En tant qu'administrateur, si vous pensez qu'un compte a été piraté ou est susceptible de l'être, sécurisez-le en vous aidant de la liste de contrôle ci-dessous. Aidez les utilisateurs concernés à suivre les conseils de sécurité Gmail.
Suivez la procédure de sécurité ci-dessous
Étape 1 : Suspendez temporairement le compte utilisateur susceptible d'avoir été piraté- Suspendez le compte utilisateur pour empêcher tout accès non autorisé.
Remarque : Si vous suspendez le compte d'un utilisateur, ses cookies de connexion et ses jetons OAuth sont réinitialisés.
- Examinez l'activité suspecte et restaurez le compte. Vous pouvez également envisager d'inscrire le domaine à la validation en deux étapes.
- Demandez à l'utilisateur concerné de vérifier son adresse de récupération et de suivre les conseils de sécurité de Gmail.
- Si l'utilisateur piraté est un administrateur, vérifiez dans les journaux d'audit qu'aucune modification de configuration n'a été récemment apportée. Si ce n'est pas le cas, ignorez cette étape.
- Contrôlez les appareils mobiles associés au compte concerné et effacez les données de ceux qui vous paraissent suspects.
- Vérifiez la présence d'activités suspectes :
- Consultez les événements de journaux des utilisateurs dans la console d'administration pour accéder à la liste des connexions Web réussies et manquées dans votre domaine, sur une période allant jusqu'à 6 mois. Les connexions suspectes sont marquées d'une icône d'avertissement. Vous pouvez également récupérer les connexions des comptes de domaine via l'API Reports.
- À l'aide de la recherche dans le journal des e-mails, consultez les journaux de distribution associés à vos domaines et évaluez le trafic des messages en provenance ou à destination des comptes piratés. Si le compte est géré par Vault, la recherche dans le journal des e-mails vous permet d'analyser l'activité des e-mails.
Remarque : Si vos utilisateurs passent à une édition qui comprend Vault, ils peuvent récupérer des e-mails ou des documents qui ont été définitivement supprimés. - À l'aide du rapport de sécurité, évaluez l'exposition du domaine aux risques de sécurité des données. Nous vous recommandons de consulter ces rapports :
- Événements de journaux OAuth
- Événements de journaux Groupes
- Événements de journaux Drive
Éditions compatibles avec cette fonctionnalité : Frontline Starter et Frontline Standard ; Business Starter, Business Standard et Business Plus ; Enterprise Standard et Enterprise Plus ; Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education Plus ; Essentials Starter, Essentials, Enterprise Essentials et Enterprise Essentials Plus ; G Suite Business. Comparer votre édition
- Événements de journaux Agenda
- Vérifiez qu'aucun paramètre malveillant n'a été créé. Vous pouvez récupérer les paramètres d'un compte utilisateur (paramètres de transfert, par exemple) via l'API Gmail. Si vous pensez qu'un compte grand-public@gmail.com a été utilisé lors de ce piratage, veuillez le signaler.
- Suivez la procédure Réinitialiser le mot de passe d'un utilisateur.
- Révoquez les jetons OAuth 2.0 du compte utilisateur concerné.
- Certaines applications utilisant l'authentification OAuth 2.0 ne pourront plus accéder aux données une fois que vous aurez réinitialisé le mot de passe d'un utilisateur. L'utilisateur devra se connecter avec le nom et le nouveau mot de passe de son compte pour recevoir un nouveau jeton OAuth 2.0.
- Supprimez les mots de passe d'application créés par l'utilisateur.
- Levez la suspension du compte.
- Communiquez le nouveau mot de passe temporaire à l'utilisateur et demandez-lui d'en définir un nouveau, unique. Ce mot de passe ne doit pas être déjà utilisé sur d'autres sites Web ou dans d'autres applications.
- Activez la validation en deux étapes au sein du domaine et fournissez aux utilisateurs des clés de sécurité U2F, préférables aux codes de validation en deux étapes.
- Aidez les utilisateurs concernés à suivre les conseils de sécurité Gmail. Assurez-vous par exemple que l'ensemble des filtres et des options de transfert d'un utilisateur final sont configurés de manière appropriée.
- Mettez à jour les options de récupération du compte.
- Vérifiez que le compte ne fait l'objet d'aucune activité inhabituelle.
- Vérifiez si certains messages sont manquants ou suspects.
- Vérifiez qu'aucune erreur ne figure dans vos contacts.
- Vérifiez vos paramètres Gmail.
Procédure de sécurité supplémentaire
Nous vous recommandons de prendre ces mesures supplémentaires pour garantir la sécurité des comptes de vos utilisateurs.
Étape 1 : Inscrivez-vous à la validation en deux étapes avec clés de sécuritéLa validation en deux étapes ajoute un niveau de sécurité supplémentaire aux comptes de vos utilisateurs. Les utilisateurs doivent en effet saisir un code de validation en complément de leur nom d'utilisateur et de leur mot de passe pour accéder à leur compte. Pour en savoir plus, consultez Ajouter la validation en deux étapes. Pour bénéficier d'une protection renforcée contre l'hameçonnage, nous recommandons d'utiliser des clés de sécurité plutôt que celle de codes de validation en deux étapes.
Pour savoir comment ajouter des adresses e-mail secondaires et des numéros de téléphone, consultez Ajouter des options de récupération à votre compte administrateur. Nous vous recommandons de sécuriser vos adresses e-mail secondaires en modifiant le mot de passe, voire l'adresse elle-même.
En tant qu'administrateur, vous pouvez décider de recevoir des alertes concernant l'activité des comptes quand des événements importants se produisent, par exemple des connexions suspectes ou des modifications de paramètres de service par d'autres administrateurs.
Vous pouvez consulter le Centre de sécurité de Google pour obtenir des recommandations générales sur la sécurisation de votre compte.