Dropbox, Skydrive, Google Docs… : à manier avec précaution en entreprise

La sécurité et la confidentialité des données stockées dans le cloud sont loin d’être garanties. Cela n’empêche pas les utilisateurs en entreprise de se servir de ses solutions grand public. Des solutions existent pourtant.

A l’heure où les volumes de données échangés ne cessent de croître de manière exponentielle, un engouement apparaît pour les solutions de stockage dans le cloud au sein des entreprises. Mais les utilisateurs de ces outils ont-ils bien réfléchi aux risques encourus par leurs données ?

Initiative personnelle ou démarche d’entreprise ?

Quand on regarde comment Dropbox, Skydrive ou Google Docs débarquent en entreprise, le scénario est souvent le même. Les utilisateurs ont besoin d’échanger très rapidement des données avec des personnes externes à l’entreprise (voire avec leurs collègues dans certains cas). Mais les fichiers sont trop lourds pour être envoyés par la messagerie, et la DSI (Direction des systèmes d’information) n’a pas de solution simple et déjà en place à proposer pour répondre à leur besoin.

L’utilisateur va donc au plus simple pour avancer dans son travail, quitte à ne pas penser à tous les enjeux cachés derrière la création d’un compte sur ces systèmes. Les avantages offerts par ceux-ci sont certes nombreux : création d’un accès en quelques minutes, volume de stockage important et disponible gratuitement, accessibilité dans le monde entier, etc. Mais les dangers ne doivent pas être négligés.

Comme on peut s’en douter, il s’agit là d’une initiative purement personnelle de la part des salariés. Rares sont les entreprises qui ont une connaissance précise des outils grand public utilisés en interne par leurs collaborateurs pour un usage professionnel. Quelques sociétés ont toutefois franchi le pas et ont pris le temps de qualifier les solutions sur différents aspects (sécurité, confidentialité, coûts, etc.) afin d’en faire les solutions officielles d’échange de fichiers (généralement dans des cas d’échange avec des partenaires externes). Autrement dit, les salariés ont l’autorisation de leur DSI pour s’en servir.

Et la confidentialité des données dans tout ça ?

Avoir une solution pour échanger des fichiers est certes important, mais qu’advient-il de la confidentialité des données, une fois le fichier envoyé sur le cloud ? Ce dernier est, par définition, un endroit qu’on ne maîtrise pas et dont on ne sait pas trop bien non plus où il se situe.

C’est certainement le point le plus important, mais également le plus méconnu : la confidentialité des données n’est pas garantie dans le cloud. Les utilisateurs se disent, généralement à tort, que ces plates-formes sur lesquelles on accède en HTTPS sont sécurisées et qu’aucun problème de confidentialité n’existe puisque les communications sont cryptées. Par méconnaissance, ils pensent que sécurité et confidentialité correspondent à la même chose. Quand on leur demande qui peut accéder aux fichiers déposés sur telle ou telle plate-forme, ils vous répondent généralement que seule la personne à qui ils ont envoyé le lien du fichier peut y accéder.

Et c’est bien là que se situe le fond du problème. Qui dit que le lien, envoyé à une personne de confiance, n’a pas été transféré à d’autres personnes (des collègues de l’interlocuteur) ou intercepté quand il transitait sur Internet ? L’utilisateur se retrouve ensuite avec des dizaines de personnes accédant à un fichier, à l’origine destiné à une unique personne, et dont le contenu (proposition commerciale, contrat, éléments marketing d’une future campagne de communication…) est hautement intéressant pour une personne malintentionnée (concurrence, pirates, terroristes…).

Pourtant, des solutions simples existent, qui limitent les risques même si elles ne garantissent pas une confidentialité absolue. On peut, par exemple, verrouiller le contenu d’un fichier par un mot de passe, ou bien compresser le fichier et mettre un autre mot de passe sur l’archive, lequel sera demandé au moment de la décompression (les mots ne devant pas être envoyés par courriel, bien évidemment).

Utilisateurs et entreprises, responsabilisez-vous !

Les utilisateurs sont généralement mal informés. Ils ne pensent pas à tous les enjeux entrant en ligne de compte quand il s’agit de confidentialité des informations échangées sur Internet. Et ce, bien que des solutions simples et rapides à mettre en œuvre permettent de renforcer un minimum la confidentialité.

Qui plus est, ils utilisent souvent leur compte personnel pour échanger des documents professionnels. Un document hautement confidentiel a alors toutes les chances de se retrouver au milieu des photos de vacances des enfants dont la sécurité et la confidentialité ne sont pas importants. La création d’un nouveau compte ne prend pourtant que cinq minutes.

C’est aussi, et avant tout, aux entreprises de mettre à disposition de leurs salariés tous les outils nécessaires pour répondre à leurs besoins. Mais, comme souvent, cela demande un investissement important pour être fait dans les règles de l’art, et certaines sociétés hésitent, hélas, à investir.

Stéphane Cordonnier

Stéphane Cordonnier