Dans une PME de moins de 50 utilisateurs, les problèmes SharePoint et OneDrive viennent rarement d’un manque de fonctionnalités. Ils viennent plutôt de règles de partage trop floues, de liens externes oubliés et d’autorisations que personne ne revoit vraiment.
Un fichier SharePoint peut être trop largement partagé. Un lien OneDrive peut rester actif après la fin d’un projet. Un dossier client peut être accessible à un ancien invité externe. Et dans Teams, beaucoup d’utilisateurs ne savent pas toujours si le fichier est stocké dans SharePoint ou dans OneDrive Entreprise.
Pour une PME de moins de 50 utilisateurs, l’objectif n’est pas de créer une gouvernance documentaire complexe, mais de savoir clairement qui peut accéder à quoi, comment les liens externes sont créés, et qui les revoit.
Voici une méthode simple pour reprendre le contrôle des droits d’accès dans Microsoft 365, sans bloquer le travail quotidien avec les clients, les experts-comptables, les fournisseurs ou les partenaires.
Besoin de reprendre le contrôle sur les droits SharePoint, les liens OneDrive et les partages externes dans Microsoft 365 ? Axorys audite votre configuration, identifie les accès à risque et met en place une administration adaptée à une PME de moins de 50 utilisateurs.
Avant de parler de permissions, il faut clarifier les usages. Dans une petite entreprise, les erreurs viennent souvent d’un mauvais choix au départ : un document collectif stocké dans OneDrive, un dossier client partagé depuis le compte d’un salarié, ou un fichier Teams dont les droits ne sont pas compris.
La règle de base est simple : personnel = OneDrive, collectif = SharePoint, externe = lien nominatif contrôlé.
OneDrive Entreprise sert d’abord aux fichiers professionnels individuels d’un utilisateur. C’est l’espace adapté pour un brouillon, une note de travail, un document temporaire ou un fichier préparé avant validation.
Il peut aussi servir à partager ponctuellement un fichier avec une personne précise. Par exemple, un commercial peut envoyer une proposition en cours de préparation à un collègue pour relecture.
Le risque apparaît quand OneDrive devient le stockage durable de l’équipe. Si un salarié part, change de poste ou si son compte est supprimé, les documents importants peuvent devenir difficiles à retrouver. Le sujet n’est pas seulement technique : c’est un problème d’organisation.
Un devis modèle, une procédure RH, un tableau de suivi client ou un document administratif partagé ne devraient pas dépendre du OneDrive d’une seule personne.
SharePoint Online est plus adapté aux documents collectifs. Il fonctionne avec des sites SharePoint, des bibliothèques de documents, des groupes Microsoft 365 et des rôles simples : propriétaires, membres et visiteurs.
Dans une PME, SharePoint doit servir de référentiel durable pour les fichiers d’équipe : procédures, documents administratifs, dossiers clients partagés, modèles de devis, contrats ou documents de direction.
L’intérêt est clair : les droits sont portés par le site, la bibliothèque ou le groupe, pas seulement par le compte d’un utilisateur. Cela facilite la revue des accès et la continuité en cas de départ.
Pour une mise en place plus structurée, l’administration SharePoint Microsoft 365 permet de cadrer les sites, les propriétaires, les bibliothèques et les règles de partage.
Teams n’est pas un espace documentaire totalement séparé. Il s’appuie sur SharePoint ou OneDrive selon le contexte.
Un fichier partagé dans un canal Teams est stocké dans SharePoint, car il appartient à l’espace de l’équipe. Un fichier envoyé dans une conversation Teams est stocké dans OneDrive Entreprise, car il dépend du compte de l’utilisateur qui l’a partagé. Microsoft l’explique dans sa page officielle sur le stockage des fichiers dans Teams.
Cette distinction est importante. Si un fichier sensible est envoyé dans un chat Teams, ses droits ne suivent pas forcément la même logique qu’un fichier déposé dans un canal d’équipe.
| Cas d’usage | Outil conseillé | Pourquoi | Risque si mauvais choix |
|---|---|---|---|
| Brouillon individuel | OneDrive | personnel et temporaire | document perdu au départ du salarié |
| Procédure équipe | SharePoint | collectif et durable | versions dispersées |
| Fichier partagé en canal Teams | SharePoint | lié au site d’équipe | droits mal compris |
| Fichier envoyé en chat Teams | OneDrive | lié à l’utilisateur | partage dépendant du compte |
| Document client sensible | SharePoint avec lien nominatif | contrôle plus clair | lien transférable ou oublié |
Les droits SharePoint et OneDrive ne se limitent pas à “partagé” ou “non partagé”. Une PME doit surtout comprendre les grandes familles : les rôles internes, les liens de partage, les invités externes et les réglages appliqués au niveau Microsoft 365.
