Connexions sécurisées : comment Google Meet protège vos visioconférences
Karthik Lakshminarayanan
Director, Product Management, Google Workspace
Smita Hashim
Director, Product Management, Hangouts Meet, Voice & Calendar
Résumé des principales mesures de protection de la confidentialité et fonctions de sécurité de Google Meet.
Essayer Google Workspace
Obtenez une adresse e-mail professionnelle, tout l'espace de stockage dont vous avez besoin, des fonctionnalités de visioconférence et bien plus encore.
EssayerPartout dans le monde, des entreprises, des écoles et des utilisateurs dépendent de G Suite pour rester connectés et mener à bien leurs tâches. Google conçoit, crée et exécute ses produits sur une base sécurisée, pensée pour contrer les attaques et pour offrir les fonctionnalités de protection qui garantissent la sécurité de vos données. G Suite et Google Meet ne font pas exception.
Les paramètres de sécurité de Google Meet sont activés par défaut. Ainsi, dans la majorité des cas, les organisations et les utilisateurs n'ont pas à intervenir pour mettre en place les mesures de protection nécessaires. Dans ce blog, nous récapitulons les principales fonctions de Google Meet qui contribuent à vous protéger.
Des fonctionnalités de protection proactives, conçues pour lutter contre les utilisations abusives et pour bloquer les tentatives de piratage
Google Meet met en œuvre tout un éventail de fonctionnalités de protection pour lutter contre les utilisations abusives et pour sécuriser vos réunions. Il offre entre autres des mesures de lutte contre le piratage des réunions sur le Web et des accès par téléphone.
Google Meet se protège contre les tentatives de programmation d'attaques par force brute sur les ID de réunion (lorsqu'un utilisateur malveillant tente de deviner l'ID et de rejoindre une réunion sans autorisation) en utilisant des codes comprenant 10 caractères tirés d'un jeu de 25 caractères. Nous ne permettons pas aux participants externes de rejoindre une réunion plus de 15 minutes à l'avance, de façon à réduire le délai pendant lequel une attaque par force brute est possible. Pour rejoindre une réunion, les participants externes doivent figurer dans l'invitation d'agenda ou avoir été invités par des participants internes au domaine. Si ce n'est pas le cas, ils doivent envoyer une demande de participation qui devra être acceptée par un membre de l'organisation hôte.
Par ailleurs, nous déployons plusieurs fonctionnalités conçues pour contribuer à sécuriser les réunions organisées par les établissements scolaires et pour améliorer les expériences d'apprentissage à distance, à la fois pour les enseignants et les élèves. Par exemple :
● Seuls le créateur de la réunion et le propriétaire de l'agenda peuvent couper le micro d'un participant ou l'exclure. De cette manière, aucun élève ne peut exclure un enseignant ou désactiver son micro lors d'une réunion.
● Seuls le créateur de la réunion et le propriétaire de l'agenda peuvent approuver les demandes de participation provenant d'utilisateurs externes. Cela signifie que les élèves ne peuvent pas autoriser des participants externes à rejoindre la réunion en visioconférence et que les participants externes ne peuvent pas la rejoindre avant l'enseignant.
● Les participants ne peuvent pas rejoindre une réunion associée à un alias après que le dernier participant a quitté cette réunion. Cela signifie que si l'enseignant est la dernière personne à quitter une réunion associée à un alias, les élèves ne peuvent plus la rejoindre en son absence.
Déploiement et contrôles d'accès sécurisés pour les administrateurs et les utilisateurs finaux
Pour réduire la surface d'attaque et éliminer la nécessité d'appliquer fréquemment des correctifs de sécurité, Google Meet fonctionne intégralement dans votre navigateur. Cela signifie également que vous n'avez pas à installer de plug-ins ni de logiciels supplémentaires si vous utilisez Chrome, Firefox, Safari ou Microsoft Edge. Sur un appareil mobile, nous vous recommandons d'installer l'application Google Meet.
