Guide et ressources pour la protection des données Google Workspace

Google Workspace, anciennement G Suite, a dominé le marché des suites de productivité bureautique en 2020, avec 59 % de parts de marché aux États-Unis. Les entreprises du monde entier utilisent cette solution de productivité et collaboration de Google, pour stocker leurs informations et assurer la collaboration de leurs équipes. Parallèlement, les administrateurs informatique affirment que la protection des données Google Workspace fait partie de leurs priorités dans le cadre de la sécurisation et de la gestion de leur organisation.

Si votre entreprise utilise Google Workspace, ce guide vous aidera à comprendre comment tirer parti des moyens fournis par Google pour sécuriser et gérer votre instance sans brider ses puissantes fonctionnalités.

• Que vaut la sécurité de Google Workspace ?
• Mécanismes de protection des données de Google Workspace
• Google Workspace : un arsenal solide

Que vaut la sécurité de Google Workspace ?

Google compte parmi les premiers acteurs du cloud computing. À ce titre, la firme possède en propre chaque maillon de l’infrastructure de son écosystème cloud et a pu en optimiser le matériel au fil des années. Elle a également tiré parti de sa maîtrise technologique pour suivre les évolutions du monde de la sécurité. Voyons ensemble les principaux moyens utilisés par Google pour sécuriser son écosystème Google Workspace.

Conformité à de nombreuses normes et contrôle par audit

En tant que sous-traitant désigné des données, Google se conforme aux normes de sécurité mondiales les plus strictes. Ainsi, ses centres de données sont certifiés ISO/CEI 27017 et ses services cloud ISO/CEI 27002. L’entreprise adhère également à la norme ISO/CEI 27018 relative à la confidentialité et à la protection des données à l’international. Par ailleurs, elle continue de proposer une conformité à plusieurs normes nationales de référence pour les paiements (PCI DSS), les systèmes d’informations financières (FISC) et les agences fédérales (FedRamp).

Google Workspace respecte aussi diverses réglementations de traitement et protection des données, comme HIPAA (traitement des données de santé protégées) et le GDPR (Règlement européen sur la protection des données).

Audit complet et accès transparent

Google fournit un accès transparent et complet à des journaux d’audit pour tous les produits Google Workspace. Chacun de ces journaux permet aux administrateurs de garder un œil sur les activités suspectes. Ces journaux sont généralement conservés pendant 6 mois et varient d’un produit à l’autre. Toujours dans un esprit de transparence, Google propose également, pour de nombreux produits, des journaux de vérification complets des actions réalisées par son personnel lors de ses tâches d’assistance qui ont entraîné l’accès à des contenus des utilisateurs.

Dispositions régionales pour les données

Conformément aux réglementations de traitement des données locales et nationales, Google Workspace permet de régionaliser le stockage et le traitement des données. En tant qu’administrateur, vous pouvez ainsi choisir des régions de données pour certains utilisateurs et équipes en fonction de la structure de votre organisation ou de la configuration de vos groupes d’utilisateurs. Google Workspace vous permet d’appliquer vos choix de région à l’ensemble de l’organisation ou par groupe. Actuellement, vous avez le choix entre les régions « États-Unis » et « Europe ».

Remarque : seules certaines éditions spécifiques de Google Workspace donnent accès à cette possibilité.

Mécanismes de protection des données de Google Workspace

Authentification

Google Workspace ne lésine pas sur l’authentification des utilisateurs en proposant des méthodes d’authentification à plusieurs facteurs, mais aussi la possibilité de demander des clés matérielles. Il permet également la mise en place d’un accès sécurisé aux seuls services et applications tiers que vous choisissez, par le biais d’OAuth 2.0.

L’implémentation de BeyondCorp permet d’aller encore plus loin en fournissant des accès contextuels sans VPN ou agent. BeyondCorp ajoute un modèle Zero-Trust sur Google Workspace à l’aide de contrôles granulaires basés sur l’identité des utilisateurs et des attributs contextuels, notamment l’adresse IP et l’inscription à des mécanismes de sécurité. Intégrée à Google Cloud Identity, cette implémentation offre une authentification complète permettant d’accéder aux données et ressources de votre entreprise où que vous soyez, en toute sécurité.

Prévention des pertes de données

La perte de données, principalement via des méthodes malveillantes comme le phishing, est une menace toujours plus présente sur le Web. Varonis a d’ailleurs déjà abordé en détail la prévention du phishing sur plusieurs produits Google. Google Workspace vous protège du phishing et de l’usurpation à l’aide de la norme DMARC (Domain-based Message Authentication, Reporting, and Conformance). Pour faire simple, Google Workspace assure aux administrateurs que les e-mails qu’ils reçoivent proviennent de sources légitimes par le biais de deux procédés :

• Sender Policy Framework (SPF) : autorisation par un ensemble d’adresses IP
• Domain Keys Identified Mail (DKIM) : autorisation par des signatures numériques

Le guide de Google sur DMARC décrit en détail comment configurer ces deux mécanismes.

