Postulez
Contactez-nous

Évaluer la sécurité d’un domaine G suite

En 2020 une majorité d’entreprises fait le choix d’utiliser des services bureautiques et collaboratifs en mode SaaS, couramment appelés Digital Workplace. Ce constat se traduit par un marché bénéficiant d’une croissance annuelle à deux chiffres, porté par Microsoft au travers de son offre M 365 et Google avec G Suite. Une fois déployé, ce type de services devient finalement une partie importante du SI, supportant des activités critiques telles que la messagerie, le partage et le stockage de données non-structurées, la messagerie instantanée ou encore la visioconférence. Il est donc nécessaire d’évaluer les risques liés à l’utilisation de ces services et d’identifier les contrôles à implémenter pour garantir un bon niveau de sécurité, sans dégrader l’expérience utilisateur.

Dans ce cadre notre équipe intervient régulièrement sur des projets d’audit de services cloud, et constate que de nombreuses organisations structurent une part croissante de leur SI autour de services M 365 ou G Suite, sans nécessairement prendre le temps d’étudier les risques IT liés à la manière dont est configuré et géré leur environnement. Cet article vise à partager nos récentes expériences sur G Suite spécifiquement, en abordant l’évaluation du niveau de sécurité d’un domaine et l’identification des axes de renforcement de celui-ci.

Comment évaluer le niveau de sécurité d’un domaine G suite ?

Le niveau de sécurité d’un domaine G Suite est en premier lieu sous la responsabilité de Google, qui gère le développement, l’hébergement, la disponibilité et les évolutions des services. G Suite dispose notamment d’une certification ISO 27001 et de rapports SOC 2/3 de qualité, permettant de rassurer un client sur les niveaux de sécurité proposés.

Néanmoins, une grande partie des sujets de sécurité reste sous la responsabilité du client, en particulier la manière de configurer et d’opérer le service, les adhérences avec d’autres composants du SI (annuaire AD, applications métiers…), la diversité des usages proposés, la gestion des accès logiques ou encore la veille sur les évolutions, fréquentes, des services.

Pour aborder le sujet de manière pragmatique, l’initialisation de la démarche d’audit et de renforcement de la sécurité de son environnement G Suite, peut être entamée en réalisant une revue des configurations du domaine, considérant trois thématiques :

  • Protection des identités : utilisateurs et administrateurs,
  • Protection des services : services activés (Gmail, Drive, Agenda, Hangouts, Sites…), clients LDAP, API,
  • Protection des appareils : postes de travail et appareils mobiles.

Ces trois thématiques intègrent environ 240 points de contrôles, accessibles au travers de la console d’administration G Suite.

Quelques exemples concrets des points de contrôles à étudier :

Protection des identités :

  • Activation de la validation en deux étapes pour les utilisateurs et les administrateurs,
  • Gestion de la récupération des mots de passe pour les comptes super-administrateurs,
  • Limitation de la durée des sessions web,
  • Mise en œuvre d’une politique de mot de passe forte (durée de vie, complexité…).

Protection des services :

  • Encadrement de l’utilisation de G Suite en tant que fournisseur d’identité,
  • Maîtrise des API et définition de listes blanches d’applications tierces autorisées à accéder aux données utilisateurs,
  • Encadrement de l’utilisation des applications disponibles depuis le G Suite Marketplace,
  • Maîtrise du partage externe et de l’exposition des données,
  • Restreindre la visibilité des Google Sites,
  • Désactiver le service Google Takeout afin de prévenir la fuite de données,
  • Gmail : désactiver l’accès à la messagerie via des clients de bureau non sécurisés, activer l’analyse améliorée des messages, renforcer les mécanismes de protection anti-spam/anti-malware/anti-spoofing, vérifier la bonne configuration des normes SPF et DKIM…

Protection des appareils :

Le niveau de détail de ces contrôles dépend du type de licences G Suite acquises (Business Vs Enterprise). Par ailleurs, la pertinence de l’application de ces contrôles dépend également du SI du client (utilisation d’un annuaire AD on premise, gestion des devices au travers d’un outil de MDM par exemple).

  • Contrôler l’accès aux services G Suite en fonction du contexte du poste de travail, Gestion centralisée des postes Windows : ouverture de session via le compte G Suite, comptes admin locaux, mises à jour OS, chiffrement des disques,
  • Tenir à jour un inventaire des postes et des appareils mobiles utilisant les services G Suite,
  • Bloquer l’accès aux données G Suite depuis des appareils IOS jailbreakés ou Android non à jour,
  • Déployer des politiques de durcissement des appareils, Séparer les applications à usage personnel et professionnel,
  • Encadrer l’usage des applications mobiles.

Comment organiser les actions de remédiation ?

L’objectif est ici de concrétiser le renforcement du niveau de sécurité du domaine G Suite, sans dégrader l’expérience utilisateur.

Il est pertinent de définir un ordre de priorité dans le traitement des actions de remédiation en tenant compte de leur criticité, de leur impact sur les utilisateurs et de leur complexité technique. Certains correctifs peuvent exiger un arbitrage de la part des instances décisionnelles afin d’être en adéquation avec le contexte de l’entreprise et les usages des utilisateurs.

Ces actions, majoritairement traitées au travers de la console d’administration G Suite, peuvent être de deux types : Mise à jour des configurations, Activation de service de sécurité additionnels intégrés à G Suite.

Dans un second temps il pourra être pertinent d’envisager le déploiement d’autres services de sécurité plus transverses, tels qu’une solution de mobile device management ou de CASB par exemple.

Conclusion

Pour conclure, la mise en œuvre de ce plan de remédiation doit être accompagnée d’actions de conduite du changement afin de présenter les usages cibles et de sensibiliser les utilisateurs sur les nouvelles mesures de sécurité adoptées. L’objectif est d’intégrer un maximum de sécurité par défaut,

puis de sensibiliser les utilisateurs afin qu’ils affinent le degré d’ouverture des services en fonction de leurs besoins.

Aujourd’hui, les utilisateurs cherchent à aligner le niveau de qualité de leurs usages professionnels sur leurs expériences digitales personnelles. L’enjeu pour une DSI est également de s’assurer que les services G Suite ne soient pas concurrencés par des services tiers non officiels répondant mieux aux besoins métiers et contournant potentiellement les exigences de sécurité appliquées.

Partager cet article

À lire également
Gouvernance et risques

Les risques liés à l’utilisation de Microsoft Copilot

Contrairement à l’IA dite « classique » qui permet principalement d’analyser des données et de réaliser des calculs prédictifs, l’IA générative est capable de créer des contenus de toute sorte (textes, images, vidéos) sur la base d’une quantité importante de données. Mais quels peuvent être les risques liés à l’utilisation de Microsoft Copilot ?

Lire la suite
homme femme travail bureau ordinateur cybersecurity cybersécurité gestion risques management lovell consulting lovellconsulting
Protection des données

Des cookies au floc : évolutions des techniques de tracking en ligne

La pratique du cookie tiers permet aux diffuseurs d’analyser les comportements utilisateur et de cibler les centres d’intérêt des utilisateurs. Ainsi, les publicités proposées peuvent être ciblées. Cependant, la pratique est de plus en plus controversée car jugée intrusive par les défenseurs de la vie privée.

Lire la suite
Suivez-nous sur Linkedin

© Lovell Consulting 2023 – Tous droits réservés