Postulez
Contactez-nous

Évaluer la sécurité d’un domaine G suite

En 2020 une majorité d’entreprises fait le choix d’utiliser des services bureautiques et collaboratifs en mode SaaS, couramment appelés Digital Workplace. Ce constat se traduit par un marché bénéficiant d’une croissance annuelle à deux chiffres, porté par Microsoft au travers de son offre M 365 et Google avec G Suite. Une fois déployé, ce type de services devient finalement une partie importante du SI, supportant des activités critiques telles que la messagerie, le partage et le stockage de données non-structurées, la messagerie instantanée ou encore la visioconférence. Il est donc nécessaire d’évaluer les risques liés à l’utilisation de ces services et d’identifier les contrôles à implémenter pour garantir un bon niveau de sécurité, sans dégrader l’expérience utilisateur.

Dans ce cadre notre équipe intervient régulièrement sur des projets d’audit de services cloud, et constate que de nombreuses organisations structurent une part croissante de leur SI autour de services M 365 ou G Suite, sans nécessairement prendre le temps d’étudier les risques IT liés à la manière dont est configuré et géré leur environnement. Cet article vise à partager nos récentes expériences sur G Suite spécifiquement, en abordant l’évaluation du niveau de sécurité d’un domaine et l’identification des axes de renforcement de celui-ci.

Comment évaluer le niveau de sécurité d’un domaine G suite ?

Le niveau de sécurité d’un domaine G Suite est en premier lieu sous la responsabilité de Google, qui gère le développement, l’hébergement, la disponibilité et les évolutions des services. G Suite dispose notamment d’une certification ISO 27001 et de rapports SOC 2/3 de qualité, permettant de rassurer un client sur les niveaux de sécurité proposés.

Néanmoins, une grande partie des sujets de sécurité reste sous la responsabilité du client, en particulier la manière de configurer et d’opérer le service, les adhérences avec d’autres composants du SI (annuaire AD, applications métiers…), la diversité des usages proposés, la gestion des accès logiques ou encore la veille sur les évolutions, fréquentes, des services.

Pour aborder le sujet de manière pragmatique, l’initialisation de la démarche d’audit et de renforcement de la sécurité de son environnement G Suite, peut être entamée en réalisant une revue des configurations du domaine, considérant trois thématiques :

  • Protection des identités : utilisateurs et administrateurs,
  • Protection des services : services activés (Gmail, Drive, Agenda, Hangouts, Sites…), clients LDAP, API,
  • Protection des appareils : postes de travail et appareils mobiles.

Ces trois thématiques intègrent environ 240 points de contrôles, accessibles au travers de la console d’administration G Suite.

Quelques exemples concrets des points de contrôles à étudier :

Protection des identités :

  • Activation de la validation en deux étapes pour les utilisateurs et les administrateurs,
  • Gestion de la récupération des mots de passe pour les comptes super-administrateurs,
  • Limitation de la durée des sessions web,
  • Mise en œuvre d’une politique de mot de passe forte (durée de vie, complexité…).

Protection des services :

  • Encadrement de l’utilisation de G Suite en tant que fournisseur d’identité,
  • Maîtrise des API et définition de listes blanches d’applications tierces autorisées à accéder aux données utilisateurs,
  • Encadrement de l’utilisation des applications disponibles depuis le G Suite Marketplace,
  • Maîtrise du partage externe et de l’exposition des données,
  • Restreindre la visibilité des Google Sites,
  • Désactiver le service Google Takeout afin de prévenir la fuite de données,
  • Gmail : désactiver l’accès à la messagerie via des clients de bureau non sécurisés, activer l’analyse améliorée des messages, renforcer les mécanismes de protection anti-spam/anti-malware/anti-spoofing, vérifier la bonne configuration des normes SPF et DKIM…

Protection des appareils :

Le niveau de détail de ces contrôles dépend du type de licences G Suite acquises (Business Vs Enterprise). Par ailleurs, la pertinence de l’application de ces contrôles dépend également du SI du client (utilisation d’un annuaire AD on premise, gestion des devices au travers d’un outil de MDM par exemple).

