Sécurité

Nous avons passé des années à développer l'une des infrastructures les plus avancées et les plus sécurisées du monde. Plus de 500 ingénieurs, parmi lesquels figurent certains des plus grands experts en sécurité informatique au monde, œuvrent à la protection de vos données. La sécurité est le cœur de notre architecture et nous l'améliorons chaque jour. L'équipe Google responsable de la sécurité a publié des centaines d'articles de recherches académiques sur le domaine. Elle a ouvert la voie en découvrant de nouvelles menaces et en mettant en oeuvre des systèmes de protection comme la validation en deux étapes qui a entraîné l'adoption du chiffrement.

Nous recevons de nombreuses questions à ce sujet. Afin de vous donner des éléments de réponse, nous avons créé la présente FAQ, ainsi qu'un site sur la sécurité dans G Suite. Nous espérons ainsi répondre à vos interrogations quant au positionnement de Google sur ces sujets importants. Pensez à consulter la page rassemblant les règles de confidentialité et conditions d'utilisation de Google pour obtenir davantage d'outils et d'informations sur la confidentialité des données du grand public.

Pour connaître la procédure de signalement d'un cas d'utilisation abusive, reportez-vous à cette page d'informations.

Puis-je être assuré que les clients qui partagent les mêmes serveurs que moi ne puissent pas accéder à mes données ?

Vos données sont protégées normalement, comme si elles résidaient sur un serveur dédié. Les personnes non autorisées n'y ont pas accès. Vos concurrents ne peuvent pas consulter vos données, et vice-versa. Plus concrètement, tous les comptes utilisateur sont protégés par cette architecture sécurisée qui garantit qu'aucun utilisateur ne peut accéder aux données d'un autre. La manière dont les données client sont segmentées est similaire à celle d'autres infrastructures partagées telles que les applications de banque en ligne.

L'accès de mon organisation à Google Cloud via Internet est-il sécurisé ?

Les services Google offrent la possibilité d'accéder aux données par le biais de liaisons HTTPS chiffrées. Le protocole HTTPS est activé par défaut pour tous les utilisateurs qui sont ainsi assurés qu'eux seuls ont accès à leurs propres données. L'accès au client de messagerie mobile est également soumis à un système de chiffrement assurant la confidentialité des communications. Nous exigeons le chiffrement en cas d'accès à vos données de messagerie électronique par des clients tiers.

Les connexions SSL/TLS sont-elles autorisées dans G Suite ?

Oui. La connectivité SSL (Secure Sockets Layer)/TLS (Transport Layer Security) est disponible pour tous les clients G Suite. Elle est activée par défaut pour les nouveaux clients.

Si le protocole de transport sécurisé TLS est activé, les administrateurs G Suite peuvent exiger que les e-mails échangés avec des domaines spécifiques soient sécurisés par chiffrement TLS. Par exemple, une organisation cliente peut décider de transmettre tous les messages adressés à son conseiller juridique externe via une connexion sécurisée. Si le protocole TLS n'est pas disponible pour le domaine spécifié, les messages entrants provenant de ce domaine sont rejetés et les messages sortants adressés à ce domaine ne sont pas transmis.

Quelles sont les mesures prises par Google pour lutter contre les pirates, les hackivistes, les gouvernements et tout type d'intrusion ?

Grâce à la technologie, à l'évolutivité et à l'agilité de notre infrastructure, vous bénéficiez d'avantages uniques en matière de sécurité. Par souci de sécurité et de performances, nos centres de données abritent des serveurs fabriqués sur mesure qui exécutent notre propre système d'exploitation. Les 500 ingénieurs Google responsables de la sécurité, parmi lesquels figurent certains des plus grands experts au monde, œuvrent, de jour comme de nuit, à la détection précoce des menaces et à leur neutralisation rapide. Chaque incident permet de nous améliorer et de renforcer nos connaissances. Nous incitons même les chercheurs spécialisés sur les questions de sécurité, dans laquelle nous sommes très actifs, à présenter les vulnérabilités de nos systèmes. Voici quelques exemples illustrant à quel point sécurité et fiabilité sont au cœur de nos préoccupations :

Les centres de données de Google utilisent du matériel sur mesure sur lequel sont exécutés un système d'exploitation et un système de fichiers personnalisés. Chacun de ces systèmes a été pensé pour optimiser la sécurité et les performances. En outre, comme Google contrôle l'ensemble du parc matériel, nous sommes en mesure de réagir rapidement en cas de menace ou de vulnérabilité portée à notre connaissance.

Google est le premier grand fournisseur de services cloud à avoir mis en œuvre la confidentialité de transmission parfaite (Perfect Forward Secrecy) qui consiste à chiffrer les contenus échangés entre nos serveurs et ceux d'autres sociétés. De nombreux concurrents nous ont emboîté le pas ou se sont engagés à le faire prochainement.

Google chiffre les données Gmail (pièces jointes incluses) et Drive lors de leur transmission. Ainsi, vos messages sont protégés non seulement lorsque vous les envoyez sur les serveurs de Google, mais aussi quand ils sont transférés d'un centre de données Google à un autre.

