Les administrateurs informatiques des moyennes et grandes entreprises doivent suivre ces bonnes pratiques de sécurité pour renforcer la sécurité et la confidentialité des données de l'entreprise. Pour mettre en œuvre chacune des bonnes pratiques de cette checklist, vous pouvez utiliser un ou plusieurs paramètres de la console d'administration Google.
Si votre entreprise ne dispose pas d'administrateur informatique, consultez les recommandations présentes dans Checklist de sécurité pour les petites entreprises comptant de 1 à 100 utilisateurs, peut-être plus appropriées pour votre entreprise.
Remarque : Les paramètres décrits ici ne sont pas tous disponibles dans toutes les éditions de Google Workspace et éditions de Cloud Identity.
Bonnes pratiques concernant la sécurité — Configuration
Afin de protéger votre entreprise, la plupart des paramètres recommandés dans cette checklist sont activés par défaut.
Dans la mesure où les super-administrateurs contrôlent l'accès à toutes les données de l'entreprise et des collaborateurs de l'organisation, il est particulièrement important que leurs comptes soient protégés.
Pour obtenir la liste complète des recommandations, consultez les bonnes pratiques de sécurité concernant les comptes administrateur.
Appliquer une authentification à plusieurs facteurs
|
|
Exigez la validation en deux étapes pour les utilisateurs La validation en deux étapes contribue à protéger un compte utilisateur contre les accès non autorisés au cas où un tiers parviendrait à obtenir son mot de passe. Protéger votre entreprise avec la validation en deux étapes | Déployer la validation en deux étapes |
|
|
Appliquez des clés de sécurité, au moins pour les administrateurs et les autres comptes importants Les clés de sécurité sont de petits périphériques matériels utilisés lors de la connexion, permettant de fournir une authentification à deux facteurs qui résiste à l'hameçonnage. |
Protéger vos mots de passe
|
|
Empêchez la réutilisation d'un mot de passe avec Alerte mot de passe Activez Alerte mot de passe pour vous assurer que les utilisateurs n'utilisent pas leurs mots de passe d'entreprise sur d'autres sites. |
|
|
Utilisez des mots de passe uniques Définir un bon mot de passe constitue le premier moyen pour protéger des comptes utilisateur et administrateur. Les mots de passe uniques ne sont pas faciles à deviner. Il est également déconseillé d'utiliser des mots de passe identiques sur plusieurs comptes, par exemple pour votre messagerie et pour vos services bancaires en ligne. |
Empêcher le piratage et restaurer les comptes piratés
|
|
Consultez régulièrement les rapports d'activité et les alertes Examinez les rapports d'activité concernant l'état du compte, le statut de l'administrateur et les détails de l'inscription à la validation en deux étapes. |
|
|
Configurez des alertes par e-mail destinées à l'administrateur Configurez des alertes par e-mail pour des événements potentiellement risqués, tels que les tentatives de connexion suspectes, les piratages d'appareils mobiles ou la modification de paramètres par un autre administrateur. |
|
|
Ajoutez des questions d'authentification à la connexion Configurez des questions d'authentification à la connexion pour devancer les tentatives de connexion suspectes. Les utilisateurs doivent saisir le code de validation que Google envoie sur leur numéro de téléphone ou sur leur adresse e-mail de récupération, ou répondre à une question dont seul le propriétaire du compte connaît la réponse. Valider l'identité d'un utilisateur à l'aide de paramètres de sécurité supplémentaires | Ajouter l'ID d'employé comme question d'authentification à la connexion |
|
|
Identifiez et sécurisez les comptes piratés Si vous pensez qu'un compte a été piraté, suspendez le compte, recherchez des signes d'activité malveillante et prenez les mesures nécessaires.
