Checklist de sécurité pour les petites entreprises comptant de 1 à 100 utilisateurs

Vous avez travaillé dur pour créer votre entreprise. Ne laissez pas les risques de sécurité mettre un frein à votre développement. Suivez ces mesures de sécurité afin de protéger vos informations professionnelles.  

Si vous gérez une très petite entreprise (de 1 à 20 comptes utilisateur) ou une petite entreprise (de 21 à 100 comptes utilisateur), vous ne disposez probablement pas d'un administrateur informatique dédié. Nous n'allons donc pas vous fournir une liste de recommandations trop longue.

Protéger vos comptes

Utilisez des mots de passe uniques
Définir un bon mot de passe constitue le premier moyen pour protéger des comptes utilisateur et administrateur. Les mots de passe uniques ne sont pas faciles à deviner. Vous pouvez par exemple imaginer une phrase longue, et utiliser la première lettre de chaque mot afin de définir votre mot de passe.

Il est également déconseillé d'utiliser des mots de passe identiques sur plusieurs comptes, par exemple pour votre messagerie et pour vos services bancaires en ligne.

Créer un mot de passe sécurisé pour un compte plus sûr

Obligez les administrateurs et les principaux utilisateurs à fournir une preuve supplémentaire de leur identité
Si une personne parvient à voler votre mot de passe, la validation en deux étapes peut l'empêcher d'accéder à votre compte.

Avec cette fonctionnalité, les utilisateurs doivent valider leur identité à l'aide d'un élément qu'ils connaissent (tel qu'un mot de passe) et d'un élément qu'ils possèdent (tel qu'une clé physique ou un code d'accès envoyé sur un appareil) afin de pouvoir accéder à leur compte.

La validation en deux étapes est recommandée pour tous les membres de votre entreprise. Elle est particulièrement importante pour les administrateurs et les utilisateurs qui traitent des données sensibles, telles que des registres financiers et des informations concernant les collaborateurs. Nous vous conseillons d'appliquer cette fonctionnalité pour les administrateurs et les principaux utilisateurs.

Protéger votre entreprise avec la validation en deux étapes | Déployer la validation en deux étapes

Incitez les administrateurs à ajouter des informations de récupération à leur compte
Si votre administrateur oublie son mot de passe, il peut cliquer sur le lien "Besoin d'aide" de la page de connexion afin que Google transmette un nouveau mot de passe par appel vocal, SMS ou e-mail. Pour ce faire, un numéro de téléphone et une adresse e-mail de récupération sont requis pour le compte.

Ajouter des options de récupération à votre compte administrateur

Obtenez des codes de secours à l'avance
Si votre entreprise impose la validation en deux étapes et qu'un utilisateur ou un administrateur perd l'accès à cette méthode d'authentification, il ne pourra pas se connecter à son compte. Cela peut par exemple survenir lorsqu'un utilisateur recevant des codes de validation en deux étapes par appel vocal perd son téléphone, ou lorsqu'un utilisateur perd sa clé de sécurité.

Dans ce type de cas, les utilisateurs peuvent utiliser un code de secours pour la validation en deux étapes. Les administrateurs et les utilisateurs ayant activé cette méthode doivent générer et imprimer des codes de secours, puis les conserver en lieu sûr.

Se connecter à l'aide de codes de secours

Créez un autre compte super-administrateur
Une entreprise doit disposer de plusieurs comptes super-administrateur, chacun géré par une personne distincte. Si vous perdez l'accès au compte super-administrateur principal ou que sa sécurité est compromise, le compte super-administrateur de secours permet d'effectuer des tâches sensibles en attendant la récupération du compte principal.

Pour créer un compte super-administrateur supplémentaire, attribuez le rôle de super-administrateur à un autre utilisateur.

Désigner un utilisateur comme administrateur

Conservez les informations de réinitialisation du mot de passe super-administrateur à portée de main
Si un super-administrateur ne parvient pas à réinitialiser son mot de passe à l'aide de l'option de récupération par téléphone ou e-mail, et qu'aucun autre super-administrateur n'est disponible pour réinitialiser le mot de passe, il peut contacter l'assistance Google.

Pour valider son identité, Google pose des questions concernant le compte de l'organisation. L'administrateur doit également valider la propriété DNS du domaine. Conservez les informations de compte et les identifiants DNS dans un endroit sûr au cas où vous en auriez besoin.

Bonnes pratiques de sécurité concernant les comptes administrateur

Interdisez aux super-administrateurs de rester connectés à leur compte
Les super-administrateurs peuvent gérer tous les aspects du compte de votre entreprise et accéder à toutes les données concernant l'entreprise et les collaborateurs. En restant connecté à un compte super-administrateur lorsque vous n'effectuez pas de tâches administratives spécifiques, vous augmentez les risques d'activités malveillantes.

