Conseils pour sécuriser les contenus de vos sites SharePoint

SharePoint est un outil puissant et central dans Microsoft 365. Il a beau exister depuis 25 ans, rares sont les entreprises qui le maîtrisent réellement. La gestion des droits en particulier est très rarement comprise (groupes, droit, rôles, héritage,…). Récemment, j’avais publié une vidéo sur ce sujet (à visualiser en cliquant ici) que je vous recommande chaudement si vous avez des lacunes sur ce sujet.

Vous pensez que vos sites sont parfaitement sécurisés, parce que vous mettez les bonnes personnes dans les groupes "propriétaires", "membres" et "visiteurs", sans savoir que le paramétrage par défaut de SharePoint peut vous faire très vite perdre le contrôle de la confidentialité de vos données.

Pour vous l'expliquer, j'ai choisi de vous raconter quatre cas réels rencontrés chez mes clients, avec le problème, la cause et la solution.

Des utilisateurs clandestins dans vos sites

L'HISTOIRE : un client me contacte pour m’expliquer qu’il constate que des collaborateurs qu’il ne connaît pas accèdent à un site SharePoint sensible dont il est responsable. Le site est pourtant sécurisé par un groupe dynamique positionné dans le groupe SharePoint des visiteurs. Autrement dit, une personne qui ne répond pas aux critères strictes d'appartenance à sa direction ne devrait pas pouvoir y accéder. Or il constate que des personnes qui ne correspondent pas à ces critères sont régulièrement ajoutées.

LA CAUSE : en fait, si vous trouvez des "utilisateurs clandestins" dans vos sites, il y a deux causes possibles.

👉La première cause possible : la demande d'accès

Le scénario est classique : des utilisateurs dûment autorisés mettent en toute bonne foi des liens vers le site / dossier / document dans des mails envoyés à des personnes qui, elles, ne font pas parti des personnes autorisées. Ces dernières en cliquant sur le lien voient apparaître une page qui leur indique qu'elles n'ont pas accès, et leur propose de faire une demande d'accès, ce qu’elles font :

Automatiquement, un mail est alors envoyé aux membres du groupe « propriétaires » du site pour leur proposer d’accepter ou de refuser la demande. Mon interlocuteur voit bien passer ces mails, mais il les ignore.

En regardant de près les membres du groupe « propriétaires » du site je constate que plus de 30 personnes sont dans ce groupe, ce qui est beaucoup trop. Autrement dit, plus de 30 personnes reçoivent ce mail et dans le lot, il y a aura toujours une bonne âme qui se sentira obligée de cliquer sur « Approuver », sans même connaître la personne. Problème : ces personnes ont beau être dans le groupe des "propriétaires", elles ne sont pas pour autant habilitées à décider par elles-mêmes qui a le droit d'accéder à ce fonds documentaire sensible.

👉La seconde cause possible : le partage du site par un "membre" .

Vous ne le savez certainement pas mais par défaut toute personne ayant un simple droit de "contribution" sur le site peut partager le site à n'importe qui, en donnant un droit de contribution. Dans le cas du site SharePoint associé à une équipe Teams, cela inclue tous les membres de l'équipe puisque tous les membres de l'équipe Teams ont un droit d'écriture sur le site.

Pour partager le site, il faut juste avoir le droit d'écriture sur le site (pas besoin d'être propriétaire). Ensuite, cliquer sur Roue Crantée, Autorisations du site, puis "Partage du site". Il reste à saisir les noms, valider et ... magie... toutes ces personnes obtiennent un droit de MODIFICATION sur tout le site !

Bref, vous pensez que votre site SharePoint qui contient des documents sensibles est parfaitement sous contrôle... En fait, si vous ne modifiez pas le paramétrage par défaut, n'importe lequel de vos contributeurs peut lui-même, sans en référer aux propriétaires, donner des droits de contribution à n'importe qui de son choix 😰😰😰.

LA RECOMMANDATION : voici mes recommandations pour répondre aux deux risques.