|
|
|
Désactivez le téléchargement de données Google si nécessaire Si un compte est piraté ou si l'utilisateur quitte l'entreprise, empêchez cet utilisateur de télécharger toutes ses données Google avec Google Takeout. |
 |
Empêchez l'accès non autorisé après le départ d'un collaborateur Pour éviter les fuites de données, révoquez l'accès d'un utilisateur aux données de votre organisation lorsqu'il la quitte. Maintenir la sécurité des données après le départ d'un collaborateur |
|
|
Contrôlez l'accès des applications tierces aux services principaux Vérifiez et approuvez les applications tierces pouvant accéder aux services principaux de Google Workspace tels que Gmail et Drive. Contrôler l'accès des applications tierces et internes aux données Google Workspace |
|
Bloquez l'accès aux applications moins sécurisées Les applications moins sécurisées n'appliquent pas les normes de sécurité actuelles comme OAuth, ce qui augmente le risque de piratage des comptes ou des appareils. |
|
|
Créez une liste d'applications de confiance Créez une liste d'autorisation qui précise quelles applications tierces peuvent accéder aux services principaux de Google Workspace. Contrôler l'accès des applications tierces et internes aux données Google Workspace |
|
Contrôlez l'accès aux services principaux de Google Vous pouvez autoriser ou bloquer l'accès aux applications Google telles que Gmail, Drive et Agenda en fonction de l'adresse IP, de l'origine géographique, des règles de sécurité ou du système d'exploitation d'un appareil. Vous pouvez par exemple autoriser Drive pour ordinateur uniquement sur les appareils appartenant à l'entreprise dans des pays/régions spécifiques. |
|
Ajoutez une couche de chiffrement supplémentaire aux données des applications des utilisateurs Si votre organisation travaille avec des produits de propriété intellectuelle sensibles ou opère dans un secteur hautement réglementé, vous pouvez ajouter le chiffrement côté client à Gmail, Google Drive, Google Meet et Google Agenda. |
|
|
Limitez le partage d'agendas en externe Limitez le partage d'agendas en externe aux informations de disponibilité uniquement. Vous limiterez ainsi les risques de fuite de données. Configurer les options de visibilité et de partage des agendas |
|
Avertissez les utilisateurs lorsqu'ils invitent des personnes externes Par défaut, Google Agenda avertit les utilisateurs lorsqu'ils invitent des personnes externes. Vous limiterez ainsi les risques de fuite de données. Assurez-vous que cet avertissement est activé pour tous les utilisateurs. Autoriser les invitations externes dans les événements Google Agenda |
|
Déterminez les utilisateurs autorisés à discuter en externe N'autorisez que les utilisateurs ayant un besoin spécifique à envoyer des messages ou à créer des salons avec des utilisateurs extérieurs à votre organisation. Ainsi, les utilisateurs externes ne peuvent pas voir les précédentes discussions internes, et le risque de fuite de données est réduit. |
|
|
Prévenez les utilisateurs lorsqu'ils envoient des messages instantanés hors de leur domaine (version classique de Hangouts uniquement) Affichez un avertissement aux utilisateurs lorsqu'ils discutent avec des personnes extérieures à leur domaine. Lorsque cette option est activée, les conversations de groupe sont séparées lorsque la première personne externe au domaine est ajoutée à une discussion. Ainsi, les utilisateurs externes ne peuvent pas voir les précédentes discussions internes, et le risque de fuite de données est réduit. Dans Chat, les utilisateurs et salons externes sont toujours marqués comme "Externes". |
|
|
Définissez une règle relative aux invitations au chat Déterminez quels utilisateurs peuvent accepter automatiquement les invitations à discuter en fonction de la règle en vigueur dans votre organisation concernant la collaboration. |
|
|