L’objectif n’est pas de connaître chaque option d’administration, mais de poser les bonnes règles.
Dans SharePoint, les rôles les plus courants sont simples.
Le propriétaire gère le site, ses paramètres et souvent les droits. Il peut ajouter des membres, modifier des accès et intervenir sur la structure du site.
Le membre peut modifier les fichiers. C’est le rôle adapté aux collaborateurs qui travaillent réellement sur les documents.
Le visiteur peut lire, sans modifier. C’est utile pour les dossiers sensibles, les procédures validées ou certains documents administratifs.
Dans une PME, le point à surveiller est le nombre de propriétaires. Si trop de personnes peuvent modifier les droits, les partages deviennent difficiles à suivre. Deux ou trois propriétaires validés suffisent souvent pour un site d’équipe.
La preuve à demander est simple : une liste des propriétaires de sites, avec les anciens salariés retirés et les comptes externes identifiés.
Un lien interne sert à partager avec des utilisateurs de l’entreprise. Il peut pointer vers un fichier SharePoint ou OneDrive sans ouvrir l’accès à l’extérieur.
Un lien externe permet d’accéder à un document depuis l’extérieur de l’organisation. Il peut être nominatif, limité à une personne précise, ou plus ouvert selon les paramètres choisis.
Un invité externe est une personne extérieure, par exemple un client, un expert-comptable ou un fournisseur, qui dispose d’un accès identifié.
Un lien anonyme, souvent présenté comme “toute personne disposant du lien”, est plus risqué. Il peut être transféré et consulté sans contrôle nominatif selon le réglage appliqué.
Microsoft décrit les options de partage externe dans sa page sur la vue d’ensemble du partage externe SharePoint et OneDrive. Pour une PME, il vaut mieux privilégier les liens vers des personnes spécifiques, avec expiration et lecture seule par défaut.
Dans Microsoft 365, les règles de partage peuvent être définies à plusieurs niveaux : organisation, site SharePoint, OneDrive utilisateur, lien de partage et invité externe.
Le réglage global donne un cadre. Mais un site sensible, comme un site RH ou direction, doit souvent être plus restrictif que le reste de l’entreprise. Microsoft précise que les administrateurs peuvent gérer les paramètres de partage SharePoint et OneDrive, puis appliquer des réglages spécifiques sur certains sites via les paramètres de partage d’un site SharePoint.
Pour OneDrive, certains réglages peuvent aussi être adaptés au niveau utilisateur, par exemple avec les paramètres de partage externe d’un OneDrive utilisateur.
| Niveau de réglage | Exemple | Qui le gère | Risque |
|---|---|---|---|
| Organisation Microsoft 365 | autoriser ou limiter le partage externe | admin Microsoft 365 / SharePoint | trop permissif pour tous les sites |
| Site SharePoint | limiter un site RH aux internes | admin / propriétaire validé | site sensible trop ouvert |
| OneDrive utilisateur | désactiver le partage externe pour un profil | admin Microsoft 365 | fichiers personnels exposés |
| Lien de partage | lecture seule, modification, expiration | utilisateur ou propriétaire | lien transféré ou oublié |
| Invité externe | client, expert-comptable, fournisseur | admin / propriétaire | invité conservé après le projet |
Une PME n’a pas besoin d’un modèle documentaire lourd pour reprendre le contrôle. Elle a besoin d’une règle claire, connue des utilisateurs et vérifiable par le prestataire.
La règle peut tenir en une phrase : les documents collectifs vont dans SharePoint, OneDrive reste personnel ou temporaire, et le partage externe se fait par lien nominatif, limité et revu.
Tout document qui doit survivre au départ d’un salarié doit être dans SharePoint.
Cela concerne les devis modèles, les procédures, les dossiers clients partagés, les documents administratifs, les fichiers d’équipe, les modèles de présentation ou les documents RH validés.
