Sécurité et confiance dans Google Workspace
La protection de vos données est au cœur de nos préoccupations.
La protection de vos données est au cœur de nos préoccupations.
L'aventure Google est née et se poursuit dans le cloud. C'est pourquoi nous connaissons parfaitement les implications en matière de sécurité liées à l'exploitation du cloud dans vos activités. Notre entreprise et nos services dédiés aux grandes entreprises utilisent la même infrastructure : votre organisation bénéficiera donc des protections que nous avons mises en place et dont nous profitons quotidiennement. La robustesse de notre infrastructure mondiale, alliée à l'expertise de nos équipes chargées de la sécurité et à notre passion de l'innovation, nous permet de rester à l'avant-garde et d'offrir un environnement hautement sécurisé, fiable et conforme.
Google apporte un savoir et une expertise de premier plan en matière de création d'infrastructures et d'applications cloud sécurisées et évolutives. Nous ne sommes pas les seuls fournisseurs à pouvoir avancer de tels résultats. En revanche, nous sommes persuadés que les actions en matière de sécurité et de confidentialité ne doivent pas avoir lieu en coulisses, mais doivent être visibles et comprises par nos clients.
Chez Google, tous nos collaborateurs sont tenus de "faire passer la sécurité en premier". Google emploie à plein temps de nombreux professionnels de la sécurité et de la protection des données personnelles, dont certains des meilleurs experts mondiaux en matière de sécurité des informations, des applications et des réseaux. Pour garantir la protection de Google, nous veillons à la sécurité à tous les stades de notre processus de développement logiciel. Des professionnels de la sécurité analysent les architectures proposées et procèdent à des examens de code afin de détecter les vulnérabilités éventuelles en matière de sécurité. Ils peuvent ainsi mieux comprendre les différents modèles d'attaque possibles pour un nouveau produit ou une nouvelle fonctionnalité. Lorsque de tels cas se présentent, l'équipe Google Workspace de gestion des incidents fait en sorte de résoudre les problèmes en perturbant le moins possible les services des clients, grâce à un processus de traitement (prise en charge, analyse et correction) très rapide.
Les activités de recherche et de sensibilisation de Google contribuent à la protection de la communauté des internautes tout entière, pas seulement aux utilisateurs qui ont choisi nos solutions. Notre équipe connue sous le nom de Project Zero s'attache à plein temps à traquer les vulnérabilités à forte incidence dans les produits d'utilisation courante proposés par Google et d'autres fournisseurs. Nous nous engageons à travailler en toute transparence et à signaler les bugs directement aux fournisseurs des logiciels, sans impliquer de tiers.
La sécurité a toujours été l'un des objectifs prioritaires de Google. Voici quelques exemples de la manière dont nous avons contribué à repousser les limites dans ce domaine :
Google est le premier grand fournisseur de services cloud à avoir mis en œuvre une confidentialité persistante totale, laquelle consiste à chiffrer les contenus transférés entre nos serveurs et ceux d'autres sociétés. Selon le principe de la confidentialité persistante totale, les clés privées utilisées pour une connexion sont éphémères, empêchant ainsi tout déchiffrage rétroactif des sessions HTTPS par une personne mal intentionnée, ou même par l'opérateur du serveur. De nombreux concurrents nous ont emboîté le pas ou se sont engagés à le faire prochainement.
Absolument tous les e-mails que vous envoyez ou recevez sont chiffrés durant leur transfert entre les centres de données de Google. Ainsi, vos messages sont protégés non seulement lorsque vous les envoyez aux serveurs Gmail, mais aussi quand ils sont transférés en interne au sein de Google. Nous avons également été les premiers à informer les utilisateurs lorsque leurs e-mails étaient envoyés de manière non sécurisée entre différents fournisseurs, et ce grâce à la mise en place de notre indicateur TLS.
En 2013, pour se prémunir contre les progrès de l'analyse cryptographique, Google a décidé d'utiliser une clé de chiffrement RSA de 2 048 bits, soit deux fois plus longue qu'auparavant, et de la modifier à intervalles réguliers de quelques semaines, relevant ainsi la barre pour tout le reste du secteur.