Maintenez le navigateur Chrome et Chrome OS à jour Pour que vos utilisateurs disposent des derniers correctifs de sécurité, autorisez les mises à jour. Pour le navigateur Chrome, autorisez toujours les mises à jour. Par défaut, les appareils Chrome OS sont mis à jour dès que la dernière version en date de Chrome est publiée. Assurez-vous que les mises à jour automatiques sont activées pour tous les utilisateurs de votre appareil Chrome OS. Définir des règles Chrome pour les utilisateurs ou les navigateurs | Gérer les mises à jour sur les appareils Chrome OS |
|
Forcez un redémarrage pour appliquer les mises à jour Configurez le navigateur Chrome et les appareils Chrome OS pour qu'ils informent les utilisateurs qu'ils doivent relancer leurs navigateurs ou redémarrer leurs appareils pour que la mise à jour s'applique, et forcez un redémarrage après un certain délai si l'utilisateur ne prend aucune mesure. Inviter les utilisateurs à redémarrer leur appareil ou leur navigateur afin d'appliquer les mises à jour en attente |
|
|
Définissez les règles de base pour les appareils Chrome OS et le navigateur Chrome Définissez les règles suivantes dans la console d'administration Google :
|
|
|
Définissez les règles avancées du navigateur Chrome Empêchez les accès non autorisés, les téléchargements dangereux et les fuites de données entre les sites en définissant les règles avancées suivantes :
Définir des règles de navigateur Chrome pour des ordinateurs gérés | Guide de configuration de la sécurité du navigateur Chrome pour les entreprises (Windows) |
|
|
Définissez une règle concernant les navigateurs pour ordinateur Windows Si votre organisation souhaite utiliser le navigateur Chrome, mais que les utilisateurs ont encore besoin d'Internet Explorer pour accéder à d'anciens sites et applications, l'extension Chrome Legacy Browser Support leur permet de passer automatiquement de Chrome à un autre navigateur, et inversement. Activez Legacy Browser Support pour utiliser les applications nécessitant un ancien navigateur. |
Vous pouvez protéger les comptes utilisateur et leurs données professionnelles sur les appareils mobiles, tablettes, ordinateurs portables et ordinateurs disposant de la gestion Google des points de terminaison.
Pour obtenir la liste complète des recommandations, accédez à la checklist de sécurité concernant la gestion des appareils.
Limiter le partage et la collaboration en dehors de votre domaine
|
|
Définissez des options ou créez des règles pour le partage de fichiers en dehors de votre organisation Pour restreindre le partage de fichiers à vos domaines, désactivez les options de partage ou créez des règles de confiance qui vous aident à contrôler le partage de manière plus précise. Vous limitez ainsi les risques de fuite et d'exfiltration de données. Si le partage est requis en dehors de votre organisation pour les besoins de l'entreprise, vous pouvez configurer le partage pour des unités organisationnelles ou ajouter des domaines à la liste d'autorisation. Restreindre le partage en dehors des domaines autorisés | Restreindre le partage en dehors de votre organisation | Créer des règles de confiance pour limiter le partage externe |
|
Avertissez les utilisateurs lorsqu'ils partagent un fichier en dehors du domaine Si vous autorisez les utilisateurs à partager des fichiers en dehors de votre domaine, activez l'avertissement leur permettant de confirmer leur intention. Cette option limite les risques de fuite de données. Avertir les utilisateurs lorsqu'ils partagent des données en externe |
|
Empêchez les utilisateurs de publier sur le Web Désactivez la publication de fichiers sur le Web. Vous limiterez ainsi les risques de fuite de données. Ne pas autoriser les utilisateurs à partager des fichiers publiquement |
|
|
Définissez les options d'accès général pour le partage de fichiers Définissez l'option d'accès par défaut pour le partage de fichiers sur Limité. Seul le propriétaire du fichier doit y avoir accès jusqu'à ce qu'il le partage. Vous pouvez également créer des groupes de partage personnalisés (audiences cibles) pour les utilisateurs de différents services. |
|
|