Ce choix réduit les pertes de fichiers, les doublons et les versions dispersées. Il permet aussi de gérer les droits à partir du site, du groupe ou de la bibliothèque.
Dans une PME de 10 à 20 postes, cette règle évite déjà une grande partie des incidents courants.
OneDrive reste utile, mais il ne doit pas devenir un mini-serveur personnel.
Il convient pour les brouillons, les notes, les documents non validés, les fichiers préparatoires ou les partages limités dans le temps.
Par exemple, un responsable administratif peut préparer un fichier budgétaire dans OneDrive avant de le déplacer dans SharePoint une fois validé. Tant que le fichier reste dans OneDrive, il dépend davantage de son compte et de ses liens de partage.
La règle à poser est simple : si plusieurs personnes doivent utiliser le document dans la durée, il doit rejoindre SharePoint.
Le partage externe est souvent nécessaire. Une PME travaille avec un expert-comptable, un avocat, un client, un fournisseur ou un partenaire. Le but n’est donc pas de tout bloquer.
La bonne pratique consiste à préférer les liens “personnes spécifiques” plutôt que les liens “toute personne avec le lien”. La lecture seule doit être le choix par défaut. La modification doit rester réservée aux cas où elle est vraiment nécessaire.
Les liens externes doivent avoir une durée limitée. Pour les partenaires récurrents, il peut être utile d’autoriser certains domaines connus. Mais cette décision doit être validée, pas improvisée par chaque utilisateur.
Une revue mensuelle ou trimestrielle suffit souvent pour une petite structure.
Les dossiers RH, finance, contrats, données clients et documents juridiques doivent suivre une règle plus stricte.
Un utilisateur ne devrait pas partager seul un dossier RH complet avec un prestataire externe. Le besoin doit être validé par le métier ou la direction. Le prestataire ou l’administrateur applique ensuite la configuration.
Pour ces dossiers, il faut demander une preuve : qui a accès, avec quel rôle, depuis quand, et avec quel type de lien.
Un audit SharePoint / OneDrive ne doit pas commencer par une coupure brutale de tous les accès externes. Dans une petite entreprise, cela peut bloquer un dossier client, une paie en cours ou une collaboration avec un fournisseur.
La bonne méthode consiste à contrôler, prioriser, corriger et documenter.
Commencez par les sites qui portent les documents sensibles ou utiles au quotidien : direction, administratif, commercial, client, RH et sites Teams actifs.
L’objectif est de savoir où se trouvent les documents de référence. Une PME découvre souvent que certains canaux Teams ont créé des sites SharePoint actifs, mais jamais revus.
La première preuve à demander est une liste des sites SharePoint actifs, avec leur usage et leur propriétaire.
Ensuite, il faut lister les propriétaires, les membres, les visiteurs, les groupes Microsoft 365 et les invités externes.
Les points à surveiller sont concrets : trop de propriétaires, anciens salariés encore présents, invités externes inutiles, groupes jamais revus, droits directs posés sur des dossiers.
Un ancien salarié encore membre d’un groupe peut conserver un accès indirect si le compte n’a pas été correctement désactivé ou retiré. Ce n’est pas un incident spectaculaire, mais c’est une faiblesse évitable.
La revue doit porter sur les liens anonymes, les liens sans expiration, les liens en modification et les invités qui ne travaillent plus avec l’entreprise.
Il faut aussi repérer les domaines externes inconnus. Un lien vers l’expert-comptable est normal. Un accès externe non identifié sur un dossier finance doit être vérifié.
Microsoft Support explique qu’un propriétaire peut consulter et modifier les partages via Gérer le partage et les autorisations dans OneDrive et SharePoint. Pour une revue complète, il vaut mieux demander un export ou un rapport d’administration.
La correction doit être progressive. Il ne faut pas désactiver tous les partages externes sans prévenir les utilisateurs.
La bonne méthode consiste à corriger site par site, prévenir les personnes concernées, remplacer les liens trop ouverts par des liens nominatifs, puis tester avec un utilisateur interne et un utilisateur externe.
