Dropbox est-il sûr pour un usage en entreprise ?
L’utilisation de Dropbox est une source d’inquiétude pour de nombreuses entreprises. Mais des fonctionnalités de sécurité ont été récemment intégrées au service. Est-il désormais prêt pour un usage en entreprise ?
Les services de collaboration en mode Cloud sont à la fois une bénédiction et une malédiction pour les entreprises. Dans de nombreux cas, leur utilisation se traduit par des gains de productivité. Mais placer des données d’entreprise entre les mains de tiers ouvre toujours la voie à de possibles fuites de données. De nombreuses organisations s’opposent alors à l’utilisation de services de partage d’informations tels que Dropbox, invoquant le manque de contrôles de sécurité et de gestion des permissions qui permettraient aux administrateurs de garder le contrôle sur les données de l’entreprise. Et c’est face à cette situation, et pour convaincre sur le marché lucratif de l’entreprise, que Dropbox a ajouté progressivement des fonctionnalités de sécurité destinées aux administrateurs IT.
La principale nouveauté, avec “Dropbox for Business”, est que tant un compte personnel qu’un compte professionnel peuvent être utilisés sur un même terminal. D’apparence, tous les dossiers d’un même utilisateur sont rassemblés. Mais ce n’est que pour le confort de l’utilisateur. En réalité, compte privé et compte professionnel sont divisés en deux conteneurs, le second étant sous le contrôle de la DSI de l’utilisateur. Cela permet aux administrateurs de supprimer l’accès à certains fichiers en cas de départ de l’entreprise ou de changement de fonction, par exemple. Le dossier professionnel d’un utilisateur peut en outre être aisément transféré à un autre utilisateur via une fonction de transfert de compte, en cas de remplacement d’un employé, par exemple. Dropbox for Business s’intègre en outre à Active Directory, simplifiant la gestion des utilisateurs. Et la fonction d’effacement à distance protège les données en cas de vol d’un terminal. Elle assure également que des employés ne peuvent plus accéder aux données de l’entreprise après l’avoir quittée.
Mais ce n’est pas tout. Dropbox for Business offre également un nouvel outil permettant d’auditer les opérations de partage de fichiers conduites par les utilisateurs. Cela simplifie le suivi des applications liées au compte utilisateur et celui des autorisations. Les administrateurs peuvent également bloquer le partage de certains fichiers en dehors de certaines équipes, ou encore empêcher les employés d’accéder à leurs fichiers personnels sur leur poste de travail.
Le service de stockage de Dropbox est conforme au framework américano/européen Safe Harbor. Il est en outre certifié SSAE 16/Soc 1, Soc 2, ISAE 3402, et ISO 27001. Outre l’intégration avec Active Directory, il supporte le SSO basé sur SAML.
Les efforts réalisés par Dropbox devraient lui permettre de répondre désormais aux besoins de nombreuses entreprises en matière de protection des données et de conformité réglementaire. Toutefois, comme pour la plupart des services proposés par des tiers, une étude de risque complète devrait être conduite et tous les engagements de niveau de service devraient être examinés avant adoption. Et Dropbox n’est pas seul sur ce marché : il faut aussi compter avec Box, Amazon, et Google. Ce dernier incluant une fonctionnalité de collaboration à distance sécurisée, absente de Dropbox.
L’une des approches raisonnables consiste à organiser des pilotes, pour chacun des services, avec des groupes d’utilisateurs sensibles aux questions de sécurité, afin d’identifier celui qui répond le mieux aux besoins de l’entreprise. Les organisations doivent en outre disposer d’une politique de sécurité qui couvre les données stockées en mode Cloud et clairement communiquer dessus auprès des employés qui utiliseront le service. Et tous les collaborateurs n’en ont pas forcément besoin.
Par Michael Cobb, spécialiste de la sécurité applicative. Adapté de l’anglais par la rédaction.