Sécurité

Nous avons passé des années à développer l'une des infrastructures les plus avancées et les plus sécurisées du monde. Plus de 700 ingénieurs, parmi lesquels figurent certains des plus grands experts en sécurité informatique au monde, œuvrent à la protection de vos données. La sécurité est le cœur de notre architecture, et nous travaillons chaque jour pour l'améliorer. L'équipe Google responsable de la sécurité des informations a publié des centaines d'articles de recherches académiques sur le domaine. Elle a ouvert la voie à la découverte de failles logicielles et à la mise en œuvre de protections telles que le chiffrement des données et la validation en deux étapes.

Nous recevons de nombreuses questions à ce sujet. Afin de vous donner des éléments de réponse, nous avons créé les présentes questions fréquentes, ainsi qu'un site sur la sécurité dans G Suite en complément. Nous espérons ainsi répondre à vos interrogations quant au positionnement de Google sur ces sujets importants. Pensez à consulter les Règles de confidentialité et Conditions d'utilisation de Google pour obtenir des informations sur la confidentialité des données du grand public.

Pour savoir comment signaler un cas d'utilisation abusive à notre équipe, consultez cette page d'informations.

Puis-je avoir l'assurance que les clients qui partagent les mêmes serveurs que moi n'ont pas la possibilité d'accéder à mes données ?

Vos données sont protégées normalement, comme si elles résidaient sur un serveur dédié. Les personnes non autorisées n'y ont pas accès. Les autres clients ne peuvent pas accéder à vos données, et vice versa. Plus concrètement, tous les comptes utilisateur sont protégés par notre architecture sécurisée qui garantit qu'aucun utilisateur ne peut accéder aux données d'un autre.

L'accès de mon organisation à Google Cloud via Internet est-il sécurisé ?

Les services Google offrent la possibilité d'accéder aux données par le biais de liaisons HTTPS chiffrées. Le protocole HTTPS est activé par défaut pour tous les utilisateurs, qui sont ainsi assurés qu'eux seuls peuvent lire leurs propres données. L'accès au client de messagerie mobile est également soumis à un système de chiffrement assurant la confidentialité des communications. Nous exigeons le chiffrement en cas d'accès à vos données de messagerie électronique par des clients tiers.

Les connexions SSL/TLS sont-elles autorisées dans G Suite ?

Oui. La connectivité SSL (Secure Sockets Layer)/TLS (Transport Layer Security) est disponible pour tous les clients G Suite. Elle est activée par défaut pour les nouveaux clients.

Si le protocole de transport sécurisé TLS est activé, les administrateurs G Suite peuvent exiger que les e-mails échangés avec des domaines spécifiques soient sécurisés par chiffrement TLS. Par exemple, une organisation cliente peut décider de transmettre tous les messages adressés à son conseiller juridique externe via une connexion sécurisée. Si le protocole TLS n'est pas disponible pour le domaine spécifié, les messages entrants provenant de ce domaine sont rejetés et les messages sortants adressés à ce domaine ne sont pas transmis.

Quelles sont les mesures prises par Google pour lutter contre les pirates, les hackivistes, les gouvernements et tout autre type d'intrusion ?

Grâce à la technologie, à l'évolutivité et à l'agilité de notre infrastructure, vous bénéficiez d'avantages uniques en matière de sécurité. Par souci de sécurité et de performances, nos centres de données abritent des serveurs spécialement conçus pour vos besoins et qui exécutent notre propre système d'exploitation. Plus de 700 ingénieurs Google responsables de la sécurité, parmi lesquels figurent certains des plus grands experts au monde, œuvrent, de jour comme de nuit, à la détection précoce des menaces et à leur neutralisation rapide. Chaque incident nous permet de nous améliorer et de renforcer nos connaissances. Nous incitons même la communauté des chercheurs spécialisés sur les questions de sécurité, dans laquelle nous sommes très actifs, à présenter les vulnérabilités de nos systèmes. Voici quelques exemples illustrant à quel point sécurité et fiabilité sont au cœur de nos préoccupations :

Les centres de données de Google utilisent du matériel sur mesure sur lequel sont exécutés un système d'exploitation et un système de fichiers personnalisés. Chacun de ces systèmes a été pensé pour optimiser la sécurité et les performances. De plus, comme Google contrôle l'ensemble du parc matériel, nous sommes en mesure de réagir rapidement en cas de menace ou de vulnérabilité portée à notre connaissance.

Google est le premier grand fournisseur de services cloud à avoir mis en place la confidentialité persistante totale (PFS, Perfect Forward Secrecy) qui consiste à chiffrer les contenus échangés entre nos serveurs et ceux d'autres sociétés. De nombreux concurrents nous ont emboîté le pas ou se sont engagés à le faire prochainement.

Google chiffre les données Gmail (pièces jointes incluses) et Drive dans le cadre de transferts. Ainsi, vos messages sont protégés non seulement lorsque vous les envoyez sur les serveurs de Google, mais aussi quand ils sont transférés d'un centre de données Google à un autre.

En 2013, pour se prémunir contre les progrès de l'analyse cryptographique, Google a doublé la longueur de la clé de chiffrement RSA qui a été portée à 2 048 bits, et nous changeons de clés toutes les quelques semaines.

Comment être sûr que vous tenez vos promesses ?

