Informations à l'intention des administrateurs concernant la sécurité et la confidentialité

Parmi les types de questions que nous recevons au sujet de Google en général et de Google Apps en particulier, les deux plus fréquents concernent la sécurité et la confidentialité. Nous attachons une grande importance à ces sujets et sommes convaincus que nos offres sont fiables sur ces deux plans. Notre activité repose sur la confiance que nos utilisateurs nous accordent quant à la sécurité de leurs données et la confidentialité des informations qu'ils placent sur nos systèmes. Ces données ne sont pas communiquées à des tiers et sont utilisées de manière appropriée.

Pour en savoir plus sur le positionnement de Google vis-à-vis de la fiabilité, de la confidentialité et de la sécurité, consultez la page d'aide décrivant la manière dont Google traite vos données.

Nous avons créé cette FAQ pour répondre à certaines des questions que vous êtes susceptible de vous poser en tant qu'administrateur Google Apps.

Confidentialité

Parmi mes utilisateurs, lesquels peuvent obtenir l'autorisation d'accéder à mon compte administrateur Google Apps ?

Seuls le propriétaire et les gestionnaires du nom de domaine peuvent créer un compte administrateur Google Apps. Au cours de l'inscription, un administrateur Google Apps est invité à prouver que le domaine est bien sous son contrôle en apportant une modification aux enregistrements DNS. Sans cette vérification, Google n'autorise pas l'ouverture d'un compte administrateur. De plus, il est impossible de gérer activement les services Google tant que la propriété du domaine n'a pas été validée.

Une fois qu'un administrateur a validé la propriété du domaine, les administrateurs désignés peuvent, à leur seule discrétion, attribuer des droits d'administrateur à d'autres utilisateurs au sein du compte.

Les utilisateurs du domaine qui ne sont pas administrateurs peuvent, quant à eux, contacter l'équipe d'assistance Google Apps pour demander un accès en tant qu'administrateur. Dans ce cas, nous appliquons la procédure habituelle de validation du domaine, afin de nous assurer que le demandeur dispose effectivement de droits de gestion sur ce domaine.

Notez enfin qu'une personne ayant accès à l'adresse e-mail secondaire que vous avez enregistrée peut réinitialiser le mot de passe et accéder au compte administrateur principal.

Parmi mes utilisateurs finaux, lesquels peuvent accéder aux comptes d'autres utilisateurs finaux ?

Conformément au contrat client de votre domaine, les administrateurs Google Apps de ce dernier peuvent accéder à l'ensemble des comptes utilisateur final et aux données associées, comme indiqué dans les Règles de confidentialité.

En tant qu'administrateur, vous contrôlez tous les noms d'utilisateur et mots de passe de votre domaine. Vous pouvez accéder aux comptes de vos utilisateurs conformément aux dispositions du contrat client. Nous exigeons toutefois que vous mettiez à la disposition de vos utilisateurs finaux un document expliquant votre politique en la matière.

Sécurité

En quoi l'audit SOC 2/3 de Google Apps est-il important pour moi ?

Dans son rapport d'audit SOC 2/3, l'auditeur tiers externe a émis un avis "sans faute" pour Google Apps. Nous sommes fiers de pouvoir permettre aux administrateurs de Google Apps de travailler l'esprit tranquille, avec la certitude que leurs données bénéficient d'une sécurité conforme à la norme SOC 2/3.

L'auditeur a vérifié que Google Apps disposait bien des processus de contrôle et protocoles suivants :

  • Sécurité logique : les contrôles garantissent de manière raisonnable que l'accès logique aux systèmes de production et aux données de Google Apps est réservé aux seules personnes autorisées.
  • Confidentialité : les contrôles garantissent de manière raisonnable que Google a mis en place des règles et des procédures visant à assurer la confidentialité des données des clients dans Google Apps.
  • Sécurité physique des centres de données : les contrôles garantissent de manière raisonnable que les centres de données hébergeant les données de Google Apps et les bureaux de l'entreprise sont protégés.
  • Disponibilité et gestion des incidents : les contrôles permettent de garantir de manière raisonnable que les systèmes Google Apps sont redondants et que les incidents sont correctement signalés, traités et consignés.
  • Gestion des changements : les contrôles garantissent de manière raisonnable que le développement de Google Apps et les modifications qui lui sont apportées donnent lieu à des tests et à un examen indépendant du code avant toute exploitation.
  • Organisation et administration : les contrôles garantissent de manière raisonnable que la direction fournit l'infrastructure et les moyens nécessaires pour suivre et faire connaître les travaux entrepris au sein de la société et ayant un impact sur Google Apps.
Mon organisation peut-elle utiliser son propre système d'authentification pour l'accès de ses utilisateurs à Google Apps ?
Le système de sécurité des comptes Google est simple à utiliser : les employés peuvent accéder en toute sécurité, via le dispositif d'authentification unique, à de nombreuses applications Saas et à leurs propres applications, sur ordinateur comme sur appareil mobile. La compatibilité avec le fournisseur d'identité OpenID Connect (OIDC) peut être utilisée avec de nombreuses applications SaaS de Google Apps Marketplace. En outre, la compatibilité SAML 2.0 (Security Assertion Markup Language) est assurée pour plus de 15 fournisseurs SaaS reconnus. Nous permettons également aux administrateurs d'ajouter facilement de nouvelles intégrations d'applications SAML personnalisées. Les organisations peuvent procéder à l'intégration elles-mêmes ou s'adresser à un partenaire Google.
Comment les mots de passe Google sont-ils générés pour les comptes utilisateur Google Apps ?

Pour générer les mots de passe des nouveaux comptes utilisateur, Google utilise un format composé de symboles, de lettres majuscules et minuscules et de chiffres. La longueur du mot de passe sera supérieure au minimum requis (8 caractères), ou à la longueur minimale du mot de passe que vous avez définie pour votre domaine si celle-ci est plus longue.