Google Workspace offre aux administrateurs le contrôle de l'entreprise sur la configuration du système et les paramètres de l'application, le tout dans un tableau de bord que vous pouvez utiliser pour simplifier l'authentification, la protection des ressources et le contrôle opérationnel. Utilisez les fonctionnalités Cloud Identity intégrées pour gérer les utilisateurs et appliquer l'authentification multifacteur et les clés de sécurité pour bénéficier d'une protection accrue. Vous pouvez choisir l'édition Google Workspace qui répond le mieux aux besoins de votre entreprise en matière de sécurité.
La validation en deux étapes, qui consiste à demander aux utilisateurs une preuve d'identité supplémentaire lors de la connexion, réduit considérablement le risque d'accès non autorisé. Notre politique d'application d'une clé de sécurité exigeant la fourniture d'une clé physique renforce encore la sécurité des comptes utilisateur. Cette clé envoie une signature chiffrée et fonctionne uniquement avec les sites auxquels elle est destinée, contribuant ainsi à la protection contre l'hameçonnage. Les administrateurs Google Workspace peuvent facilement déployer, surveiller et gérer les clés de sécurité à grande échelle depuis la console d'administration, sans avoir à installer de logiciel supplémentaire.
Nous utilisons nos capacités robustes d'apprentissage automatique pour aider à détecter les connexions suspectes. Lorsque nous découvrons une connexion suspecte, nous en informons les administrateurs pour qu'ils puissent s'assurer que les comptes sont sécurisés.
Avec une assistance pour la connexion unique (SSO), Google Workspace permet un accès unifié aux autres applications d'entreprise dans le nuage. Notre service de gestion des identités et des accès permet aux administrateurs de gérer l'accès à tous les authentifiants des utilisateurs et aux applications dans le nuage au même endroit.
Google Workspace permet aux administrateurs de définir des règles personnalisées exigeant la signature et le chiffrement des courriels à l'aide de Secure/Multipurpose Internet Mail Extensions (S/MIME). Ces règles peuvent être configurées pour appliquer S/MIME lorsqu'un contenu précis est détecté dans les courriels.
Basé sur le modèle de sécurité zéro confiance et la mise en œuvre de BeyondCorp de Google, l'accès sensible au contexte vous permet de fournir un accès sécurisé à vos utilisateurs, tout en maintenant leur productivité. Il applique des contrôles détaillés et utilise une plateforme unique pour vos applications et vos ressources d'infrastructure dans le nuage et sur site. Avec l'accès sensible au contexte, vous pouvez appliquer les contrôles d'accès détaillés pour les applications Google Workspace en fonction de l'identité d'un utilisateur et du contexte de la demande.
Le programme de protection avancée de Google est notre meilleure protection pour les utilisateurs exposés à des attaques en ligne ciblées. Avec le programme de protection avancée pour les entreprises, nous appliquerons un ensemble de politiques fortes en matière de sécurité des comptes soigneusement sélectionnées pour les utilisateurs inscrits. Cet ensemble comprend des clés de sécurité, le blocage de l'accès à des applications non fiables et un balayage amélioré pour les menaces par courriel.
Les administrateurs Google Workspace peuvent configurer une politique de prévention de la perte de données (PPD) afin de protéger l'information confidentielle dans Gmail et dans Disque. Nous fournissons une bibliothèque de détecteurs de contenu prédéfinis pour faciliter la configuration. Une fois que la politique PPD est en place, Gmail peut, par exemple, vérifier automatiquement qu'aucun courriel sortant ne contient d'information confidentielle et agir automatiquement pour éviter les fuites de données : en mettant le courriel en quarantaine jusqu'à ce qu'il soit vérifié, en demandant aux utilisateurs de modifier l'information ou en bloquant le courriel pour l'empêcher d'être envoyé et en informant l'expéditeur. Avec des règles faciles à configurer et la reconnaissance optique des caractères (OCR) du contenu stocké dans les images, la PPD pour Disque permet aux administrateurs d'effectuer facilement un audit des fichiers comprenant du contenu sensible et de configurer des règles qui avertissent et empêchent les utilisateurs de partager des renseignements confidentiels en externe. Apprenez-en plus dans notre document de présentation sur la PPD.