Chaque correction doit être documentée : date, site concerné, lien supprimé ou modifié, personne qui valide, preuve fournie.
| Contrôle | Question à poser | Action PME recommandée |
|---|---|---|
| Propriétaires de site | Qui peut modifier les droits ? | limiter à 2 ou 3 personnes validées |
| Membres | Qui peut modifier les fichiers ? | retirer les anciens accès |
| Visiteurs | Qui lit seulement ? | privilégier lecture seule sur dossiers sensibles |
| Liens externes | Quels liens sortent de l’entreprise ? | supprimer les liens inutiles |
| Invités | Quels externes ont encore accès ? | revue périodique |
| Liens anonymes | Sont-ils nécessaires ? | désactiver ou limiter fortement |
| Expiration | Les liens expirent-ils ? | imposer une durée courte |
| Preuves | Peut-on montrer ce qui a été revu ? | rapport ou export mensuel |
Le RACI est une répartition simple des responsabilités. Il évite les malentendus entre la PME, le prestataire et Microsoft.
Le client valide les décisions métier. Le prestataire prépare, configure, teste, corrige, documente et accompagne. Microsoft fournit la plateforme, les interfaces et les services.
| Sujet | Client | Prestataire | Microsoft |
|---|---|---|---|
| Définir qui peut accéder aux documents | A/R | C | I |
| Configurer les droits SharePoint | C | R | I |
| Paramétrer le partage externe | A | R | I |
| Créer / supprimer les invités | A/C | R | I |
| Revoir les liens partagés | A | R | I |
| Corriger un partage trop ouvert | A | R | I |
| Fournir journaux / preuves de changements | C | R | I |
| Disponibilité de la plateforme | I | C | R |
| Règles DLP avancées | A | R si inclus | I |
| Validation RGPD / juridique | A | C | I |
Légende :
R = Responsable de l’exécution
A = Approbateur
C = Consulté
I = Informé
Dans une petite entreprise, ce tableau doit rester pratique. Par exemple, la direction décide si un client externe peut accéder à un dossier sensible. Le prestataire applique le lien nominatif, l’expiration et le droit en lecture. Microsoft assure le fonctionnement de la plateforme.
Un prestataire ne doit pas seulement “faire”. Il doit documenter ce qui a été fait, ce qui reste à corriger et ce qui a été validé.
Pour SharePoint, OneDrive et Teams, les preuves utiles sont concrètes :
Cette logique est importante dans un contrat d’infogérance Microsoft 365 pour PME. Une revue de liens externes peut relever du RUN si elle est prévue chaque mois. Une refonte complète des droits d’un site RH relève plutôt d’un projet. Une règle DLP Microsoft Purview peut être une option si elle n’est pas dans le périmètre initial.
| Besoin | Nature | Exemple | Preuve attendue |
|---|---|---|---|
| Revue des invités externes | RUN | contrôle mensuel ou trimestriel | liste des invités conservés / retirés |
| Correction d’un lien trop ouvert | RUN | suppression d’un lien anonyme | ticket horodaté et capture |
| Refonte des droits d’un site RH | Projet | nouveaux groupes, nouveaux rôles | matrice d’accès validée |
| Création d’un nouvel espace documentaire | Projet | site client ou site direction | périmètre, propriétaires, tests |
| Règle DLP sur données sensibles | Option | blocage ou alerte sur données personnelles | règle documentée et testée |
| Audit ponctuel SharePoint / OneDrive | Projet ou option | revue initiale avant reprise en main | rapport avec priorités |
Les droits SharePoint et OneDrive sont une base. Mais ils ne couvrent pas tous les besoins. Certaines situations nécessitent une approche complémentaire.
La DLP, pour Data Loss Prevention, aide à détecter ou bloquer certains partages de données sensibles. Microsoft Purview peut servir à définir des règles liées aux cartes bancaires, données personnelles, contrats ou fichiers confidentiels.
Mais la DLP ne remplace pas une bonne gestion des droits. Si un site SharePoint est trop ouvert, il faut d’abord corriger les permissions, les liens et les invités.
Pour aller plus loin sur ce sujet, consultez la page DLP Microsoft 365. Pour une vision plus large de la protection des comptes, des connexions et des fichiers, la page cybersécurité Microsoft 365 permet de replacer le sujet dans un cadre global.
La sauvegarde Microsoft 365 répond à un autre problème : restaurer un fichier supprimé, corrompu ou touché par un incident.
