Bonnes pratiques de sécurité concernant les comptes administrateur

Suivez les bonnes pratiques ci-après pour améliorer la sécurité de vos comptes administrateur et par extension, de votre entreprise dans son ensemble.

Pour en savoir plus sur les bonnes pratiques de sécurité, consultez Checklists de sécurité.

Protéger les comptes administrateur

Exiger la validation en deux étapes pour les comptes administrateur

Si une personne parvient à obtenir le mot de passe administrateur, la validation en deux étapes permet de protéger le compte contre tout accès non autorisé. Les super-administrateurs en particulier ont tout intérêt à utiliser la validation en deux étapes, car leurs comptes permettent de contrôler l'accès à toutes les données des employés et de l'organisation.

Protéger votre entreprise avec la validation en deux étapes

Utiliser des clés de sécurité pour la validation en deux étapes

Il existe plusieurs méthodes de validation en deux étapes, telles que les clés de sécurité, les invites Google, Google Authenticator et les codes de secours. Les clés de sécurité sont de petits périphériques matériels utilisés dans le cas de l'authentification à deux facteurs. Elles permettent de lutter contre les menaces d'hameçonnage et constituent la forme la plus sécurisée de validation en deux étapes.

Protéger votre entreprise avec la validation en deux étapes – Clés de sécurité

Ne pas partager les comptes administrateur entre les utilisateurs

Configurez pour chaque administrateur un compte identifiable qui lui soit propre. En effet, si plusieurs administrateurs utilisent le même compte pour se connecter à la console d'administration, par exemple admin@example.com, il n'est pas possible d'identifier celui qui a effectué les actions répertoriées dans le journal d'audit.

Se protéger contre les attaques ciblées

Vous pouvez appliquer simultanément un grand nombre des recommandations de cet article en inscrivant des comptes super-administrateur et d'autres comptes sensibles au programme Protection Avancée.

Protéger les utilisateurs grâce au programme Protection Avancée

Gérer les comptes super-administrateur

Configurer plusieurs comptes super-administrateur

Votre organisation doit disposer de plusieurs comptes super-administrateur, chacun géré par une personne distincte (évitez le partage de comptes administrateur). Si un compte est perdu ou compromis, un autre super-administrateur peut effectuer des tâches essentielles pendant la récupération de l'autre compte.

Ne pas utiliser de compte super-administrateur pour des activités quotidiennes

Configurez deux comptes pour chacun des super-administrateurs : un compte super-administrateur qui lui est propre et un compte distinct pour les activités quotidiennes. Les utilisateurs ne doivent se connecter à un compte super-administrateur que pour réaliser des tâches réservées aux super-administrateurs, comme configurer la validation en deux étapes, gérer la facturation et les licences utilisateur, ou aider un autre administrateur à récupérer son compte.

Les super-administrateurs doivent utiliser un compte non administrateur distinct pour leurs activités quotidiennes.

Par exemple, si Marie et Jean sont des super-administrateurs, ils doivent chacun disposer d'un compte administrateur identifiable et d'un compte utilisateur, comme suit :

  • admin-marie@example.com, marie@example.com
  • admin-jean@example.com, jean@example.com

S'assurer de recevoir les annonces importantes des administrateurs

Si vous ne vous connectez pas souvent avec votre compte administrateur principal, vous risquez de passer à côté d'annonces importantes sur les services envoyées par Google. Pour être sûr de recevoir ces annonces, envoyez-les vers un compte que vous utilisez quotidiennement et aurez configuré en tant que contact e-mail secondaire.

Envoyer les notifications d'un compte et de facturation à un autre administrateur

Ne pas rester connecté à un compte super-administrateur

Si vous restez connecté à un compte super-administrateur alors que vous n'effectuez pas de tâches administratives spécifiques, le risque d'exposition aux attaques d'hameçonnage augmente. Les super-administrateurs doivent se connecter au besoin pour effectuer des tâches spécifiques, puis se déconnecter.