L'apprentissage automatique a aidé Gmail à atteindre un degré de précision de 99,9 % pour la détection de pourriel et à bloquer les messages de pourriel et d'hameçonnage sournois, c'est-à-dire ceux qui ressemblent vraiment à du courriel désiré. Moins de 0,1 % des courriels dans une boîte de réception Gmail quelconque est du pourriel, et les erreurs de filtrage du courriel vers le dossier de pourriel sont encore plus rares (moins de 0,05 %).
Pour aider à éviter les logiciels malveillants, Google analyse automatiquement chaque pièce jointe pour s'assurer qu'il n'y a pas de virus, grâce à plusieurs moteurs, avant que l'utilisateur les télécharge. Gmail vérifie même la présence de virus dans les pièces jointes en attente d'être traitées. Cela permet d'aider à protéger tous les utilisateurs de Gmail et d'empêcher la propagation des virus. Les pièces jointes dans certains formats, notamment .ADE, .ADP, .BAT, .CHM, .CMD, .COM, .CPL, .EXE, .HTA, .INS, .ISP, .JAR, .JS, .JSE, .LIB, .LNK, .MDE, .MSC, .MSI, .MSP, .MST, .NSH .PIF, .SCR, .SCT, .SHB, .SYS, .VB, .VBE, .VBS, .VXD, .WSC, .WSF et .WSH, sont automatiquement bloquées, même si elle sont incluses dans un fichier compressé.
Google Workspace utilise amplement l'apprentissage automatique pour protéger les utilisateurs des attaques d'hameçonnage. Nos modèles d'apprentissage effectuent des analyses de similarités entre les sites d'hameçonnage précédemment classés et les nouvelles adresses URL non reconnues. Lorsque nous trouvons de nouveaux schémas, nous nous adaptons plus rapidement que les systèmes manuels. Google Workspace permet également aux administrateurs d'appliquer l'utilisation des clés de sécurité, ce qui rend impossible l'utilisation d'authentifiants liés à des attaques d'hameçonnage.
Pour aider à prévenir tout abus de votre marque dans les attaques d'hameçonnage, Google Workspace suit la norme DMARC, qui permet aux propriétaires de domaine de décider de la façon dont Gmail et les autres fournisseurs de messagerie participants doivent gérer les courriels non authentifiés provenant de votre domaine. En définissant une politique, vous pouvez aider à protéger les utilisateurs et la réputation de votre organisation.
La gestion des points d'extrémité de Google Workspace totalement intégrée offre une surveillance continue du système et émet des alertes en cas d'activité suspecte sur les appareils. Les administrateurs peuvent appliquer les politiques des points d'extrémité, chiffrer des données sur les appareils, verrouiller les appareils mobiles perdus ou volés et effacer à distance les appareils.
Le centre de sécurité pour Google Workspace fournit un affichage unique et complet de l'état de la sécurité de votre déploiement Google Workspace. Il regroupe les analyses de sécurité, les recommandations et les recours intégrés qui vous permettent de protéger les données, les appareils et les utilisateurs de votre organisation.
Avec nos contrôles d'authentification, les administrateurs disposent d'une visibilité et d'un contrôle sur les applications tierces en tirant parti d'OAuth pour l'authentification et l'accès aux données de l'entreprise. L'accès à OAuth peut être désactivé à un niveau détaillé et les applications tierces approuvées peuvent être ajoutées à la liste blanche.
Pour aider les administrateurs à garder le contrôle sur les données sensibles, nous proposons la gestion des droits relatifs à l'information (IRM) dans Disque. Les administrateurs et les utilisateurs peuvent désactiver le téléchargement, l'impression et la copie de fichiers à partir du menu de partage avancé, et définir des dates d'expiration pour l'accès aux fichiers.
Le centre d'alerte pour Google Workspace offre aux administrateurs une nouvelle façon d'afficher les notifications, les alertes et les actions essentielles dans Google Workspace. Les statistiques concernant ces alertes potentielles peuvent aider les administrateurs à évaluer l'exposition de leur organisation aux problèmes de sécurité. Le recours intégré avec le centre de sécurité offre un moyen simplifié de résoudre ces problèmes.
De nombreuses organisations tirent parti de la puissance de nos centres de données distribués pour optimiser les avantages critiques, comme la latence minimale et la redondance géographique robuste. Cependant pour les organisations qui disposent d'exigences de contrôle rigoureuses, les régions de données pour Google Workspace vous permettent de choisir l'endroit où stocker de manière stationnaire certaines données couvertes, que ce soit aux États-Unis, en Europe ou à l'international.
