Panorama des solutions du marché de partage de fichiers sécurisés

Quels sont les principaux acteurs du marché de partage de fichiers sécurisés ?

Il y a tout d’abord les leaders qui ont acquis une certaine notoriété au fil des années et qui disposent d’une image de précurseur sur le marché. C’est notamment le cas pour le leader français Oodrive et son offre « PostFiles » ou la solution américaine Box. On peut également ajouter les solutions proposées respectivement par les français Thalès/Ercom et PrimX , « Cryptobox » et « ZoneCentral », qui se différencient de leurs concurrents en proposant une solution agréée « Diffusion Restreinte » par l’ANSSI.

Il y a ensuite les challengers dans laquelle nous retrouvons cinq français : NetExplorer, BlueFiles, ShadLine, LockTransfer et TransfertPro. Leurs offres sont plus ou moins évolutives en fonction des besoins fonctionnels et en matière de sécurité de la donnée.

La solution NextCloud a la singularité de proposer une plateforme sous licence libre. Il sera donc à la charge de l’entreprise d’assurer l’hébergement de la solution et des données.

Il existe d’autres solutions qui proposent une approche différente, en renforçant la sécurité sur le document plutôt que sur l’espace de stockage. C’est le cas par exemple du moteur de chiffrement Seald.

Qu’est-ce qui différencie toutes ces solutions de partage de fichiers ? Ont-elles la même plus-value pour une entreprise ?

Tout dépend de l’entreprise et de ses besoins. Veut-elle faciliter et sécuriser les échanges en interne ou avec ses partenaires et clients ? Quelles sont ses exigences en matière de  localisation de ses données ? Quelle est la typologie de fichier à communiquer (documents de travail simple, archives, machines virtuelles, …) ? Quelle volumétrie représente les fichiers à transférer ? Quel type d’intégration est souhaité : on-premise, SaaS ou hébergement cloud ?

Toutes ces questions doivent être posées en amont afin de cibler au mieux les besoins réels. Chaque solution peut se différencier sur un détail qui pourra faire basculer le choix des décideurs.

Des solutions comme CryptoBox (Thalès/Ercom) et NextCloud ne proposent pas d’offre en SaaS, ce qui induit un effort de déploiement de la solution mais aussi de maintien en condition opérationnel de la plateforme sur le long terme. Bien sûr, cette partie peut être sous-traitée mais engendrera des coûts supplémentaires qu’il faudra prendre en compte.

Autre exemple avec BlueFiles et ShadLine qui n’ont pas pour vocation à permettre l’envoi de fichier volumineux de plusieurs Go. BlueFiles est limité à l’envoi de fichier de 2 Go au maximum. Quant à ShadLine, la solution ne permet pas l’envoi de fichier de plus de 500 Mo. Ces restrictions n’existent pas pour NetExplorer, TransfertPro ou PostFiles (Oodrive) qui s’affranchissent de ces limites de taille.

La localisation des données est également un point primordial. Avoir la certitude d’avoir une vraie souveraineté sur ses données n’est pas à prendre à la légère et éviter de s’encombrer avec le Cloud Act (1) et le Patriot Act (2) n’est pas un luxe si l’on ne souhaite pas que nos données soient exposées à son insu.

Au-delà de la localisation des données, c’est surtout la nationalité de l’éditeur qui est importante. Une entreprise américaine disposant de serveurs en France sera malgré tout soumise au Cloud Act.

Mais si une entreprise décide de choisir une solution américaine pour diverses raisons, elle devra alors réfléchir aux mécanismes de chiffrement proposés par l’éditeur de la solution et de leur mise en œuvre. Idéalement, il pourrait même être intéressant d’utiliser un service complémentaire pour chiffrer les données qu’elle stockerait sur le cloud du prestataire, comme Seald.

D’un point de vue pratique, il est à noter que les solutions proposant du « accountless » est un réel atout. En effet, partager des documents avec des membres extérieurs à la société peut s’avérer fastidieux si un compte doit être systématiquement créé à son interlocuteur. Or, générer un lien de partage aléatoire accessible par le biais d’un mot de passe semble être la meilleure alternative : souple, rapide et efficace. Cela a d’ailleurs un autre avantage de poids sur lequel nous reviendrons plus tard : le licensing.

Il ne faut pas omettre également l’expérience utilisateur. Pour qu’un service soit rapidement adopté par les utilisateurs, une interface claire et réactive ne peut qu’accélérer l’adhésion. Cela peut également être amélioré via des applications de bureau, des plugins ou encore les applications mobiles. Ce point étant assez subjectif, chaque entreprise devra se faire son propre avis sur l’ergonomie générale des solutions.

Chaque produit possède sa propre philosophie et il incombera à l’entreprise de savoir quelle philosophie adoptée pour coller au mieux à ses usages.