Utiliser des comptes autres que super-administrateur pour les tâches d'administration quotidiennes

N'utilisez le compte super-administrateur que si nécessaire. Déléguez les tâches d'administration à des comptes utilisateur dotés de rôles d'administrateur limités. Utilisez le principe du moindre privilège stipulant que chaque utilisateur a accès aux ressources et outils nécessaires à ses tâches habituelles. Vous pouvez par exemple octroyer à un administrateur le droit de créer des comptes utilisateur et de réinitialiser des mots de passe, mais pas celui de supprimer des comptes.

À propos des rôles d'administrateur

Surveiller l'activité des comptes administrateur

Configurer des alertes par e-mail destinées à l'administrateur

Surveillez l'activité des administrateurs et les risques de sécurité potentiels en configurant des alertes par e-mail destinées aux administrateurs pour signaler certains événements, par exemple des tentatives de connexion suspectes, des appareils mobiles compromis ou des modifications effectuées par un autre administrateur.

Lorsque vous activez une alerte pour une activité, vous recevez un e-mail chaque fois qu'elle se produit.

Alertes par e-mail destinées aux administrateurs et règles définies par le système

Consultez le journal d'audit de la console d'administration

Ouvrez le journal d'audit de la console d'administration pour afficher l'historique de chaque tâche effectuée dans la console d'administration Google, l'administrateur qui l'a exécutée, la date et l'adresse IP avec laquelle l'administrateur s'est connecté.

L'activité du super-administrateur apparaît dans la colonne Description de l'événement sous la forme _SEED_ADMIN_ROLE, suivie du nom d'utilisateur.

Journal d'audit de la console d'administration

Préparer la récupération d'un compte administrateur

Ajouter des options de récupération à des comptes administrateur

Les administrateurs doivent ajouter des options de récupération à leur compte administrateur.

Si un administrateur oublie son mot de passe, il peut cliquer sur le lien Besoin d'aide ? de la page de connexion afin que Google transmette un nouveau mot de passe par appel vocal, SMS ou e-mail. Pour ce faire, un numéro de téléphone et une adresse e-mail de récupération sont requis pour le compte.

Ajouter des informations de récupération à votre compte administrateur

Conserver les informations nécessaires pour réinitialiser le mot de passe

Si un super-administrateur ne parvient pas à réinitialiser son mot de passe à l'aide de l'option de récupération par téléphone ou e-mail, et qu'aucun autre super-administrateur n'est disponible pour réinitialiser le mot de passe, il peut utiliser l'assistant de récupération.

Pour vérifier une identité, Google pose des questions sur le compte de l'organisation :

  • La date de création du compte
  • L'adresse e-mail secondaire d'origine associée au compte (adresse e-mail utilisée pour l'inscription)
  • Le numéro du bon de commande Google associé au compte (le cas échéant)
  • Le nombre de comptes utilisateur créés
  • L'adresse de facturation liée au compte
  • Le type de carte de crédit utilisée et ses quatre derniers chiffres

Google demande également à l'administrateur de valider la propriété DNS du domaine. Il doit donc disposer des identifiants lui permettant de modifier les paramètres DNS du domaine auprès de son bureau d'enregistrement.

Réinitialiser votre mot de passe administrateur si les options d'adresse e-mail ou de numéro de téléphone de récupération ne sont pas disponibles

Enregistrer une clé de sécurité supplémentaire

Les administrateurs sont invités à enregistrer plusieurs clés de sécurité pour leur compte administrateur et à les stocker dans un endroit sûr. Si leur clé de sécurité principale est perdue ou volée, ils pourront toujours se connecter à leur compte.

Utiliser une clé de sécurité pour la validation en deux étapes

Enregistrer les codes de secours à l'avance

Si un administrateur perd sa clé de sécurité ou son téléphone (sur lequel il peut recevoir une invite Google ou un code pour la validation en deux étapes), il peut se connecter à l'aide d'un code de secours.

Les administrateurs doivent générer et imprimer des codes de secours à utiliser en cas de besoin. Conservez-les dans un endroit sécurisé.

Se connecter à l'aide de codes de secours

Articles associés

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
17806026003062536862
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false