Google a conçu Google Workspace de sorte à respecter des normes rigoureuses en matière de confidentialité et de sécurité fondées sur les pratiques exemplaires de l'industrie. En plus de solides engagements contractuels en matière de propriété des données, d'utilisation des données, de sécurité, de transparence et de responsabilité, nous vous fournissons les outils dont vous avez besoin pour vous aider à respecter vos exigences de conformité et de rapport.
Les clients de Google et les autorités de réglementation s'attendent à ce que nos contrôles de sécurité, de confidentialité et de conformité soient soumis à des vérifications indépendantes. Afin de répondre à cette exigence, nous subissons régulièrement plusieurs vérifications menées par des tiers indépendants.
ISO/IEC 27001 est l'une des normes de sécurité indépendantes les plus reconnues et acceptées. Google a obtenu la certification ISO/IEC 27001 relative aux systèmes, à la technologie, aux processus et aux centres de données qui exécutent Google Workspace. Consultez notre certificat ISO/IEC 27001.
ISO/IEC 27017 est une norme de pratique internationale pour les contrôles de sécurité de l'information basée sur ISO/IEC 27002 et conçue spécialement pour les services infonuagiques. Notre conformité à la norme internationale a été certifiée par Ernst & Young CertifyPoint, un organisme de certification ISO accrédité par le Dutch Accreditation Council (membre de l'International Accreditation Forum ou IAF). Consultez notre certificat ISO/IEC 27017.
La conformité de Google Workspace à la norme ISO/IEC 27018:2014 affirme notre engagement à respecter les normes internationales en matière de confidentialité et de protection des données. Les directives de la norme ISO/IEC 27018 prévoient notamment de ne pas utiliser vos données à des fins publicitaires, de s'assurer que vos données présentes dans les services Google Workspace demeurent les vôtres, de vous fournir des outils destinés à la suppression et à l'exportation de vos données, de protéger vos renseignements contre les demandes de tiers et de faire preuve de transparence en ce qui concerne les lieux de stockage de vos données. Consultez notre certificat ISO/IEC 27018.
Les cadres d'audit SOC (Service Organization Controls) 2 et SOC 3 de l'institut des experts-comptables américains AICPA (American Institute of Certified Public Accountants) reposent sur les principes et critères de confiance en matière de sécurité, de disponibilité des services, d'intégrité du traitement des données et de confidentialité. Google est conforme à la fois aux normes SOC 2 et SOC 3. Téléchargez notre rapport SOC 3.
Les produits Google Workspace sont conformes aux exigences du programme américain FedRAMP (Federal Risk and Authorization Management Program). FedRAMP est la norme de sécurité infonuagique du gouvernement des États-Unis. L'utilisation de Google Workspace par les agences fédérales est autorisée pour les données classifiées à un niveau d'impact « Modéré », ce qui peut inclure des données personnelles et des renseignements non classifiés contrôlés. Google Workspace a été jugé adéquat pour une utilisation avec des renseignements « OFFICIELS » (notamment de l'information « CONFIDENTIELLE ET OFFICIELLE ») conformément aux principes de sécurité du Royaume-Uni. Pour en savoir plus sur la conformité du produit et des services, visitez la page FedRAMP concernant les services Google.
Les clients de Google Workspace qui doivent respecter la norme PCI DSS (Payment Card Industry Data Security Standard) peuvent mettre en place une politique de prévention de la perte de données (PPD) qui empêche l'envoi de courriels contenant des renseignements de carte de paiement à partir de Google Workspace. Pour Google Disque, Vault peut être configuré pour exécuter des vérifications et s'assurer qu'aucune donnée de titulaire de carte n'est stockée.