👉 concernant les demandes d'accès : si vous voulez 100% de sécurité, désactivez la demande d’accès au site en suivant les explications ci-dessous. Cela vous évitera toute mauvaise surprise. Pour réaliser l'opération, Roue crantée > Autorisations du site > Modifier les modalités de partage par les membres > Autoriser les demandes d'accès > désactivé.

Mais ça ne suffit pas : en parallèle informez bien les utilisateurs de votre site que les contenus sont réservés aux seules personnes autorisées. Si ils estiment qu'une personne a besoin légitimement d'avoir accès, elle doit contacter le responsable qui jugera de la suite à donner à sa demande.

Si vous ne voulez pas désactiver la demande d’accès, au moins réduisez drastiquement le nombre de membres dans le groupe propriétaires - ceux-là mêmes qui vont recevoir le mail, conseil valable dans tous les cas d’ailleurs car idéalement, il ne devrait pas y avoir plus de 4 ou 5 membres dans le groupe "Propriétaires du site".

Mais ça ne suffit pas : informez bien ces 'propriétaires" qu'il ne faut pas "approuver" aveuglément ; en particulier dans ce cas d'usage, le bon réflexe est de se demander pourquoi cette personne serait censée accéder si elle ne fait pas partie de la population cible définie par le groupe dynamique.

Dernière solution possible : plutôt que les mails de demande soient envoyées au groupe des propriétaires, sélectionnez une seule personne qui va recevoir ces demandes et qui aura la charge de vérifier pourquoi cette personne demande l'accès et si elle est légitime pour accéder aux contenus. Par contre, vous ne pourrez choisir qu'une seule personne ce qui peut poser problème en cas de congés de cette dernière.

Pour cela, sélectionnez "Adresse de courrier spécifique" :

👉 concernant le partage du site : dans le même écran que celui que nous venons de voir, sélectionnez l'un des deux options indiqués ci-dessous. Toutes les deux restreignent la capacité de partage du site aux seuls "propriétaires" du site.

Le mystère des héritages cassés

L’HISTOIRE : un client me contacte parce qu’il constate que des utilisateurs n’ont pas accès à certains dossiers, alors qu’ils ont accès à d’autres dossiers de la bibliothèque, sans problème. Pourtant, selon le client, les dossiers des bibliothèques héritent tous des mêmes droits : ceux positionnés sur chaque liste / bibliothèque de documents. Et mon client me l'assure : "je n'ai jamais cassé l'héritage des droits sur ces dossiers ".

LA CAUSE : après une courte recherche, je constate que l'héritage a bien été cassé sur de nombreux dossiers et même sur des documents. Et justement, ce sont les dossiers & fichiers qui posent souci car entre temps, de nouveaux groupes avaient été positionnés en amont sur le site et les listes.

Pour comprendre la situation, il faut comprendre la notion d'héritage que j'explique ici dans cette vidéo. En résumé, comme de l'eau qui ruisselle du haut vers le bas, les droits positionnés sur un site "coulent" sur les listes & bibliothèques, puis sur les dossiers de ces listes (s'il y en a) puis sur les éléments (fichiers, pages, autres). Il est possible de définir des droits particuliers (différents des droits du site) sur une liste, un dossier ou un élément en "cassant" l'héritage des droits (=couper le robinet en amont). C'est utile pour gérer des cas particuliers, par exemple quand un groupe de personnes a le droit d'être contributeurs sur tous les contenus, sauf sur certains.

Le problème en "cassant l'héritage", c'est que si vous ajoutez ensuite de nouveaux groupes ou des personnes, ces nouveaux droits ne redescendront plus sur les listes / dossiers / éléments dont les héritages ont été cassés. Bref, casser l'héritage peut être nécessaire, mais il faut le faire en toute connaissance de cause, sinon, c'est l'anarchie.

Tout de suite, j'ai pu réactiver l'héritage sur les principaux dossiers en faisant l'opération ci-dessous. Malheureusement, il n'y a pas de fonctionnalité native pour identifier tous les dossiers et fichiers dont l'héritage a été cassé : pour cela, il faut utiliser des commandes PowerShell.