Afin de garantir que seuls les utilisateurs autorisés peuvent accéder aux services Meet et les administrer, nous proposons plusieurs options de validation en deux étapes pour les comptes sécurisés qui s'y prêtent. Ces options comprennent les clés de sécurité matérielles et par téléphone ainsi que les invites Google. De plus, les utilisateurs de Google Meet peuvent inscrire leur compte à notre Programme Protection Avancée, qui offre les mesures de protection les plus sophistiquées de Google contre l'hameçonnage et le piratage de compte et qui s'adresse spécifiquement aux utilisateurs les plus exposés.
Nous proposons à nos clients G Suite Enterprise et G Suite for Education la fonctionnalité Access Transparency, qui enregistre tous les accès d'administrateurs Google aux enregistrements Google Meet stockés dans Drive, ainsi que la raison de ces accès (actions effectuées par l'équipe d'assistance sur votre demande, par exemple). Nos clients peuvent également utiliser la fonctionnalité Emplacements des données pour stocker les données couvertes des enregistrements Google Meet (ou celles de leur choix) dans des régions spécifiques (États-Unis ou Europe).
Une infrastructure sécurisée, conforme et fiable pour vos réunions
Dans Google Meet, toutes les données sont chiffrées par défaut lorsqu'elles transitent entre le client et Google lors d'une visioconférence sur un navigateur Web, via des applications Android et iOS, ou dans des salles de réunion via le matériel de salle de réunion Google. Meet respecte les normes de sécurité IETF pour les protocoles DTLS (Datagram Transport Layer Security) et SRTP (Secure Real-time Transport Protocol). Pour tous les utilisateurs et lors de chaque réunion, Meet génère une clé de chiffrement unique, valable uniquement le temps de l'événement. Cette clé n'est jamais stockée sur disque et est transmise via un appel de procédure à distance (RPC, remote procedure call) chiffré et sécurisé à l'étape de configuration de la réunion.
Chez Google, la sécurité fait partie intégrante de toutes les opérations. Notre équipe de professionnels de la sécurité et de la protection des données personnelles employés à plein temps assure l'ingénierie et l'exploitation des logiciels de manière à intégrer en permanence la sécurité dans la conception et l'exécution des services. Tous nos clients Google Cloud et G Suite bénéficient de ces fonctionnalités, parmi lesquelles les suivantes :
● Infrastructure basée sur une conception sécurisée : Google Meet exploite l'approche de défense renforcée de Google Cloud, qui se sert des protections intégrées et du réseau mondial privé utilisé par Google pour sécuriser vos informations et protéger votre vie privée.
● Certifications de conformité : les paramètres de sécurité, de confidentialité et de conformité des produits Google Cloud, y compris Google Meet, font régulièrement l'objet de contrôles indépendants, afin de vérifier leur validité au regard de normes telles que SOC, ISO/CEI 27001/17/18, HITRUST et FedRAMP. Nous respectons vos exigences de conformité avec les réglementations, comme le RGPD et l'HIPAA, ainsi que les lois COPPA et FERPA pour le secteur éducatif.
● Gestion des incidents : nous appliquons un processus rigoureux pour gérer les incidents touchant les données et la sécurité. Il précise les mesures à prendre et comment transmettre, atténuer, résoudre et signaler les éventuels incidents ayant un impact sur les données client.
● Fiabilité : le réseau Google est conçu pour répondre à des pics d'utilisation et s'adapter à une augmentation de la demande. Sa résilience nous permet de répondre à la hausse de l'activité enregistrée sur Google Meet.
● Transparence : les engagements de Google Cloud s'agissant des données des clients sont clairs : nous les traitons selon vos instructions. Nous n'utilisons en aucun cas les données client à des fins publicitaires et nous publions l'emplacement des centres de données Google, qui offrent un haut niveau de disponibilité, de fiabilité et de sécurité.