Le FISC (Center for Financial Industry Information Systems) est une fondation d'intérêt public juridiquement constituée, chargée de mener des recherches sur la technologie, l'utilisation, le contrôle et la menace/défense en lien avec les systèmes de renseignements financiers au Japon. L'un des documents clés créés par l'organisation s'intitule « Directives de sécurité du FISC sur les systèmes informatiques destinés aux banques et aux institutions financières apparentées » et décrit les contrôles relatifs aux installations, aux opérations et à l'infrastructure technique. Google a mis au point un guide pour aider les clients à comprendre comment l'environnement de contrôle de Google se conforme aux directives du FISC. La plupart des contrôles décrits dans notre guide font partie de nos programmes de conformité vérifiés par des tiers, notamment les certifications ISO/IEC 27001, ISO/IEC 27017 et ISO/IEC 27018. Consultez notre réponse aux contrôles du FISC. Pour en savoir plus, veuillez communiquer avec le service des ventes.
Le système d'accréditation ENS (Esquema Nacional de Seguridad) pour l'Espagne a été mis au point par La Entidad Nacional de Acreditación (ENAC) en étroite collaboration avec le ministère des Finances et de l'Administration publique et le Centre national de cryptologie (CCN). L'ENS a été créé dans le cadre du décret royal 3/2010 (modifié par le décret 951/2015) et sert à établir les principes et les exigences pour la protection adéquate des renseignements des entités du secteur public espagnol. Google Cloud (GCP et Google Workspace) a satisfait aux exigences de conformité de l'ENS au niveau « Élevé ».
Google Workspace aide ses clients à se conformer à la loi américaine HIPAA (Health Insurance Portability and Accountability Act), qui régit la protection, l'utilisation et la divulgation des renseignements protégés sur la santé (RPS). Les clients qui sont soumis à la loi HIPAA et souhaitent utiliser Google Workspace pour le traitement ou le stockage de RPS peuvent signer un avenant à l'accord de partenariat avec Google. Apprenez-en davantage sur la conformité à la loi HIPAA avec Google Workspace.
Google Workspace respecte les recommandations du groupe de travail pour l'article 29 sur la protection des données et veille au respect des clauses contractuelles types de l'UE, conformément à notre Addenda relatif au traitement des données dans le nuage, à notre divulgation des sous-traitants et à nos clauses contractuelles types de l'UE. Google respecte également le bouclier de protection des données et permet la portabilité des données grâce à laquelle les administrateurs peuvent exporter des données dans des formats standards sans frais supplémentaires.
Chez Google Workspace, nous soutenons les initiatives qui accordent la priorité à la sécurité et à la confidentialité des données des utilisateurs, et qui les renforcent. Nous avons mis à jour notre Addenda relatif au traitement de données dans le nuage pour garantir aux clients Google Workspace qu'ils peuvent utiliser nos services en toute confiance maintenant que le RGPD est en vigueur. Nous avons également mis en place des politiques, des processus et des contrôles rigoureux dans notre Addenda relatif au traitement de données dans le nuage et nos clauses contractuelles types. Dans ces contrats, nous nous sommes engagés à respecter les obligations nous concernant dans le cadre du RGPD par rapport au traitement que nous effectuons au nom de nos clients, et nous avons travaillé en étroite collaboration avec les autorités européennes de protection des données pour répondre à leurs attentes. Apprenez-en plus.
Des millions d'étudiants utilisent G Suite for Education. Les services de G Suite for Education sont conformes à la loi américaine FERPA (Family Educational Rights and Privacy Act). Notre engagement en faveur de cette conformité est inclus dans nos contrats.
La protection des enfants en ligne est importante à nos yeux. Nous exigeons par contrat que les écoles qui utilisent G Suite for Education obtiennent le consentement parental qui est requis par la loi américaine COPPA de 1998 (Children's Online Privacy Protection Act), et nos services peuvent être utilisés conformément à la loi COPPA.
Google fournit des fonctionnalités de produits et des engagements contractuels visant à faciliter la conformité des clients avec la loi sud-africaine POPI (Protection of Personal Information Act). Les clients qui sont soumis à la loi POPI peuvent définir la façon dont leurs données sont stockées, traitées et protégées en signant un Addenda relatif au traitement des données dans le nuage.
Vault vous permet de conserver, de rechercher et d'exporter les données de votre organisation à partir d'applications Google Workspace sélectionnées. Vault est entièrement basé sur le Web, il n'est donc pas nécessaire d'installer ni de garder des logiciels supplémentaires.
Vault vous permet d'exporter des données d'applications Google Workspace sélectionnées dans des formats standards aux fins de traitement et de vérification supplémentaires, le tout dans le respect des normes légales, tout en observant les directives en matière de chaîne de contrôle.