Restreignez l'accès des fichiers aux destinataires uniquement Lorsqu'un utilisateur partage un fichier au moyen d'un produit Google autre que Docs ou Drive (par exemple, en collant un lien dans Gmail), le vérificateur d'accès peut vérifier les droits d'accès des destinataires au fichier. Configurez le vérificateur d'accès en mode Destinataires uniquement. Vous pourrez ainsi contrôler l'accès aux liens partagés par vos utilisateurs et limiter les risques de fuite de données. |
|
Évitez ou limitez le risque que les utilisateurs externes puissent identifier les membres des groupes de votre organisation Pour empêcher les utilisateurs d'une autre organisation qui utilise Google Workspace d'identifier les membres des groupes de votre organisation, n'autorisez pas les organisations externes à partager des fichiers avec vos utilisateurs. Pour limiter ce type de risque, vous pouvez autoriser le partage externe uniquement avec les domaines ajoutés à la liste d'autorisation. Si vous utilisez les paramètres de partage Google Drive : pour chaque unité organisationnelle que vous souhaitez protéger contre ce risque, effectuez l'une des actions suivantes :
Pour en savoir plus, consultez Gérer le partage externe pour votre organisation. Si vous utilisez des règles de confiance pour le partage Drive : pour limiter ce risque, commencez par créer une règle de confiance avec les paramètres suivants :
Pour en savoir plus, consultez Créer une règle de confiance. Désactivez ensuite la règle par défaut [Par défaut] Les utilisateurs de mon organisation peuvent partager du contenu (un avertissement s'affiche) et en recevoir de tous. Pour en savoir plus, consultez Afficher ou modifier les détails d'une règle de confiance. |
|
|
Exigez la connexion à Google pour les collaborateurs externes Obligez les collaborateurs externes à se connecter à un compte Google. S'ils ne possèdent pas de compte Google, ils peuvent en créer un sans frais. Vous limiterez ainsi les risques de fuite de données. Désactiver l'envoi d'invitations aux comptes autres que Google en dehors de votre domaine |
|
|
Déterminez les utilisateurs autorisés à déplacer le contenu des Drive partagés Autorisez uniquement les utilisateurs de votre organisation à déplacer des fichiers de leurs Drive partagés vers un emplacement Drive appartenant à une organisation différente. |
|
|
Contrôlez le partage de contenu dans les nouveaux Drive partagés Restreignez les personnes autorisées à créer des Drive partagés, à accéder au contenu ou à modifier les paramètres des nouveaux Drive partagés. |
Limiter les copies locales de données Drive
|
|
Désactivez l'accès aux documents hors connexion Pour réduire le risque de fuite de données, envisagez de désactiver l'accès aux documents hors connexion. Lorsqu'un document est accessible hors connexion, une copie est enregistrée en local. Si vous avez besoin de donner accès à des documents hors connexion, activez cette fonctionnalité uniquement pour les unités organisationnelles requises afin de limiter les risques. |
|
|
Désactivez l'accès à l'application Drive pour ordinateur Les utilisateurs peuvent accéder à Drive sur leur ordinateur grâce à Google Drive pour ordinateur. Pour réduire le risque de fuite de données, envisagez de désactiver l'accès à l'application Drive pour ordinateur. Si vous décidez d'activer l'accès, faites-le uniquement pour les utilisateurs qui en ont vraiment besoin. |
Contrôler l'accès d'applications tierces à vos données
|
|
N'autorisez pas les modules complémentaires Google Docs Pour réduire le risque de fuite de données, envisagez de ne pas autoriser les utilisateurs à installer des modules complémentaires pour Google Docs depuis la plate-forme de téléchargement dédiée. Pour répondre à un besoin professionnel ponctuel, vous pouvez déployer des modules complémentaires pour Google Docs conformes aux règles de votre organisation. Autoriser ou restreindre l'utilisation des modules complémentaires dans votre organisation |
Protection des données sensibles
|
