Je suis tombé sur un article très intéressant de Marc D Anderson, j’y ai appris pas mal de choses que j’ai pu mettre en pratique et je pense que ça vaut la peine de vous partager tout ça.
Lorsque vous partagez un fichier, par défaut le partage est défini sur « Personnes de votre choix ».
C’est un problème pour plusieurs raisons. Souvent les utilisateurs cherchent simplement à partager un fichier, mais dans le sens « partager le chemin d’accès d’un fichier ». Il s’agit d’une nuance importante qu’ils ne connaissant pas toujours. Ils utilisent alors la fonction de partage plutôt que la fonction « Copier le lien », ça porte d’autant plus à confusion qu’on peut générer un partage en copiant le lien de ce partage ! Pas évident à comprendre.
La fonction de partage étant plus simple d’accès et plus parlante pour un utilisateur que « Copier le lien », du surpartage est souvent effectué, par exemple en repartageant un fichier d’une équipe Teams à une personne déjà membre de cette équipe. La personne avait déjà des droits d’accès via le groupe Membre de l’équipe, elle se retrouve donc avec un droit d’accès supplémentaire via un lien de partage ou un accès direct.
Théoriquement et comme bonnes pratiques les propriétaires d’équipes devraient être responsables des partages. Ils devraient régulièrement exécuter des rapports de partage et vérifier que les accès sont encore pertinents. Les utilisateurs ont même la possibilité de définir des dates d’expiration pour les aider dans la gestion des partages. Dans les faits ce n’est rarement voire jamais effectué. Bien entendu ça dépend grandement de la maturité informatique des utilisateurs, mais je ne pense pas me tromper en disant que la majorité des organisations ne sont pas suffisamment au niveau là-dessus.
Le risque du surpartage, et du non-ménage derrière, peut se transformer en risque de bris de confidentialité. Si la personne cible du surpartage quitte l’équipe, elle aura toujours accès au fichier partagé.
On a vu que l’utilisateur pouvait agir en étant responsable, mais pour être responsable il faut disposer des connaissances nécessaires et ce n’est pas forcément donné.
Reste l’administrateur qui peut agir, mais à quel niveau ? En se rendant dans le centre d’administration SharePoint on peut mitiger un peu le risque en modifiant l’autorisation sélectionnée par défaut, de Modifier à Consultation. Ça ne change rien au bris de confidentialité mais ça permet au moins de garantir une certaine intégrité. On peut aussi changer le type de lien sélectionné par défaut mais les choix proposés ne nous permettent pas d’enlever le risque.
C’est là où ça devient intéressant : il existe la possibilité de mettre par défaut le partage comme « Seules les personnes disposant d’un accès existant » ! Ça permet de ne pas casser la logique d’autorisations par héritage et de ne pas se retrouver avec une jungle de partages. En faisant ainsi les utilisateurs ne pourraient plus surpartager, enfin, si, mais plus par erreur. Enfin, si, mais beaucoup moins. Bref, vous m’avez compris, le risque est drastiquement réduit.
On ne peut pas faire ça à partir du centre d’administration SharePoint (apparemment c’est une demande des MVPs depuis de nombreuses années mais Microsoft n’y a jamais répondu favorablement, je serais curieux de savoir pourquoi) mais à partir d’un module PowerShell.
On peut le faire avec le module PnP et la cmdlet :
Set-PnPTenant -CoreDefaultLinkToExistingAccess $true
Mais on peut aussi le faire avec le module SPO PowerShell avec la cmdlet (voir la documentation officielle Microsoft) :
Set-SPOTenant -CoreDefaultLinkToExistingAccess $true
Le changement est instantané, c’est en tout cas ce que j’ai constaté dans mon locataire ne contenant que quelques sites et quelques documents.
Je vois un premier problème assez évident à ça : le paramètre dans le centre d’administration SharePoint reste affiché à « Personnes spécifiques », ce qui est faux et peut porter à confusion. Il est donc important de bien aviser tous les administrateurs de cette mesure.
Il faudra bien évidemment une communication pour sensibiliser les utilisateurs à ce changement car le problème inverse risque de se présenter : les utilisateurs ne sauront plus comment partager des documents. Mais je préfère personnellement me retrouver avec des problèmes de sous-partages plutôt qu’avec des problèmes de surpartages.