Les outils de surveillance de Google Workspace permettent aux administrateurs d'analyser les courriels à la recherche de schémas alphanumériques et de contenu inacceptable. Les administrateurs peuvent créer des règles soit pour refuser les courriels correspondant à leur recherche avant qu'ils n'atteignent les destinataires prévus, soit pour les distribuer avec des modifications.
Des rapports interactifs simples vous aident à évaluer l'exposition de votre organisation aux problèmes de sécurité au niveau du domaine et de l'utilisateur. La possibilité d'extension avec une collection d'interfaces de programmation d'applications (API) vous permet de créer des outils de sécurité personnalisés pour votre propre environnement. Grâce aux statistiques indiquant la manière dont les utilisateurs partagent les données, les applications tierces qui sont installées et si des mesures de sécurité appropriées, telles que la validation en deux étapes, sont en place, vous pouvez améliorer l'état de la sécurité de votre organisation.
Google Workspace permet aux administrateurs de suivre les actions des utilisateurs et de configurer des alertes personnalisées dans Google Workspace. Ce suivi s'étend aux autorisations de la console d'administration, de Gmail, de Google Disque, de Google Agenda, de Google Groupes, et des applications mobiles et tierces. Par exemple, si un fichier marqué est téléchargé ou si un fichier contenant le mot « confidentiel » est partagé en dehors de l'organisation, les administrateurs peuvent en être informés.
Grâce à BigQuery, l'entrepôt de données d'entreprise de Google pour l'analyse de données à grande échelle, vous pouvez analyser les journaux Gmail à l'aide de requêtes personnalisées sophistiquées et performantes, et utiliser des outils tiers pour une analyse plus approfondie.
La transparence est inscrite dans l'ADN de Google. Nous travaillons dur pour gagner et conserver la confiance de nos clients grâce à la transparence. Seul le client est propriétaire de ses données. Google ne vend pas vos données à des tiers. Il n'y a aucune publicité dans Google Workspace, et nous ne nous servons jamais des services Google Workspace pour collecter ou utiliser des données à des fins publicitaires.
Les données des services Google Workspace ne sont ni collectées, ni analysées, ni utilisées à des fins publicitaires, et aucune annonce n'y est diffusée. Nous utilisons vos données pour vous fournir les services Google Workspace, ainsi que pour assurer des fonctions système comme le filtrage antipourriel, la détection des virus, le correcteur orthographique, la gestion des ressources, le routage du trafic, et la recherche dans les courriels et les fichiers d'un compte individuel.
Les données que les entreprises, les établissements d'enseignement et les organismes gouvernementaux placent dans Google Workspace n'appartiennent pas à Google. Qu'elles relèvent de la propriété intellectuelle d'une entreprise, ou qu'il s'agisse de renseignements personnels ou de devoirs scolaires, elles ne sont pas la propriété de Google, et nous ne les vendons pas à des tiers.
Transparence d'accès soutient notre engagement en faveur de la confiance de nos clients en vous fournissant des journaux détaillés des actions entreprises par le personnel de Google et la raison de chaque accès, y compris des références à des dossiers d'incident précis, le cas échéant.
Google Workspace offre une accessibilité garantie à 99,9 % par son contrat de niveau de service. En outre, nous ne planifions aucun temps d'arrêt ni aucune fenêtre de maintenance pour Google Workspace. Contrairement à la plupart des fournisseurs, nous faisons en sorte que vos applications soient toujours accessibles, même quand nous procédons à des mises à niveau ou à une maintenance de nos systèmes.
Nous nous engageons à vous fournir des renseignements sur nos systèmes et nos processus, qu'il s'agisse d'une synthèse des performances en temps réel, des résultats d'un audit de la gestion des données ou de l'emplacement de nos centres de données. Ce sont vos données, et nous nous engageons à ce que vous en conserviez le contrôle. Vous pouvez les supprimer ou les exporter à tout moment. Nous publions régulièrement des rapports Transparence détaillant l'influence des administrations et d'autres intervenants sur votre sécurité et votre vie privée en ligne. Nous considérons que vous êtes en droit d'avoir connaissance de ces renseignements, et nous sommes engagés, depuis longtemps, à vous tenir informé et à défendre vos droits.