Affichez un avertissement en cas de partage de fichiers contenant des données sensibles ou bloquez le partage Afin de réduire le risque de fuites de données, configurez des règles de protection contre la perte de données pour analyser les fichiers à la recherche de données sensibles et prenez des mesures lorsque les utilisateurs tentent de partager des fichiers correspondants en externe. Vous pouvez par exemple bloquer le partage externe de documents contenant des numéros de passeport et recevoir une alerte par e-mail. Utiliser la Protection contre la perte de données pour Drive |
Configurer l'authentification et l'infrastructure
|
|
Authentifiez vos e-mails avec SPF, DKIM et DMARC Les normes SPF, DKIM et DMARC établissent un système de validation d'adresse e-mail qui utilise des paramètres DNS pour authentifier votre domaine, le signer numériquement et lutter contre le spoofing. Certains pirates parviennent à falsifier l'adresse de l'expéditeur dans leurs messages, lesquels semblent ainsi provenir de votre domaine. Pour éviter cela, vous pouvez configurer les normes SPF et DKIM sur tous les flux de messagerie sortants. Une fois ces normes mises en œuvre, vous pouvez configurer un enregistrement DMARC pour définir la façon dont Google et les autres destinataires doivent traiter les e-mails non authentifiés censés provenir de votre domaine. Empêcher le spam, le spoofing et l'hameçonnage grâce à l'authentification Gmail |
|
|
Configurez les passerelles de messagerie entrantes pour qu'elles fonctionnent avec SPF Le protocole SPF permet d'éviter que vos messages sortants arrivent dans le dossier "spam". Cependant, une passerelle peut impacter son fonctionnement. Si vous utilisez une passerelle de messagerie pour router les e-mails entrants, assurez-vous qu'elle est correctement configurée pour Sender Policy Framework (SPF). |
|
|
Appliquez le protocole TLS avec vos domaines partenaires Configurez le paramètre TLS de manière à exiger que les messages envoyés à des domaines partenaires (ou reçus depuis ces domaines) soient distribués via une connexion sécurisée. Exiger que les messages soient transmis par le biais d'une connexion sécurisée (TLS) |
|
|
Imposez l'authentification de tous les expéditeurs approuvés Lorsque vous créez une liste d'adresses d'expéditeurs approuvés qui peuvent ignorer la classification en tant que spam, exigez une authentification. Si l'authentification est désactivée, Gmail ne peut pas vérifier que le message a bien été envoyé par la personne dont il prétend provenir. Exiger une authentification réduit le risque de spoofing et de hameçonnage/whaling. En savoir plus sur l'authentification des expéditeurs |
|
|
Configurez les enregistrements MX pour permettre un flux de messagerie correct Configurez les enregistrements MX de sorte qu'ils pointent vers les serveurs de messagerie de Google avec la priorité la plus haute, afin de garantir un flux de messagerie correct vers les utilisateurs de votre domaine Google Workspace. Vous réduisez ainsi le risque de suppression de données dû à la perte d'e-mails et les menaces de logiciels malveillants. Configurer des enregistrements MX pour Google Workspace et Gmail | Valeur des enregistrements MX pour Google Workspace |
Protéger les utilisateurs et les organisations
|
|
Désactivez l'accès IMAP/POP Les logiciels clients IMAP et POP permettent aux utilisateurs d'accéder à Gmail par le biais de clients de messagerie tiers. Désactivez l'accès POP et IMAP pour les utilisateurs qui n'en ont pas expressément besoin. Vous limitez ainsi les risques de fuite, de suppression et d'exfiltration de données. Vous limitez également le risque d'attaques, car les clients IMAP ne bénéficient pas toujours de la même protection que les clients propriétaires. |
|
|
Désactivez le transfert automatique Empêchez les utilisateurs de transférer automatiquement les messages entrants vers une autre adresse. Vous réduisez ainsi le risque d'exfiltration de données par le biais du transfert d'e-mails, technique couramment utilisée par les pirates informatiques. |