En matière de cybersécurité (chiffrement, restriction d’accès, politique de sécurité, …), les solutions proposent-elles un même niveau global pour les données qui transitent par leurs services ?

Non, chaque solution va avoir sa propre approche pour définir les contours de sa sécurité.

Tout d’abord avec le chiffrement de la donnée qui n’est pas un paramètre encore très répandue sur les solutions grands publics qui sont donc à proscrire. Sur les solutions professionnelles, l’algorithme AES-256 est un standard dont les principaux acteurs du marché en ont déjà fait l’implémentation.

Certains éditeurs vont même proposer en option un boitier HSM (Hardware Security Module) pour renforcer le chiffrement des données. Cet équipement permet notamment de réaliser de la cryptographie symétrique et asymétrique.

Ensuite, chaque solution va proposer des degrés d’administration de la sécurité différents. Certains comme PostFiles (Oodrive) et NetExplorer donnent aux administrateurs systèmes une grande souplesse sur la configuration de leur plateforme (scan antivirus, restriction d’accès à la plateforme par adresse IP, définition de plages de connexion par utilisateur/groupe, limitation de tentative de connexion à la plateforme, …).

D’autres solutions, comme TransfertPro seront plus dirigistes dans la politique de sécurité ou ne proposeront pas des fonctionnalités aussi exhaustives par philosophie (pas de scan antivirus pour ne pas scanner les documents stockés).

Il faut également prendre en compte les méthodes d’authentification dans la sécurité globale de la solution. Pouvoir fédérer ses identités au travers d’un fournisseur d’identité réduit les risques d’usurpation, surtout si des mécanismes d’authentification multi-facteurs ont déjà été implémentés. C’est ainsi que le protocole standardisé SAMLv2 est proposé par la quasi-totalité des éditeurs pour faciliter l’intégration de leur solution avec les principaux annuaires d’entreprises. Des solutions comme NetExplorer ou TransfertPro vont même proposer l’intégration Microsoft365 pour les entreprises utilisant l’écosystème Microsoft et son socle Azure AD.

Pour les entreprises ne disposant de fournisseur d’identité, elles devront porter un regard attentif aux mécanismes d’authentification multi-facteurs natifs à chacune des solutions pour renforcer les accès de ses utilisateurs.

D’un point de vue économique, quel est le modèle de licence des solutions de partage de fichiers sécurisés ?

Là encore, il n’y a pas de règles définies mais une tendance se détache : la licence par utilisateur. Avec ce modèle de licensing statique (une licence/utilisateur), la facture peut vite s’envoler si l’entreprise souhaite généraliser l’usage de sa plateforme à l’ensemble de ses collaborateurs.

Il est donc important d’identifier les collaborateurs nécessitant un accès à cette plateforme.

L’autre alternative (la plus viable économiquement) est d’opter pour une solution proposant un modèle de licence flottante. Cela permet ainsi de disposer d’un pool de licences qui ne sont pas liées à des comptes utilisateurs mais à l’utilisation. L’optimisation est maximale puisqu’un utilisateur se verra affecter une licence uniquement à la connexion au service. C’est typiquement ce que propose NetExplorer ou TransfertPro.

En matière de conformité et de certification, quelles solutions se démarquent ?

La solution d’Oodrive, PostFiles, se détache de la concurrence en étant la seule à être en mesure de proposer une offre qualifiée SecNumCloud. Elle reste cependant très ciblée puisqu’il faudra engager de gros moyens économiques pour pouvoir bénéficier d’une telle architecture (comptez a minima 250 000€/an pour être SecNumCloud-compliant). L’offre classique d’Oodrive reste cependant intéressante puisqu’elle est qualifiée ISO 27001 et dispose du visa de sécurité de l’ANSSI. La solution NetExplorer dispose également de la certification ISO 27001.

Les solutions CryptoBox (Thalès/Ercom) et ZoneCentral (PrimX) sont quant à elles qualifiées « Diffusion Restreinte » par l’ANSSI et sont aussi à destination de certains secteurs d’activité.

Il faut cependant faire attention aux différentes certifications fournies par l’ANSSI : certaines d’entre elles sont délivrées sur les versions on-premise. Or, il n’est pas rare de voir certains éditeurs étendre maladroitement cette certification sur leurs offres SaaS. Il ne faut surtout pas hésiter à consulter le site de l’ANSSI afin de vérifier les versions des solutions qui ont été auditées et certifiées par l’agence nationale.

 

(1) : Le Cloud Act est un texte de loi stipulant que toute société de droit américain doit communiquer sur demande des autorités disposant d’un mandat dans le cadre d’une enquête pénale, les données sous son contrôle, sans considération du lieu où les données sont localisées.

(2) : Le Patriot Act est un texte de loi post 11 septembre permettant aux agences gouvernementales américaines d’obtenir des informations dans le cadre d’une enquête relative à des actes de terrorisme.

Autres articles susceptibles de vous intéresser