Les clients de Google et les autorités de réglementation exigent un examen indépendant des dispositifs de contrôle de la sécurité, de la confidentialité et de la conformité. Pour répondre à cette exigence, nous nous soumettons régulièrement à différents audits réalisés par des tiers indépendants. Pour chacun d'entre eux, un auditeur indépendant examine nos centres de données, notre infrastructure et nos opérations.

G Suite et Google Cloud Platform sont soumis aux audits SOC1, SOC2 et SOC3 de l'institut des experts-comptables américains AICPA (American Institute of Certified Public Accountants), et à la certification pour les normes ISO/CEI 27001, 27017 et 27018. Cela signifie qu'un auditeur externe a passé au crible les processus de protection des données figurant dans nos systèmes (y compris la sécurité logique, la confidentialité et la sécurité des centres de données) et a conclu que ces contrôles ont bien été mis en place et fonctionnent correctement.

Des intervenants extérieurs peuvent-ils tester les contrôles de sécurité de Google ? Notre organisation peut-elle conduire ses propres tests d'intrusion ?

Oui. Les personnes qui, par leur grande expertise, nous permettent de protéger nos utilisateurs, sont une réelle richesse. Nous avons donc mis sur pied un système de primes intitulé Vulnerability Reward Program valable pour tous les services Web détenus par Google. Votre organisation peut s'inscrire à ce programme. Google est le premier grand fournisseur de services cloud à proposer un programme de ce type. En savoir plus sur le programme

Mes données en transit sont-elles chiffrées par Google ?

Oui. Les données sont chiffrées à plusieurs niveaux. Le protocole HTTPS (Hypertext Transfer Protocol Secure) est appliqué systématiquement pour tous les échanges entre les utilisateurs et les services G Suite. De plus, tous les services utilisent la confidentialité persistante totale (PFS, Perfect Forward Secrecy). Google chiffre également les messages échangés avec d'autres serveurs de messagerie qui utilisent le protocole TLS sur 256 bits, mais aussi les clés de chiffrement 2048 RSA lors des phases de validation et d'échange de clés. Cette méthode permet de protéger les e-mails échangés entre les utilisateurs de nos clients et des tiers externes qui utilisent également TLS.

La confidentialité persistante totale exige que les clés privées d'une connexion ne soient pas stockées. Quiconque déchiffre une clé unique ne peut pas déchiffrer les connexions des mois passés. Même l'opérateur du serveur ne peut pas déchiffrer les sessions HTTPS a posteriori.

Google s'efforce en permanence de renforcer le chiffrement et de l'appliquer à de nouveaux liens et services.

Mes données au repos sont-elles chiffrées par Google dans G Suite ?

Les données des clients qui sont importées ou créées dans les services G Suite et qui ne sont pas utilisées sont chiffrées, comme décrit dans la liste ci-dessous. Nous avons également activé HTTPS pour tous les services G Suite afin que vos données soient chiffrées lorsqu'elles transitent de votre appareil vers Google, mais également entre les différents centres de données de Google. La liste suivante détaille les types de données chiffrées pour chaque service G Suite :

  • Gmail : messages et pièces jointes
  • Agenda : événements et descriptions d'événements
  • Classroom : classes et toutes les informations associées
  • Drive : fichiers dans Drive et toutes les métadonnées de ces fichiers (titres et commentaires, par exemple)
  • Docs : contenus autorisés par le propriétaire du document ou les personnes qui participent à sa création, à l'exception des contenus intégrés dans le document, mais hébergés dans d'autres produits Google non inclus dans cette liste (YouTube, par exemple)
  • Sheets (y compris Forms) : contenus autorisés par le propriétaire de la feuille de calcul ou par les personnes qui participent à sa création, à l'exception des contenus intégrés dans la feuille de calcul, mais hébergés dans d'autres produits Google non inclus dans cette liste (YouTube, par exemple).
  • Slides : contenus autorisés par le propriétaire de la présentation ou par les personnes qui participent à sa création, à l'exception des contenus intégrés dans la présentation, mais hébergés dans d'autres produits Google non inclus dans cette liste (YouTube, par exemple)
  • Talk : conversations enregistrées archivées
  • Chat Hangouts : conversations enregistrées archivées (les messages de chat en mode privé ne sont pas conservés, et ne sont donc pas concernés par le chiffrement des données inactives)
  • Sites : contenus autorisés par les propriétaires du site ou les personnes qui participent à sa création, à l'exception des (i) contenus intégrés dans le site, mais stockés dans d'autres produits Google non inclus dans cette liste (YouTube, par exemple) ; (ii) contenus intégrés dans le site via Sites, Google Gadgets ou des liens hotlink vers des images, mais toujours hébergés sur un autre site Web tiers
  • Contacts : contenus provenant du carnet d'adresses de l'utilisateur final
  • Google Groupes : messages Google Groupes archivés
  • Vault : les contenus créés par des administrateurs Vault sont chiffrés, de même que les requêtes enregistrées et les journaux d'audit. Les données exportées suivantes sont également chiffrées : messages et pièces jointes Gmail, conversations Talk, messages de chat Hangouts et fichiers Drive (sauf les contenus vidéo).
  • Keep : contenus autorisés par le propriétaire de la note ou de la liste
Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?