Envoyer un fichier en ligne sans compromettre sa sécurité
Chaque jour, des millions de fichiers sont partagés via des liens cloud envoyés par email. Et chaque jour, une portion non négligeable de ces liens finit dans les mains de personnes qui n’étaient pas censées y avoir accès — un email transféré à un collègue, un lien copié dans un chat d’équipe, un historique de navigateur sur un poste partagé. Si vous avez parcouru le guide sur la collaboration cloud en équipe, vous savez que le partage de fichiers est le pilier le plus utilisé et le plus vulnérable. La question n’est pas de savoir si un lien sera un jour transmis au-delà de son destinataire prévu — c’est une certitude statistique. La question, c’est comment limiter les dégâts quand ça arrive, et l’ANSSI le rappelle régulièrement dans ses recommandations.
Le partage sécurisé repose sur trois mécanismes qui fonctionnent ensemble : l’authentification (prouver qui accède au fichier), l’autorisation (définir ce qu’il peut en faire) et la traçabilité (savoir qui a fait quoi et quand). Un lien cloud sans aucun de ces trois mécanismes est fonctionnellement identique à poser le fichier sur un trottoir avec une pancarte “servez-vous” — la seule protection étant que le trottoir est une URL aléatoire de 32 caractères, et que personne ne la trouvera “par hasard”. Ce qui est vrai, jusqu’au jour où ce n’est plus vrai.
La hiérarchie des niveaux de partage (du pire au meilleur)
Du point de vue de la sécurité, tous les partages ne se valent pas. Au bas de l’échelle : le lien public sans restriction, accessible à quiconque possède l’URL, sans expiration, sans mot de passe, sans journal d’accès. C’est le mode par défaut de beaucoup de clouds — parce que c’est le plus simple et que la friction tue l’adoption. Au sommet : le partage nominatif, qui exige que le destinataire se connecte avec un compte vérifié, avec des droits limités (lecture seule, pas de téléchargement), une expiration automatique, et un log de chaque accès.
kDrive propose quatre niveaux intermédiaires entre ces deux extrêmes. Le lien public simple, le lien avec mot de passe, le lien avec expiration (ou les deux), et l’invitation directe par email qui lie l’accès à un compte Infomaniak. La combinaison optimale dépend du contexte : un document interne qu’on partage avec un prestataire pour validation rapide ne nécessite pas le même niveau de protection qu’un contrat signé envoyé à un client.
Protéger le lien lui-même avec une date de péremption
Un lien de partage sans date d’expiration est un lien éternel. Il continuera à fonctionner des mois après que le contexte qui l’a créé a disparu — le projet est terminé, le prestataire a changé, le document a été mis à jour cinq fois. C’est tout l’intérêt de configurer une expiration automatique et un mot de passe sur chaque lien : transformer un accès permanent en accès temporaire, par défaut.
Configurer les droits avant d’envoyer le lien
Le réflexe classique : créer un lien, l’envoyer, passer à autre chose. Le bon réflexe : créer un lien, vérifier les droits associés (lecture seule ? téléchargement autorisé ? repartage possible ?), puis l’envoyer. La différence entre les deux, c’est cinq secondes de réflexion qui évitent des semaines de regrets. Ajuster finement les permissions avant chaque partage est le mécanisme qui empêche un destinataire bien intentionné de faire quelque chose que vous n’aviez pas prévu — comme télécharger le fichier, le modifier localement, et renvoyer “sa version” par email, créant un fork que personne ne maîtrise.
Le cas particulier des fichiers sensibles
Certains fichiers ne devraient jamais être partagés via un lien, même protégé par mot de passe. Les données personnelles au sens du RGPD, les documents financiers non publiés, les contrats en cours de négociation — pour ces fichiers, l’invitation directe avec accès nominatif (et éventuellement sans droit de téléchargement) est le minimum. kDrive permet de configurer un dossier comme “accès invité uniquement”, ce qui désactive la possibilité de créer des liens publics pour tout son contenu. C’est une contrainte, oui. Mais c’est le genre de contrainte qu’on remercie quand un audit RGPD pointe du doigt les fichiers partagés sans contrôle d’accès.
Le partage de fichiers en ligne est un acte banal qui devrait être traité comme un acte réfléchi. La sécurité n’est pas dans l’outil — kDrive, Google Drive, Dropbox proposent tous des mécanismes de protection. La sécurité est dans l’habitude de les activer systématiquement, même quand on est pressé, même quand “c’est juste un PDF”, même quand le destinataire est “de confiance”. Parce que la confiance n’a rien à voir avec la sécurité des données — ce sont deux conversations différentes.