Mon client me l'assure : il n'a jamais "cassé" volontairement des héritages. Mais alors, comment ces héritages ont ils été cassés ? Tout simplement en faisant un "partage" d'un dossier ou d'un fichier :

Si le partage ne représente aucun danger quand l'utilisateur n'a qu'un droit de simple lecture, c'est un piège si l'utilisateur est "propriétaire" du site ou tout simplement "contributeur", c'est à dire ayant le droit de modifier les contenus (ajouter, modifier, supprimer).

En effet, si un "contributeur" ou un "propriétaire" utilise la fonctionnalité de partage d'un dossier ou document en choisissant autre chose que "seules les personnes disposant d'un accès existant" (c'est à dire les visiteur du site à minima), l'héritage est cassé.

Le piège c'est que par défaut, ce n'est pas ce que vous propose l'interface. Par défaut, SharePoint propose "Personnes dans [votre organisation]", ce qui oblige forcément à casser l'héritage pour permettre aux personnes disposant du lien (mais ne faisant pas parti des utilisateurs normaux du site), d'accéder au contenu. Or personne n'est vraiment conscient des conséquences de ce choix. Du coup, à tous les coups, chaque "partage" casse vos héritages.

⚠️ Pour réduire le risque, si vous recommandez à ces personnes de n'utiliser que la fonctionnalité "Copier le lien", l'héritage est cassé également, car par défaut le lien est créé pour toute personne de votre organisation.

Démonstration : dans cette vidéo ci-dessous vous allez découvrir en temps réel les impacts du "partager" ou "copier le lien" sur l'héritage positionné sur un dossier. > A gauche, le navigateur de Loic, simple contributeur sur le site (appartient au groupe "membres du site") > A droite le navigateur du propriétaire du site qui affiche en direct une vue sur les droits sur le dossier 01

J'insiste : ce problème n'apparaît que pour les utilisateurs membres de l'équipe "propriétaires" et de l'équipe "membres du site" ou de tout autre groupe donnant des droits de modification du contenu. Les utilisateurs "simples visiteurs" n'ont pas cette capacité.

Mais il faut se rappeler que dans le site SharePoint d'une équipe Teams, tous les membres sont "contributeurs" du site. Donc tous les utilisateurs de l'équipe Teams ont cette capacité, par défaut, de casser les héritages en utilisant le partage ou en "copiant le lien".

La fonctionnalité de "Partager" ou "copier le lien" pose donc deux gros problèmes :

• Premier problème : par défaut, la fonctionnalité "partager" donne la capacité à toute personne ayant un simple droit de contribution de partager des ressources du site (Dossier, documents) à des personnes n'ayant initialement pas le droit d'accès au site : mieux, ces personnes peuvent même donner des droits de modification sur ces ressources. C'est pratique dans un sens car la gestion des droits d'accès est complexe, de ce fait, les utilisateurs adorent pouvoir "ouvrir à tout va" pour bypasser les contraintes des droits et gagner du temps. Mais sur certains sites sensibles, la gestion des droits donne aux responsables un faux sentiment de sécurité : ils pensent que tout est sous contrôle, alors qu'en vérité, n'importe quel contributeur a la capacité "d'ouvrir les portes" vers certains contenus à n'importe qui en lecture et/ou en modification, et ça, c'est très dangereux.

• Second problème : comme on l'a vu, le partage (ou même "copier le lien") casse les héritages. C'est un vrai problème quand on pense maîtriser la gestion des droits, alors que certains contenus (dossiers, fichiers, pages de sites) n'héritent plus des droits positionnés sur le site globale. En un mot, c'est le bazar !

LA RECOMMANDATION : il est possible de limiter la possibilité de faire des "partages". C'est possible en réalisant l'opération ci-dessous au niveau du site : vous pouvez alors limiter cette capacité aux seuls propriétaires du site. Cela s'applique également à l'utilisation du "copier le lien" qui ne casse plus l'héritage dans ce cas si un "contributeur" créé un lien de partage.

Encore faut-il que les membres du groupe "propriétaires" ne soient ni trop nombreux et surtout qu'ils aient compris eux aussi l'impact de l'utilisation du "partage", car sinon on ne fait que limiter l'occurrence de ce problème, sans l'éliminer.

