Comment partager vos fichiers en toute sécurité?
Tout a commencé un jour d’été en 2012, lorsque Bluetouff, au détour de ses recherches sur le régime syrien, tombe par hasard sur le serveur extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses), utilisé par les chercheurs pour stocker et échanger leurs documents de travail. Au lieu d’être protégées par un identifiant et un mot de passe, comme elles auraient dû l’être, ces données, indexées sur Google, étaient accessibles sans le moindre piratage. Sans avoir besoin « d’aucune autre connaissance technique que celles de savoir se servir d’un moteur de recherche, d’un navigateur et d’une souris », note Numerama.
Un blogueur condamné pour avoir trouvé des documents via Google, BigBrowser, 6 février 2014Si les médias se sont surtout attardés sur l’aspect juridique de cette affaire, chez GrizzlyDev, c’est sur les questions techniques que nous voulons attirer votre attention.
Il ne s’agit, ni plus ni moins, que de la question centrale de la diffusion de documents de travail partagés au sein d’une institution aussi importante que peut l’être l’ANSES. Nous concevons tous que des scientifiques et ingénieurs rattachés à cette organisation puissent avoir besoin d’échanger des informations ainsi que des données, comme c’est également le cas dans la plupart des entreprises contemporaines. Si les boites mail suffisent pour de petits documents de formats bureautiques, un travail d’équipe suppose souvent l’échange de fichiers suffisamment volumineux pour que l’envoi en fichier-joint de courriel ne soit plus envisageable.
Les entreprises doivent gérer une certaine quantité d’informations qui n’ont pas vocation à être rendues publiques sur Internet, mais qu’elles souhaitent rendre accessibles à des personnes ou des groupes de personnes bien définis afin de faciliter le travail collaboratif.
Il est toujours possible de recourir à des services spécialisés d’échange de fichiers en ligne, comme Dropbox, l’un des plus connus après du grand public. Cela dit, est-ce que vous pouvez confier toutes les données de votre entreprise à des services externes ? Quel contrôle avez-vous sur la possible divulgation de vos données ?Sécurité publique. Nous pouvons divulguer vos informations à des tiers si nous estimons que cela est raisonnablement nécessaire afin de (a) respecter la loi ; (b) protéger toute personne contre des dommages corporels graves, voire la mort ; (c) lutter contre la fraude ou les atteintes portées à Dropbox ou à nos utilisateurs ; ou (d) protéger les droits de propriété de Dropbox.
Règles de confidentialité de Dropbox du 20 février 2014Certaines organisations choisissent de monter un extranet sur l’un de leurs hébergements Internet. C’est la solution qui a été retenue par l’ANSES. Malheureusement, il manquait un système performant de contrôle des accès, puisque les données ont été référencées et accessibles depuis Google.
Un simple système d’alerte sur les logs des dossiers concernés aurait pu rapidement informer les services informatiques de l’ANSES d’une faille de sécurité.Il est difficile d’imaginer pire scénario pour la direction des services informatiques (DSI) d’une entreprise que la dissémination de données internes, voire confidentielles, sur les réseaux publics. Il n’est pas possible, non plus, d’envisager des mesures de formation suffisantes des utilisateurs quant aux bonnes pratiques à respecter dans la diffusion et le partage de dossiers de travail avec d’autres interlocuteurs.
La meilleure alternative possible pour verrouiller efficacement le partage de données dans l’entreprise est toujours de développer l’outil informatique le mieux adapté aux pratiques internes.C’est pour répondre à ce besoin fondamental des entreprises modernes que GrizzlyDev vous aide à auditer les solutions déjà existantes dans votre structure afin de déterminer si les usages sont bien adaptés aux objectifs assignés à votre Système d’Informations (SI).
Notre longue expérience des problématiques de sécurité dans un monde à la fois concurrentiel et collaboratif nous a conduits à développer une expertise forte dans la création et la gestion d’espaces collaboratifs sécurisés d’échange de fichiers, gérés de manière simple et efficace. C’est dans cette optique que GrizzlyDev a créé PartagerFichier qui répond très bien, par exemple, à la contrainte de circulation de fichiers PDF trop volumineux pour les boites de courriel.PartagerFichier.fr se présente comme une solution sur mesure, directement implémentée dans votre système d’information. Notre cahier des charges prend en compte l’ensemble de vos contraintes en terme de niveau d’accessibilité de l’information, de traçabilité des partages (partage : qui, quoi, quand ; consultation : qui, quoi, quand ; ce qui était en ligne : quoi, quand), d’historisation des usages…
Des dimensions essentielles oubliées dans le système d’information de L’ANSES.