  • Contrôler l’accès aux services G Suite en fonction du contexte du poste de travail, Gestion centralisée des postes Windows : ouverture de session via le compte G Suite, comptes admin locaux, mises à jour OS, chiffrement des disques,
  • Tenir à jour un inventaire des postes et des appareils mobiles utilisant les services G Suite,
  • Bloquer l’accès aux données G Suite depuis des appareils IOS jailbreakés ou Android non à jour,
  • Déployer des politiques de durcissement des appareils, Séparer les applications à usage personnel et professionnel,
  • Encadrer l’usage des applications mobiles.

Comment organiser les actions de remédiation ?

L’objectif est ici de concrétiser le renforcement du niveau de sécurité du domaine G Suite, sans dégrader l’expérience utilisateur.

Il est pertinent de définir un ordre de priorité dans le traitement des actions de remédiation en tenant compte de leur criticité, de leur impact sur les utilisateurs et de leur complexité technique. Certains correctifs peuvent exiger un arbitrage de la part des instances décisionnelles afin d’être en adéquation avec le contexte de l’entreprise et les usages des utilisateurs.

Ces actions, majoritairement traitées au travers de la console d’administration G Suite, peuvent être de deux types : Mise à jour des configurations, Activation de service de sécurité additionnels intégrés à G Suite.

Dans un second temps il pourra être pertinent d’envisager le déploiement d’autres services de sécurité plus transverses, tels qu’une solution de mobile device management ou de CASB par exemple.

Conclusion

Pour conclure, la mise en œuvre de ce plan de remédiation doit être accompagnée d’actions de conduite du changement afin de présenter les usages cibles et de sensibiliser les utilisateurs sur les nouvelles mesures de sécurité adoptées. L’objectif est d’intégrer un maximum de sécurité par défaut,

puis de sensibiliser les utilisateurs afin qu’ils affinent le degré d’ouverture des services en fonction de leurs besoins.

Aujourd’hui, les utilisateurs cherchent à aligner le niveau de qualité de leurs usages professionnels sur leurs expériences digitales personnelles. L’enjeu pour une DSI est également de s’assurer que les services G Suite ne soient pas concurrencés par des services tiers non officiels répondant mieux aux besoins métiers et contournant potentiellement les exigences de sécurité appliquées.

Partager cet article

À lire également
Conformité

[LIVRE BLANC] Naviguer dans l’IA : risques, protections et innovations.

Alors que la transformation numérique s’accélère et que l’intelligence artificielle devient un moteur clé de l’innovation, il est crucial de bien appréhender les défis qui l’accompagnent. Pour maximiser ses bénéfices tout en réduisant les risques, il est indispensable de connaître ses opportunités, ses faiblesses, et les meilleures pratiques à adopter pour une mise en œuvre sécurisée.

Lire la suite
Conformité

La directive NIS 2 : tout savoir sur les changements à venir

La cybersécurité franchit un nouveau cap avec l’avènement de la directive NIS 2, une avancée majeure du cadre juridique européen conçue pour relever les défis croissants en matière de sécurité des réseaux et des systèmes d’information.

Adoptée en décembre 2022, cette directive vient compléter et renforcer les mesures de sa prédécesseure, la directive NIS, dans le but de mieux protéger les secteurs essentiels et critiques contre les cybermenaces.

Lire la suite
Protection des données

Sécuriser ses projets d’IA : retours sur le Summit AWS Paris 2024

Le mercredi 3 avril a eu lieu l’AWS Summit Paris, événement organisé par AWS pour permettre à la communauté du cloud computing (utilisateurs et partenaires), de se connecter, collaborer et en savoir plus sur AWS et ses services. Les 3 grandes thématiques à l’honneur lors de cet événement étaient : le cloud, la data et … l’Intelligence Artificielle (IA) !

Lire la suite
Suivez-nous sur Linkedin

© Lovell Consulting 2024 – Tous droits réservés