Elle ne corrige pas un mauvais partage. Si un dossier est accessible à trop de personnes, une sauvegarde ne retire pas ces accès.
Il faut donc distinguer deux questions : qui a accès au fichier, et peut-on le restaurer si nécessaire ? Pour le second sujet, voir la page sauvegarde Microsoft 365 pour PME.
L’archivage concerne la conservation, la conformité, la recherche et la rétention des données. Il ne doit pas être confondu avec les permissions SharePoint ou les liens OneDrive.
Une PME peut avoir besoin d’archivage pour des emails, des documents ou des obligations de conservation. Mais cela ne remplace pas une revue des liens externes actifs.
Pour ce sujet, consultez la page archivage Microsoft 365.
Si le besoin concerne les appareils, les postes personnels ou les conditions d’accès, il faut plutôt regarder l’accès conditionnel Entra ID ou Intune dans Microsoft 365 Business Premium.
Voici une checklist simple pour une PME qui utilise Microsoft 365 au quotidien sans administrateur dédié :
Cette checklist peut être intégrée dans un guide Microsoft 365 pour PME jusqu’à 50 utilisateurs, afin de relier les droits SharePoint / OneDrive aux autres sujets Microsoft 365 : comptes, MFA, sauvegarde, appareils et support utilisateur.
OneDrive dépend d’abord de l’utilisateur et sert aux fichiers personnels, aux brouillons ou aux partages temporaires. SharePoint sert aux documents collectifs, avec des droits plus durables gérés par site, groupe ou bibliothèque.
Un fichier partagé dans un canal Teams est stocké dans SharePoint. Un fichier partagé dans une conversation Teams est stocké dans OneDrive Entreprise. Cette différence change la manière de comprendre les droits.
Oui, si le partage externe est autorisé au bon niveau et si le besoin est validé. Il faut privilégier les personnes spécifiques, une durée limitée et la lecture seule sauf besoin de modification.
Pas forcément. Le bloquer totalement peut gêner le travail quotidien avec les clients, fournisseurs ou experts-comptables. Il vaut mieux définir des règles : sites sensibles fermés, liens nominatifs, expiration, domaines autorisés et revue périodique.
Ces liens peuvent être transférés et consultés sans contrôle nominatif selon le réglage choisi. Dans une PME, ils doivent être désactivés ou fortement limités, surtout pour les documents sensibles.
Il faut utiliser “Gérer l’accès”, vérifier les liens actifs, les personnes ayant accès, les groupes et les invités. Pour une revue complète, demandez un export ou un rapport d’administration.
Le métier doit valider le besoin. Le prestataire ou l’administrateur applique la configuration. La direction garde la responsabilité du niveau de risque accepté, surtout pour les dossiers sensibles.
Non. La DLP aide à détecter ou bloquer certains partages de données sensibles, mais elle ne remplace pas des permissions propres, des liens maîtrisés et une revue régulière des invités.
Non. La sauvegarde aide à restaurer après suppression, corruption ou ransomware. Elle ne corrige pas un accès trop large ni un lien externe oublié.
Demandez la liste des sites, propriétaires, invités, liens externes, paramètres de partage, changements réalisés, tickets horodatés et recommandations priorisées. Le rapport doit distinguer ce qui a été corrigé, ce qui reste à valider et ce qui relève d’un projet.
SharePoint, OneDrive et Teams sont efficaces pour collaborer dans Microsoft 365, à condition de poser des règles simples. Dans une PME, le risque vient rarement d’un seul réglage. Il vient plutôt d’une accumulation de liens oubliés, d’invités conservés trop longtemps, de propriétaires trop nombreux ou de documents collectifs stockés au mauvais endroit.
La bonne méthode consiste à partir des usages métier, puis à contrôler les droits, les invités, les liens externes et les preuves disponibles. Une PME n’a pas besoin d’une architecture grand compte. Elle a besoin d’un cadre lisible : OneDrive pour le personnel, SharePoint pour le collectif, Teams comme interface, et le partage externe avec des liens nominatifs, limités et revus.
Besoin de reprendre le contrôle sur les droits SharePoint, les liens OneDrive et les partages externes dans Microsoft 365 ? Axorys audite votre configuration, identifie les accès à risque et met en place une administration adaptée à une PME de moins de 50 utilisateurs.