Pour limiter la possibilité de faire des partage, roue crantée > Autorisations de site > modifier les modalités de partage par les membres : choisissez "seuls les propriétaires de site peuvent partager des fichiers, des dossiers et le site".

Bien entendu, comme vous supprimez la fonctionnalité de partage, il faut en informer vos utilisateurs qui avaient l'habitude d'utiliser cette fonctionnalité. Les contributeurs pourront toujours créer un "lien de partage" mais ces liens ne fonctionneront QUE pour les personnes déjà dûment autorisés sur le site.

S'ils avaient l'habitude de partager "à tout va" et que le site (en termes de populations autorisées) a été mal pensé, cela risque de gérer de l'agacement : ils risquent même de chercher des alternatives pour partager les fichiers, peut être via leur OneDrive, donc prudence.

Complément du 26/01/2026 (merci Bruce Larre - voir son post)

Il est également possible de restreindre l’accès au site via un groupe pour minimiser le risque de partage de contenu: "Le contrôle d’accès restreint aux sites vous permet d’éviter le surpartage en désignant l’accès aux sites SharePoint et à leur contenu aux utilisateurs d’un groupe spécifique. Les utilisateurs qui ne font pas partie du groupe spécifié ne peuvent pas accéder au site ni à son contenu, même s’ils avaient des autorisations préalables ou un lien partagé."

Voir les explications sur la page Microsoft : cliquer ici

L'énigme des pages intranet modifiées par des inconnus

L’HISTOIRE : un client me contacte car il vient de constater que des contenus ont été modifiés dans certaines pages de l'intranet de l'entreprise. Or les responsables de ces pages n'en sont pas à l'origine. Quand on regarde les versions des pages, effectivement, les auteurs de ces modifications ne font pas parti du groupe des contributeurs des pages. Comment est-ce possible ?

LA CAUSE : même cause, mêmes effets. Le site étant ouvert au partage par défaut, des "propriétaires" ou "contributeurs" peuvent partager une page en utilisant la fonctionnalité "Partager". Ce partage se fait d'ailleurs en toute bonne foi : le bouton "Partager" est très visible :

Si votre tenant est mal configuré l'autorisation affichée par défaut est "Modifier" : ainsi toute utilisation de la fonctionnalité "Partager" créé par défaut un lien avec un droit de modification. C'est le cas ici pour les pages du site, mais c'est aussi le cas pour les partages de dossier ou de fichiers. C'est donc un sujet important.

Dans notre cas de figure, ce qui s'est passé est simple : au sein de l'équipe de communication, une personne (qui a des droits de contribution) a voulu faire une communication générale à toute l'entreprise (plus de 10 000 personnes). Très logiquement, elle a cliqué sur le bouton "Partager" de la page concernée, et a mis le lien dans le mail de communication générale. D'un coup, sans le vouloir, cette personne a donné un droit de modification sur la page aux 10 000 collaborateurs et quelques personnes ont testé cette possibilité.

Cerise sur le gâteau : en faisant cette opération, l'utilisateur casse aussi l'héritage sur la page, comme dans le cas précédent.

Encore une fois, cette capacité d'ouvrir un droit de modification ne concerne que les "propriétaires" du site et les "Membres", ces personnes qui ont un droit de modification ; les personnes qui n'ont qu'un droit de lecture n'ont pas cette capacité. Mais rappelez-vous que dans le cas du site SharePoint associé à une équipe Teams, tous les membres ont un droit de modification. Enfin, dans les Intranets, les "contributeurs" sont souvent très très nombreux.

LA RECOMMANDATION : comme dans le cas précédent, restreignez le droit de faire un "partage" aux seuls membres du groupe "propriétaires" du site. Mais ça ne suffit pas : informez les "propriétaires" de l'impact de la fonctionnalité de partage car elles pourraient continuer à (mal) l'utiliser.

⚠️ Surtout, dans la console d'administration de SharePoint, modifiez le paramétrage par défaut des autorisation sur le partage pour mettre par défaut "Consultation" et non "Modifier" (Administration > SharePoint > Stratégies > Partage). C'est indispensable dans ce cas présent, mais également pour tout partage documentaire.