|
|
Activez le stockage complet des e-mails Le stockage complet des e-mails garantit qu'une copie de tous les messages envoyés et reçus par les utilisateurs de votre domaine (y compris les e-mails envoyés ou reçus par des boîtes aux lettres non-Gmail) est conservée dans leurs boîtes aux lettres Gmail respectives. L'activation de ce paramètre réduit le risque de suppression de données et, si vous utilisez Google Vault, garantit que les messages sont conservés ou préservés. Configurer le stockage complet des e-mails | Stockage complet des e-mails et Vault |
|
|
Ne contournez pas les filtres antispam pour les expéditeurs internes Pour réduire les risques de spoofing et d'attaques par hameçonnage/whaling, désactivez l'option Ignorer les filtres antispam pour les expéditeurs internes. Lorsque ce paramètre est activé, il peut entraîner des problèmes pour les groupes avec des membres externes ou des autorisations de publication publiques, car les messages des membres externes du groupe peuvent être traités comme des messages internes. Si l'expéditeur externe a défini des règles DMARC de quarantaine ou de refus, les messages entrants sont réécrits pour apparaître comme s'ils avaient été envoyés depuis le groupe. Les messages sont alors considérés comme internes. |
|
|
Ajoutez un paramètre d'en-têtes de spam à toutes les règles de routage par défaut Les en-têtes de spam permettent d'optimiser la capacité de filtrage des serveurs de messagerie en aval afin de réduire les risques de spoofing et d'attaques par hameçonnage/whaling. Lorsque vous configurez des règles de routage par défaut, cochez l'option Ajouter les en-têtes X-Gm-Spam et X-Gm-Phishy afin que Gmail ajoute ces en-têtes pour indiquer que des messages sont du spam ou des tentatives d'hameçonnage. Ces informations peuvent, par exemple, permettre à l'administrateur d'un serveur en aval de définir des règles de traitement différentes de celles applicables aux autres e-mails. |
|
|
Activez l'analyse améliorée des messages avant distribution Lorsque Gmail suspecte un hameçonnage, ce paramètre lui permet d'effectuer des vérifications supplémentaires sur le message. Utiliser l'analyse améliorée des messages avant distribution |
|
|
Activer les avertissements en cas de réponse à un destinataire externe Gmail détecte les destinataires externes qui n'ont pas de contacts réguliers avec l'utilisateur, ou qui ne figurent pas dans ses contacts. Lorsque vous configurez ce paramètre, vos utilisateurs reçoivent un avertissement qu'ils peuvent choisir d'ignorer. Configurer un avertissement en cas de réponse à un destinataire externe |
|
|
Activez la protection supplémentaire contre les pièces jointes Google analyse les messages entrants pour vous protéger contre les logiciels malveillants, même si les paramètres supplémentaires de protection contre les pièces jointes malveillantes ne sont pas activés. L'activation d'une protection supplémentaire contre les pièces jointes peut permettre d'intercepter des e-mails qui n'avaient pas été identifiés comme malveillants. |
|
|
Activez la protection supplémentaire contre les liens et le contenu externe malveillants Activer la protection contre les liens et les images externes |
|
|
Activez la protection supplémentaire contre le spoofing Google analyse tous les messages pour vous protéger contre le spoofing, même si les paramètres supplémentaires de protection contre le spoofing ne sont pas activés. L'activation de la protection supplémentaire contre le spoofing et par authentification peut, par exemple, réduire les risques d'exposition au spoofing via des noms de domaine ou de collaborateurs similaires. Activer la protection contre le spoofing et par authentification |
Remarques de sécurité concernant les tâches Gmail quotidiennes
|
|
Contournez les filtres antispam avec précaution Pour éviter une augmentation du nombre de spams, faites preuve de vigilance si vous remplacez les filtres antispam par défaut de Gmail.