Les super-administrateurs doivent se connecter lorsque cela est nécessaire pour effectuer des tâches spécifiques, puis se déconnecter.

Rôles d'administrateur prédéfinis | Bonnes pratiques liées à la sécurité des comptes administrateur

Activez la mise à jour automatique des applications et navigateurs Internet
Pour bénéficier des dernières mises à jour de sécurité, assurez-vous que vos utilisateurs activent bien la mise à jour automatique de leurs applications et navigateurs Internet. S'ils utilisent Chrome, vous pouvez configurer la mise à jour automatique du navigateur pour l'ensemble de votre organisation.

Gérer les mises à jour de Chrome

Si vous utilisez Gmail, Agenda, Drive ou Docs

Configurez le service Gmail pour qu'il procède à des vérifications supplémentaires concernant les e-mails suspects

Activez l'analyse améliorée des messages avant distribution

L'hameçonnage est une pratique malveillante qui consiste à envoyer des e-mails pour inciter les utilisateurs à révéler des informations sensibles telles que des mots de passe, des numéros de compte ou d'autres informations personnelles.

Google analyse les messages entrants pour vous protéger contre l'hameçonnage. Lorsque Gmail identifie un e-mail comme tentative d'hameçonnage, un avertissement peut s'afficher, ou le message peut être déplacé vers le dossier "Spam". L'analyse améliorée des messages avant distribution permet à Gmail de bloquer des messages qui n'étaient auparavant pas forcément identifiés comme hameçonnage.

Utiliser l'analyse améliorée des messages avant distribution

Activez d'autres vérifications de sécurité Gmail
Google analyse les messages entrants pour vous protéger contre les programmes malveillants tels que les virus informatiques. Activez d'autres vérifications de sécurité pour les pièces jointes, les liens et les images externes afin de bloquer les e-mails qui n'étaient auparavant pas forcément identifiés comme malveillants.

Protection avancée contre l'hameçonnage et les logiciels malveillants

Assurez-vous que les destinataires des e-mails ne marquent pas vos messages comme spam
Le spam désigne l'envoi en masse d'e-mails non sollicités. Cette technique est généralement utilisée par des annonceurs peu scrupuleux, car elle n'implique aucun coût d'exploitation en dehors de la gestion de leurs listes de diffusion.

Le protocole Sender Policy Framework (SPF) est un dispositif de protection de messagerie permettant d'autoriser les e-mails légitimes envoyés par les utilisateurs de votre entreprise. Un enregistrement SPF détermine les serveurs de messagerie autorisés à envoyer des e-mails au nom de votre domaine.

Si vous ne définissez pas de protocole SPF pour votre domaine, certains messages risquent d'être renvoyés ou marqués comme spam.

Lutter contre le spoofing à l'aide des enregistrements SPF

Restreignez le partage d'agendas pour les personnes n'appartenant pas à votre entreprise
Les agendas des utilisateurs peuvent contenir des informations sensibles. Vous devez limiter la manière dont vos utilisateurs partagent leurs agendas avec des personnes n'appartenant pas à votre entreprise. Limitez le partage d'agendas en externe aux informations de disponibilité uniquement.

Configurer les options de visibilité et de partage dans Agenda

Déterminez les utilisateurs autorisés à consulter les nouveaux fichiers
Vous pouvez spécifier les personnes autorisées à consulter les fichiers créés par vos utilisateurs. Assurez-vous que seul l'utilisateur créant un fichier peut l'ouvrir jusqu'à ce qu'il demande explicitement à le partager. Pour ce faire, désactivez l'option Partage de lien.

Définir les autorisations de partage des utilisateurs Drive

Avertissez les utilisateurs lorsqu'ils partagent un fichier avec des personnes n'appartenant pas à votre entreprise
Si vous permettez aux utilisateurs de partager des fichiers avec des personnes n'appartenant pas à votre entreprise, assurez-vous qu'ils reçoivent bien un avertissement lorsqu'ils tentent de le faire. Cet avertissement les invite à confirmer qu'ils souhaitent partager le fichier avec une personne n'appartenant pas à votre entreprise.

Définir les autorisations de partage des utilisateurs Drive

Votre entreprise a-t-elle des exigences de sécurité particulières ?

Il se peut que votre entreprise compte moins de 10 utilisateurs, mais qu'elle réponde aux mêmes exigences que celles d'une entreprise beaucoup plus grande concernant la sécurité des données.

Par exemple, les petites entreprises d'investissement et de planification financière, ou les entreprises traitant des données liées à la santé peuvent disposer d'exigences particulières liées à la réglementation, la confidentialité et la sécurité. Ces entreprises peuvent employer des administrateurs informatiques chargés d'appliquer ces exigences supplémentaires.

Si cette description semble correspondre au profil de votre entreprise, suivez les bonnes pratiques décrites dans l'article Checklist de sécurité pour les moyennes et grandes entreprises comptant plus de 100 utilisateurs.

 

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?