Des supers pouvoirs pour de simples contributeurs

L'HISTOIRE : un jour, un client se rend compte qu'une bibliothèque de documents a complètement disparu. Il a pu la récupérer depuis la corbeille mais il se demandait comment cette personne, qui n'est pas propriétaire mais juste "Membre du site", avait pu supprimer une bibliothèque complète de documents. Pour lui, cette personne n'a qu'un droit de contribution (= ajouter, modifier, supprimer des documents), rien de plus. Vraiment ?

LA CAUSE : il y a quelques années, avec la "nouvelle expérience SharePoint" Microsoft a modifié un paramétrage par défaut. Avant, le groupe des contributeurs d'un site SharePoint (le groupe "membres") n'avait réellement qu'un droit de contribution, c'est à dire un droit de lire, modifier ou supprimer des éléments dans les listes et bibliothèques. Le niveau d'autorisation était "COLLABORATION".

Avec la nouvelle expérience, le niveau d'autorisation positionné par défaut sur le groupe "Membres" d'un site SharePoint, c'est "MODIFICATION" et ça change tout.

Quand on regarde en détail, on constate que ce niveau d'autorisation donne beaucoup plus de droits que simplement ajouter, modifier ou supprimer des éléments de listes : il permet aussi de créer ou supprimer des listes & bibliothèques, ou les modifier.

Bref, si en mettant des personnes dans les "membres du site", vous pensez ne leur donner qu'un simple droit d'ajouter, modifier ou supprimer des documents et des pages sur le site, vous leur donnez aussi le droit de créer / modifier ou supprimer des listes complètes :

LA RECOMMANDATION : vous pouvez modifier le niveau d'autorisation positionné sur le groupe "Membres" créé par défaut, mais sachez que ça vous prive ensuite de la fonctionnalité "Accès aux sites" qui ne permet d'accéder en un clic aux groupes : il faut alors passer par l'administration des groupes. Mais est-ce vraiment un problème, si cela peut réduire un risque ?

Si vous voulez vraiment limiter les droits de vos contributeurs uniquement à la gestion des éléments dans les listes, vous pouvez donc modifier ce niveau d'autorisation ou sinon, créer un nouveau groupe "Contributeurs" personnalisé, en lui donnant le niveau d'autorisation "COLLABORATION" uniquement.

Conclusion

Le partage des documents est un sujet majeur dans les entreprises. Partager facilement des documents avec les bonnes personnes est une condition essentielle pour garantir une bonne efficacité des équipes et un bon niveau de sécurité.

Malheureusement, comme expliqué dans cet article "Gestion des droits : le grand bazar !", c'est souvent l'anarchie qui règne : ceux qui doivent accéder à des fichiers n'y ont pas droit, alors que ceux qui ne devraient pas y accéder y ont accès. Ce sujet génère de l'agacement, de la frustration, des pertes d'efficacité et des risques importants en termes de confidentialité des données.

Au manque de réflexion sur les stratégies documentaires de l'entreprise, s'ajoute un manque criant de formation et de référents dans les entreprises. Très rares sont celles qui ont dans leurs équipes de vrais experts SharePoint qui maîtrisent les concepts de base, comme ceux de la sécurité (niveaux d'autorisation, droits, héritage, etc). Les utilisateurs sont souvent laissés sans assistance ni support. Sans oublier les petites blagues de Microsoft dans SharePoint, dont vous avez découvert ici quelques exemples, avec des paramétrages par défaut trop permissifs.

Bref, au travers de ces quatre histoires, vous avez pu découvrir que la maîtrise de SharePoint est essentielle pour bien maîtriser le partage et la sécurité des connaissances et des documents dans l'entreprise, dont SharePoint est un vecteur essentiel.

Mais ce n'est pas seulement une question de maîtrise de l'outil, c'est également (et surtout) la définition d'une architecture adaptée de sites SharePoint, entre sites de référence ouverts à toute l'entreprise, sites plus confidentiels, et sites associés aux équipes Teams. Une architecture doit répondre à une stratégie documentaire plus générale.