Partage public de fichiers
Partage d'un fichier ou d'un dossier SaaS via une option « toute personne disposant du lien » qui contourne l'authentification — la fuite silencieuse la plus fréquente dans Drive, SharePoint, Dropbox, Notion.
Le partage public de fichiers désigne le fait de rendre un fichier ou un dossier hébergé dans un SaaS accessible à quiconque possède le lien, en contournant l’authentification et le contrôle d’accès de la plateforme. Dans Google Drive c’est l’option « Toute personne disposant du lien » ; dans SharePoint « Toute personne disposant du lien peut afficher » ; dans Dropbox un lien public ; dans Notion « Partager sur le web ». Le réglage est à un clic de « restreint » et reste souvent le mode par défaut d’une collaboration interne que l’utilisateur ne reverrouille jamais.
Les liens publics résolvent une vraie friction — partager avec des relecteurs, fournisseurs ou candidats sans poste dans l’espace de travail — mais ils transforment le fichier en infrastructure publique, parfois indexée par les moteurs et transférable indéfiniment. Propriétés essentielles :
- Aucune authentification, aucune piste d’audit par lecteur. On sait seulement que le lien a été suivi quelque part ; pas par qui.
- Indexable. Les liens publics collés dans des tickets, forums ou DM LinkedIn finissent par être crawlés. Des recensements de Google Docs publics ont trouvé des millions de fichiers indexés contenant des données personnelles.
- Survit aux départs. Un lien public créé par un collaborateur parti depuis longtemps continue à servir le fichier tant qu’on ne le retire pas explicitement.
- Les défauts varient selon le tenant. Les admins peuvent désactiver le partage public globalement ; beaucoup ne le font pas, car cela casse des workflows légitimes.
- Premier motif d’incidents DLP et d’audit. « On pensait que c’était interne » revient comme cause racine récurrente.
La plupart des entreprises ont déjà une politique DLP ou CASB qui pourrait bloquer les partages publics — et beaucoup ne l’activent pas, parce que le blocage global casse trop de flux légitimes. L’alternative comportementale consiste à laisser l’action se faire, la voir dans le journal d’audit en quelques secondes, et envoyer un nudge à l’utilisateur — c’est précisément ce que fait la surveillance comportementale SaaS.
Termes liés
- Octroi OAuthJeton d'accès qu'un utilisateur délivre à une application tierce via OAuth, donnant à cette application un droit permanent de lire ou écrire dans un SaaS — souvent au-delà du MFA, souvent à vie.
- Shadow ITLogiciels, SaaS ou services cloud utilisés dans l'organisation sans approbation IT ou sécurité — invisibles à l'inventaire, non gouvernés, rarement désactivés à la sortie.
- DLP (Data Loss Prevention)Ensemble de technologies qui inspectent les données au repos, en transit ou en usage pour empêcher l'exfiltration d'informations sensibles hors des frontières autorisées.
- CASB (Cloud Access Security Broker)Couche d'application des politiques entre les utilisateurs et les SaaS, qui inspecte le trafic et bloque les actions interdites — le modèle « gardien » de la sécurité SaaS.