Un administrateur/utilisateur final a supprimé plusieurs e-mails, comment puis-je les récupérer ?

Lorsqu'un administrateur ou un utilisateur final supprime des données Google Apps, nous les supprimons conformément à votre contrat client et à nos Règles de confidentialité.

Il est impossible de récupérer les données d'un compte utilisateur supprimé par un administrateur. Pour connaître les bonnes pratiques de suppression de comptes utilisateur, consultez le Centre d'aide.

Si vous avez besoin de récupérer des e-mails, nous pouvons vous proposer d'autres produits d'archivage en complément des éditions Google Apps for Work, Google Apps for Government ou Google Apps for Education. Si vous recherchez une solution de récupération de données autres que des e-mails, consultez Google Apps Marketplace afin de trouver, parmi les solutions proposées par nos partenaires, celle qui convient à vos besoins.

Dans la mesure où les données de mon organisation cohabitent avec celles d'autres clients de Google sur les mêmes serveurs, sont-elles en sécurité?

Oui. Vos données sont littéralement protégées comme si elles résidaient sur un serveur dédié. Les personnes non autorisées n'y ont pas accès. Vos concurrents ne peuvent pas consulter vos données, et vice-versa. En fait, tous les comptes utilisateur sont protégés par ce verrou virtuel qui permet de s'assurer qu'aucun utilisateur ne peut accéder aux données d'un autre. Cette approche est similaire à la segmentation des données client dans d'autres infrastructures partagées, telles que les applications de banque en ligne.

Google Apps a obtenu un résultat d'audit SOC 2/3 satisfaisant. Cela signifie qu'un auditeur externe a passé au crible les processus de protection des données utilisés par Google Apps (y compris la sécurité logique, la confidentialité, la sécurité des centres de données, etc.) et a fourni une assurance raisonnable quant à leur existence et à l'efficacité de leur fonctionnement.

 

Je suis invité à me connecter via une autre page. Pourquoi ?

Dans le cadre de la protection contre l'usurpation d'identité, nous interdisons aux pages Web non Google et non autorisées d'enregistrer votre nom d'utilisateur et votre mot de passe Google. Si tel n'était pas le cas, tout site Web désireux d'exploiter votre mot de passe à des fins malhonnêtes pourrait alors revêtir plus facilement l'apparence d'un site connu. Cette forme de fraude est désignée par le terme phishing.

En cas de doute, vérifiez l'adresse Internet qui s'affiche dans la barre d'adresses de votre navigateur. Si elle ne correspond pas à un site Web Google, ne saisissez pas votre nom d'utilisateur ni votre mot de passe Google.

La fonctionnalité d'authentification unique proposée dans Google Apps for Work fait exception à cette règle. Les administrateurs peuvent intégrer les services Google dans des pages Web existantes, afin d'améliorer le service proposé aux utilisateurs. En savoir plus

Phishing

Les spammeurs parviennent parfois à falsifier l'adresse de l'expéditeur d'un e-mail qui semble ainsi provenir du domaine d'une organisation respectable.

Connue sur le nom de phishing, cette pratique est souvent utilisée dans le but de recueillir des données sensibles. Pour aider à la prévention de ce fléau, Google participe au programme DMARC. Ce programme permet aux propriétaires de domaines de fournir aux fournisseurs de messageries des instructions sur la manière de traiter les messages non authentifiés de leur domaine. Les clients Google Apps peuvent mettre en œuvre ce programme en créant un enregistrement DMARC dans leurs paramètres d'administrateur, puis en implémentant un enregistrement SPF et des clés DKIM sur tous les flux de messagerie sortants.

Comment Google traite-t-elle les utilisateurs qui envoient du spam à partir de mon domaine ?

Si nous constatons qu'un utilisateur de la messagerie Google Apps envoie du spam, nous nous réservons le droit de suspendre immédiatement son compte. Si le spam concerne l'ensemble du domaine, nous nous réservons le droit de suspendre la totalité du compte et d'interdire à l'administrateur l'accès à tous les services Google Apps. Cette mesure est prévue dans la Politique d'utilisation autorisée de Google Apps.

Toute atteinte à ces règles en matière de spam sera notifiée à l'adresse e-mail secondaire enregistrée.

Un abus à signaler ? Merci de consulter notre page Signaler des utilisations abusives.
Mon organisation peut-elle utiliser son propre système d'authentification pour l'accès de ses utilisateurs à Google Apps ?

Google Apps s'intègre aux systèmes Web standards d'authentification unique par le biais de la norme SAML 2.0. Les organisations peuvent procéder à l'intégration elles-mêmes ou s'adresser à un partenaire Google.

  Pourquoi les jetons OAuth d'une application sont-ils révoqués suite à la modification du mot de passe d'un utilisateur final ?

Pour accroître la sécurité des comptes utilisateur Google Apps, les jetons OAuth2 générés pour l'accès à un produit spécifique sont révoqués en cas de modification du mot de passe d'un utilisateur. Par exemple, si un utilisateur modifie son mot de passe Google suite à la perte de son appareil, ses e-mails et autres données ne se synchroniseront plus sur l'appareil en question.

Les utilisateurs avaient déjà la possibilité de révoquer l'accès à des applications dans Security Checkup, et les administrateurs pouvaient aussi le faire dans la console d'administration de Google Apps. Nos nouvelles règles de sécurité automatisent simplement le processus de révocation de jetons.

Cet article vous a-t-il été utile ?
Se connecter à son compte

Bénéficiez d'une aide spécifique pour votre compte en vous connectant à l'aide de votre adresse e-mail Google Apps for Work ou découvrez comment débuter avec Google Apps for Work.