Google Workspace va plus loin en matière de prévention des pertes de données en vous permettant de détecter à grande échelle les indices indiquant que du contenu sortant inclut des données d’entreprise sensibles. Par exemple, la solution vous propose de définir des règles DLP (Data Loss Prevention) sur des produits spécifiques, comme Google Drive, pour analyser, détecter et signaler des actions ou événements liés à des contenus sensibles et signaler des violations.

Mesure de sécurité supplémentaire, Google Workspace propose aussi en option un chiffrement côté client. Google chiffre déjà les données au repos et en transit selon les normes les plus récentes. En tant qu’administrateur, vous pouvez renforcer la sécurité de vos données à l’aide de vos propres clés de chiffrement, en faisant appel à un service externe et à un fournisseur d’identité avant de les stocker dans Google Storage. Ainsi, Google n’a pas accès à vos clés ni à vos données : vous avez totalement la main.

Remarque : le chiffrement côté client n’est proposé qu’avec certaines éditions.

Rapports sur les données

Google fournit un rapport détaillé intitulé Insights sur la protection des données qui contient des informations sur le contenu sensible stocké et partagé en externe en fonction du type de données. Il recommande également des règles DLP permettant d’éviter le partage de données sensibles. En tant qu’administrateur, vous pouvez utiliser ce rapport pour passer en revue, de façon plus ou moins détaillée, des types de données supplémentaires dont vous devez avoir connaissance en cas de perte de données.

Google propose aussi plusieurs rapports interactifs permettant d’évaluer votre exposition à des problèmes de sécurité des données. Vous pouvez également analyser les journaux Google Workspace à l’aide de vos outils tiers via l’intégration de BigQuery.

Google Workspace:  un arsenal solide  

Google Workspace fournit un ensemble de contrôles et rapports de qualité permettant de sécuriser et de surveiller les données de votre organisation. Comme la plupart des plateformes cloud, Google a adopté un modèle de responsabilité partagée en matière de sécurité. Il est important de comprendre quelles tâches de sécurité sont prises en charge par la plateforme et lesquelles relèvent de votre responsabilité. Google fournit de nombreux outils qui facilitent la sécurisation de vos données client. Toutefois, en tant qu’administrateur, vous devez vous astreindre à évaluer, auditer et agir régulièrement pour faire évoluer la sécurité de votre instance Google Workspace. La plupart des pertes de données sont liées au comportement des utilisateurs. En tant qu’administrateur, vous pouvez empêcher ces scénarios en gardant l’œil à tout moment sur vos données Google Workspace. Avec les outils fournis par la solution, vous pouvez sécuriser vos ressources les plus précieuses : les données de votre entreprise.

Prenez l’exemple de Google Drive : il s’agit de l’une des plateformes de stockage les plus utilisées du marché. Non seulement elle héberge probablement des informations sensibles, dont vous n’avez peut-être aucune idée de l’emplacement exact pour la plupart, mais elle intègre aussi des fonctionnalités de collaboration qui complexifient grandement la sécurisation des données.

Ses utilisateurs peuvent accorder eux-mêmes des droits d’accès, ce qui génère des structures de droits complexes, invisibles des administrateurs et ne permettant pas de savoir si leurs données sont en sécurité. Les interfaces des comptes professionnels et personnels paraissent quasiment identiques pour les utilisateurs finaux, et il leur est ainsi facile d’accorder par erreur un accès à des comptes personnels, créant par là même des identités non gérées à privilège qui font courir un risque à vos données les plus sensibles.

Varonis DatAdvantage Cloud facilite la sécurisation par les entreprises des données qu’elles stockent dans Google Drive. Nous simplifions les droits complexes de Google Drive en indiquant en temps réel qui peut accéder à quelles données. Nous surveillons les modalités de consultation et de partage des données et générons des alertes lorsqu’un comportement paraît risqué afin de bloquer les menaces en amont. Lorsque des investigations sont nécessaires, nous vous aidons à comprendre ce qui s’est passé dans les différentes applications cloud sans que vous ayez besoin de procéder aux corrélations ou à des tâches supplémentaires.

Chez Varonis, nous sommes experts en solutions de protection pour toutes les plateformes cloud. Programmez un appel dès aujourd’hui pour en savoir plus.