c'est important (même si vous êtes une petite structure)

La plupart des fuites de données dans les PME ne sont pas causées par des hackers, mais par un lien envoyé au mauvais destinataire ou une pièce jointe laissée accessible trop longtemps. Pensez à :

• Un devis contenant des données clients accessible via un lien public pendant des mois.
• Un dossier partagé auquel le stagiaire de l'année dernière a toujours accès.
• Un fichier ZIP avec des fiches de paie envoyé par e-mail classique, sans mot de passe.

Le GDPR vous impose de prendre des « mesures appropriées ». Pour une PME, cela revient à : s'assurer que seules les bonnes personnes ont accès, et seulement le temps nécessaire.

Trois types de fichiers, trois approches

Avant de choisir un outil, commencez par classer ce que vous partagez. Tout ne nécessite pas le même traitement.

1. Fichiers ponctuels vers l'extérieur

Un devis envoyé à un prospect, une facture pour le comptable, un projet de contrat pour un client. Un envoi unique, avec un destinataire précis.

Ce qui fonctionne : le lien de partage depuis OneDrive, SharePoint ou Google Drive, configuré sur « personnes spécifiques » ou « toute personne avec le lien et un mot de passe ». Définissez une date d'expiration (par exemple 14 jours). Pour les documents vraiment sensibles : passez le fichier en lecture seule et désactivez le téléchargement.

2. Collaboration continue

Un dossier de projet avec un designer externe, un planning partagé avec votre expert-comptable, ou un dossier client sur lequel deux équipes travaillent.

Ce qui fonctionne : invitez les personnes externes en tant qu'invités dans votre environnement Microsoft 365 ou Google Workspace et accordez l'accès par dossier. Pas fichier par fichier (cela devient ingérable) et pas au niveau du dossier racine (ils verraient plus que nécessaire). Bloquez quinze minutes dans votre agenda tous les trois mois pour passer en revue la liste des invités.

3. Fichiers volumineux ou confidentiels

Fichiers vidéo, export de base de données, dossier plein de scans contenant des données personnelles. Trop lourd pour la messagerie, trop sensible pour un lien public.

Ce qui fonctionne : un dossier partagé temporaire avec mot de passe et date d'expiration, ou un fichier ZIP chiffré dont vous communiquez le mot de passe via un autre canal (téléphone, SMS). Pas le même canal que celui où se trouve le fichier — sinon le mot de passe ne sert à rien.

Quatre règles pratiques qui font la différence

1. L'e-mail est réservé aux fichiers sans contenu sensible. Une brochure générale peut partir en pièce jointe. Une liste clients, une fiche de paie ou une copie de pièce d'identité, non. Dans ces cas, envoyez un lien avec contrôle d'accès.
2. Ne partagez jamais « toute personne avec le lien » sans date d'expiration. Ce lien reste actif indéfiniment, même s'il est transmis à d'autres. Configurez par défaut 7 ou 14 jours.
3. Travaillez avec des dossiers, pas avec des fichiers isolés. Gérer les droits fichier par fichier devient vite ingérable. Construisez une arborescence logique : un dossier clients, un dossier fournisseurs, un dossier interne.
4. Faites le ménage une fois terminé. Projet bouclé ? Relation externe terminée ? Supprimez l'accès dans la semaine. Pas « plus tard ». Plus tard n'arrive jamais.

Ce qu'il vaut mieux éviter

• Partager des fichiers professionnels via WhatsApp. Vous n'avez aucune visibilité sur qui possède quoi, et les fichiers restent stockés sur des téléphones personnels.
• Les allers-retours par clé USB. Nous en avons déjà parlé : cette clé USB récupérée sur un salon est un risque en soi.
• Utiliser des comptes Dropbox ou Google Drive personnels pour des documents professionnels. Si ce collaborateur part, les fichiers partent avec lui.
• Envoyer le mot de passe dans le même e-mail que le fichier. Ça paraît évident, et pourtant ça arrive tous les jours.

Un mini-contrôle pour la semaine prochaine

Pas besoin d'un grand déploiement. Bloquez une demi-heure et faites ces quatre choses :

1. Ouvrez votre SharePoint, OneDrive ou Google Drive et vérifiez quels liens de partage sont actifs. La plupart des portails d'administration affichent cela sous « Partagé » ou « Accès externe ».
2. Supprimez ou limitez tout ce qui date de plus de trois mois et qui n'est plus nécessaire.
3. Configurez par défaut l'expiration des nouveaux liens de partage après 14 jours.
4. Créez un espace de référence unique (une note interne ou une courte page) indiquant : voici comment nous partageons les fichiers. Deux pages suffisent.

Cela peut sembler anodin, mais vous éviterez ainsi 80 % des fuites habituelles. Le reste est une question de bonnes pratiques — pas de logiciels plus coûteux.

Envie d'un regard extérieur ?

Vous souhaitez savoir qui a actuellement accès à vos dossiers, boîtes mail et systèmes partagés ? C'est exactement l'objet de notre audit d'accès : un examen structuré dont vous pouvez vous servir en autonomie. Et si vous souhaitez avant tout sécuriser vos e-mails lors de ces échanges, jetez un œil à la sécurisation des e-mails avec SPF, DKIM et DMARC.