|
|
|
N'incluez pas les domaines dans la liste des expéditeurs approuvés Si vous avez configuré des expéditeurs approuvés, et que vous avez coché l'option Ignorer les filtres antispam pour les messages provenant d'adresses ou de domaines figurant sur la liste des expéditeurs approuvés, supprimez tous les domaines de votre liste d'expéditeurs approuvés. En excluant des domaines de la liste des expéditeurs approuvés, vous réduisez le risque de spoofing et d'attaques par hameçonnage/whaling. |
|
|
N'ajoutez pas d'adresses IP à votre liste d'autorisation De manière générale, les e-mails envoyés depuis une adresse e-mail présente sur votre liste d'autorisation ne sont pas considérés comme des spams. Pour tirer pleinement parti du service de filtrage antispam de Gmail et obtenir les meilleurs résultats de classification du spam, les adresses IP de vos serveurs de messagerie et de ceux de vos partenaires qui transfèrent les e-mails à Gmail doivent être ajoutées à la passerelle de messagerie entrante, et non à une liste d'autorisation d'adresses IP. Ajouter des adresses IP aux listes d'autorisation dans Gmail | Configurer une passerelle de messagerie entrante |
Protection des données sensibles
|
Scannez et bloquez les e-mails contenant des données sensibles Pour réduire le risque de fuites de données, analysez les e-mails sortants à l'aide de détecteurs prédéfinis de protection contre la perte de données et prenez des mesures lorsque les utilisateurs reçoivent ou envoient des messages au contenu sensible. Vous pouvez par exemple empêcher les utilisateurs d'envoyer des messages contenant des numéros de carte de crédit et recevoir une alerte par e-mail. Analyser le trafic de messagerie avec la protection contre la perte de données |
|
Utilisez des groupes conçus en toute sécurité Assurez-vous que seuls certains utilisateurs peuvent accéder aux applications et aux ressources sensibles en les gérant avec des groupes de sécurité. Vous limiterez ainsi les risques de fuite de données. Fournir un accès plus sécurisé aux données et aux ressources |
|
Ajoutez des conditions de sécurité aux rôles d'administrateur Autorisez uniquement certains administrateurs à contrôler les groupes de sécurité. Désignez d'autres administrateurs qui ne peuvent contrôler que les groupes non sécurisés. Cela réduit le risque de fuites de données et de menaces internes malveillantes. |
|
|
Configurez un accès privé à vos groupes Sélectionnez l'option "Privé" pour limiter l'accès aux membres de votre domaine, sachant que les membres des groupes peuvent toujours recevoir des e-mails ne provenant pas du domaine. Vous limiterez ainsi les risques de fuite de données. |
|
|
Limitez la création de groupes aux administrateurs Autorisez uniquement les administrateurs à créer des groupes. Vous limiterez ainsi les risques de fuite de données. |
|
|
Personnalisez les paramètres d'accès à votre groupe Recommandations :
Définir les personnes autorisées à consulter, publier et modérer les posts |
|
|
Désactivez certains paramètres d'accès pour les groupes internes Les paramètres suivants permettent à tous les internautes de rejoindre un groupe, d'envoyer des messages et d'afficher les archives de discussion. Désactivez ces paramètres pour les groupes internes :
|
|
|
Activez la modération des spams pour vos groupes Vous pouvez envoyer des messages à la file d'attente de modération en informant ou non les modérateurs, rejeter les spams immédiatement, ou autoriser la publication de messages sans modération. |
|
|
Bloquez le partage de sites en dehors du domaine Définir les options de partage pour Google Sites | Définir les options de partage : version classique de Google Sites |
|
|
Considérez les comptes disposant de droits Vault comme sensibles Protégez les comptes attribués aux rôles d'administrateur Vault de la même manière que vous protégez les comptes super-administrateur. Bonnes pratiques de sécurité concernant les comptes administrateur |
|
|
Contrôlez régulièrement l'activité de Vault Les utilisateurs disposant de droits Vault peuvent rechercher et exporter les données d'autres utilisateurs, ainsi que modifier les règles de conservation permettant de supprimer définitivement les données que vous devez conserver. Surveillez l'activité de Vault pour vous assurer que seules les règles d'accès et de conservation des données approuvées sont appliquées. |
Prochaines étapes : surveillance, enquête et correction
|
|
Vérifiez vos paramètres de sécurité et enquêtez sur l'activité Visitez régulièrement le centre de sécurité pour examiner votre stratégie en matière de sécurité, enquêter sur les incidents et prendre des mesures en fonction de ces informations. |
|
|
Consultez le journal d'audit de la console d'administration Ouvrez le journal d'audit de la console d'administration pour examiner l'historique de chaque tâche effectuée dans la console d'administration Google, l'administrateur qui l'a exécutée, la date et l'adresse IP depuis laquelle l'administrateur s'est connecté. |
