Entre promesse de confidentialité et réalité technique, le chiffrement mérite mieux qu’un label apposé sur une brochure. Voici ce que les PME doivent savoir avant de confier leurs documents au cloud.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Impossible, aujourd’hui, de parler protection des données dans le cloud sans évoquer le chiffrement. Côté fournisseur, côté client, avec ou sans gestion de clés dédiée, intégré à une suite collaborative ou greffé sur une solution de stockage en ligne existante… les déclinaisons se multiplient et brouillent parfois les repères. Mais derrière les sigles marketing, il faut pourtant garder l’essentiel en tête : qui contrôle la clé, contrôle l’accès.
Chiffrement côté fournisseur : pratique, mais pas si opaque que ça
Dans la majorité des cas, notamment chez les grandes suites professionnelles comme Microsoft 365 ou Google Workspace, les fichiers sont par défaut chiffrés après leur arrivée sur les serveurs.
Comme ce chiffrement est effectué par le fournisseur lui-même, c’est aussi lui qui en détient la clé. Ce modèle, simple à mettre en œuvre et totalement transparent pour l’utilisatrice ou l’utilisateur final, permet ainsi de profiter de plusieurs fonctionnalités courantes – prévisualisation des documents, recherche plein texte, synchronisation automatique, etc. – qui nécessitent souvent un accès temporaire au contenu en clair. Le déchiffrement s’effectue alors de manière éphémère, généralement en mémoire, le temps d’afficher ou de traiter les fichiers.
Mais cette architecture implique aussi que les documents ne sont jamais complètement inaccessibles. Même avec des procédures d’accès strictes, les données peuvent techniquement être consultées en cas de demande administrative, de piratage interne ou de faille de sécurité.
À noter que certains fournisseurs proposent parfois des options plus avancées – comme la gestion des clés par l’utilisateur (BYOK) ou des intégrations avec des modules HSM ou KMS – permettant de restreindre l’accès aux données, même en cas de réquisition. Attention cependant : dans la plupart des cas, le fournisseur conserve un moyen d’accéder aux clés via son infrastructure. Seules les approches de type HYOK (Hold Your Own Key), dans lesquelles les clés ne transitent jamais par ses systèmes, assurent une séparation complète.
Chiffrement côté client : la confidentialité entre vos mains
À l’inverse, le chiffrement côté client implique de chiffrer les documents directement sur l’appareil de l’utilisatrice ou de l’utilisateur, avant toute transmission. Le fournisseur n’en reçoit qu’une version illisible et ne dispose d’aucun moyen technique pour en consulter le contenu, la clé de déchiffrement étant conservée localement par la personne qui en a l’usage.
Ce modèle est particulièrement adapté aux fichiers sensibles – documents juridiques, contrats, éléments comptables, données RH ou projets confidentiels –, mais il s’accompagne aussi de quelques limites fonctionnelles. Impossible, par exemple, de prévisualiser les fichiers dans le cloud ou d’en rechercher le contenu à distance. La collaboration en ligne devient plus complexe, et la synchronisation multiappareils peut nécessiter des solutions spécifiques. Et surtout, en cas de perte de la clé, les données sont irrécupérables.
Même avec un chiffrement côté client, certaines informations secondaires peuvent rester visibles – noms de fichiers, structure des dossiers, taille, dates de modification, graphes de partage – à moins que la solution choisie n’intègre une protection spécifique des métadonnées. Certains services proposent ce niveau de couverture, mais souvent au prix d’un impact notable sur les performances ou l’ergonomie.
Combiner les deux approches : des pistes concrètes pour les PME
Choisir une stratégie de protection adaptée n’implique pas forcément de renoncer aux avantages du cloud collaboratif. Plusieurs solutions permettent de jongler entre chiffrement côté fournisseur et chiffrement côté client, selon la sensibilité des fichiers et les besoins métier. Dans tous les cas, la gouvernance des clés doit rester un point structurant de la démarche. À ce titre, prévoyez une rotation régulière des clés, une délégation d’accès restreinte, une sauvegarde sécurisée hors ligne, ainsi qu’un plan de récupération en cas de sinistre.
Renforcer et automatiser le chiffrement avec les outils professionnels
Certaines suites collaboratives intègrent des fonctions avancées pour affiner l’application du chiffrement selon les besoins. Dans Microsoft 365, la solution Purview permet à la fois de confier la gestion des clés à l’entreprise (via BYOK ou Customer Key) et d’appliquer automatiquement des étiquettes de sensibilité associées à un chiffrement. Ces étiquettes peuvent être déclenchées selon des règles définies (mots-clés, emplacements, types de fichiers…). Pour les cas sensibles, on peut activer des options plus strictes comme la Double Key Encryption, qui exige deux clés distinctes pour accéder aux données.
Du côté de Google Workspace, Docs, Sheets, Slides, Drive, Gmail, Agenda et Meet peuvent fonctionner en chiffrement côté client (CSE) avec des clés gérées via un service externe et une authentification IdP/SSO. En parallèle, les admins peuvent combiner CSE avec des règles de classification et de partage pour encadrer qui peut créer ou ouvrir des fichiers CSE. Ce niveau d’automatisation évite de s’appuyer uniquement sur les bonnes pratiques des utilisateurs et utilisatrices, mais il suppose une configuration rigoureuse, un suivi régulier et quelques concessions fonctionnelles (recherche limitée, add-ons désactivés, prévisualisation restreinte).
Isoler les documents confidentiels dans un coffre chiffré
Autre option : compléter un service cloud classique avec un outil de chiffrement dédié. Cryptomator, par exemple, chiffre localement un dossier que vous synchronisez ensuite avec votre espace existant. Vous pouvez aussi opter pour un second espace de stockage distinct, chiffré de bout en bout et entièrement géré côté client, comme le proposent Tresorit Business, pCloud Business ou Proton Drive for Business. Une solution à réserver aux fichiers les plus sensibles, qui ne requièrent ni collaboration étendue ni intégration poussée.
Adopter une suite collaborative pensée pour la confidentialité
Certaines PME peuvent aussi préférer une approche intégrée, plus facile à déployer, en choisissant une suite pensée dès le départ pour le chiffrement de bout en bout. C’est le cas de Proton Business Suite, qui regroupe messagerie, drive, calendrier, VPN et gestionnaire de mots de passe dans un environnement cloisonné, chiffré localement, sans accès pour l’éditeur. D’autres alternatives comme Tuta Business ou Infomaniak kSuite Pro peuvent convenir selon les besoins, avec des approches variées en matière de souveraineté, de gestion des clés ou d’ouverture aux outils tiers.
- storage1 To de stockage / utilisateur
- securityChiffrement natif par défaut
- alternate_emailSupport nom de domaine
- smartphoneApplications iOS, Android
- push_pinJurisdiction Suisse
Proton Business Suite regroupe une messagerie électronique chiffrée, un gestionnaire de mots de passe, un agenda sécurisé, un cloud et un VPN, centralisés dans une seule offre pour entreprises. L’ensemble fonctionne avec un chiffrement de bout en bout et une console d’administration qui permet de gérer facilement utilisateurs et paramètres de sécurité. Les solutions disponibles incluent la gestion de domaines personnalisés pour les e-mails professionnels, la synchronisation et le partage sécurisé de fichiers sans limite de taille, ainsi que la navigation protégée par VPN pour tous les terminaux de l’équipe. Le tout est conçu pour fournir des outils professionnels intuitifs tout en garantissant la confidentialité des données et la conformité aux principales normes de sécurité.