En 2013, pour se prémunir contre les progrès de l'analyse cryptographique, Google a doublé la longueur de la clé de chiffrement RSA qui a été portée à 2 048 bits. Nous changeons de clés à intervalles réguliers de quelques semaines, ce qui élève la barre pour les autres entreprises du secteur.

Comment être sûr que vous tenez vos promesses ?

G Suite et Google Cloud Platform sont certifiés par des audits SOC1 , SOC2 et SOC3 , par l'AICPA (American Institute of Certified Public Accountants) et par la norme ISO/IEC 27001. Cela signifie qu'un auditeur externe a passé au crible les processus de protection des données figurant dans nos systèmes (y compris la sécurité logique, la confidentialité et la sécurité des centres de données) et a conclu que ces contrôles ont bien été mis en place et fonctionnent correctement.

Des intervenants extérieurs peuvent-ils tester les contrôles de sécurité de Google ? Notre organisation peut-elle conduire ses propres tests d'intrusion ?

Oui. Les personnes qui, par leur grande expertise, nous permettent de protéger nos utilisateurs, sont une réelle richesse. Nous avons donc mis sur pied un système de primes intitulé Vulnerability Reward Program valable pour tous les services Web détenus par Google. Votre organisation peut s'inscrire à ce programme. Google est le premier grand fournisseur de services cloud à proposer un programme de ce type. En savoir plus sur le programme

Mes données sont-elles chiffrées par Google ?

Oui. Les données sont chiffrées à plusieurs niveaux. Le protocole HTTPS (Hypertext Transfer Protocol Secure) est appliqué systématiquement pour tous les échanges entre les utilisateurs et les services G Suite. En outre, tous les services utilisent la confidentialité de transmission parfaite (PFS, Perfect Forward Secrecy). Google chiffre également les messages échangés avec d'autres serveurs de messagerie qui utilisent le protocole TLS sur 256 bits et les clés de chiffrement 2048 RSA lors des phases de validation et d'échange de clés. Cette méthode permet de protéger les e-mails échangés entre les utilisateurs de nos clients et des tiers externes qui utilisent également TLS.

La confidentialité de transmission parfaite exige que les clés privées d'une connexion ne soient pas stockées. Quiconque déchiffre une clé unique ne peut pas déchiffrer les connexions des mois passés. Même l'opérateur du serveur ne peut pas déchiffrer les sessions HTTPS a posteriori.

Google s'efforce en permanence de renforcer le chiffrement et de l'appliquer à de nouveaux liens et services.

G Suite inclut l'outil Mobile Device Management (MDM) pour Android et iOS® qui permet notamment d'activer des appareils, de supprimer à distance les données d'un appareil et d'effectuer un chiffrement en fonction de règles. Le service MDM vous permet de contrôler vos données et de faciliter l'accès aux informations d'entreprise par les personnes qui utilisent leur appareil personnel, sans compromettre la sécurité.

Comment sont chiffrées les données inactives dans G Suite ?

Les données des clients qui sont importées ou créées dans les services G Suite et qui ne sont pas utilisées sont chiffrées, comme décrit dans la liste ci-dessous. Nous avons également activé HTTPS pour tous les services G Suite de façon à ce que vos données soient chiffrées lorsqu'elles transitent de votre appareil vers Google, mais également entre les différents centres de données de Google. La liste suivante détaille les types de données chiffrées pour chaque service G Suite :

  • Gmail : messages et pièces jointes
  • Agenda : événements et descriptions d'événements
  • Drive : fichiers importés dans Drive via Google Drive pour Windows, Google Drive pour Mac, l'interface Web de Drive, les applications mobiles Drive, l'API Google Drive, Google Photos et Gmail. Dans tous les cas, les vidéos mises en ligne ne sont pas chiffrées.
  • Docs : contenus autorisés par le propriétaire du document ou les personnes qui participent à sa création, à l'exception des contenus intégrés dans le document, mais hébergés dans d'autres produits Google non inclus dans cette liste (YouTube, par exemple)
  • Sheets (y compris Forms) : contenus autorisés par le propriétaire de la feuille de calcul ou par les personnes qui participent à sa création, à l'exception des contenus intégrés dans la feuille de calcul, mais hébergés dans d'autres produits Google non inclus dans cette liste (YouTube, par exemple).
  • Slides : contenus autorisés par le propriétaire de la présentation ou par les personnes qui participent à sa création, à l'exception des contenus intégrés dans la présentation, mais hébergés dans d'autres produits Google non inclus dans cette liste (YouTube, par exemple)
  • Talk : conversations enregistrées archivées
  • Chat Hangouts : conversations enregistrées archivées et messages de chat en mode privé qui ne sont pas conservés et ne sont donc pas concernés par le chiffrement des données inactives
  • Sites : contenus autorisés par les propriétaires du site ou les personnes qui participent à sa création, à l'exception des (i) contenus intégrés dans le site, mais stockés dans d'autres produits Google non inclus dans cette liste (YouTube, par exemple) ; (ii) contenus intégrés dans le site via Sites, Google Gadgets ou des liens hotlink vers des images, mais toujours hébergés sur un autre site Web tiers
  • Contacts : contenus provenant du carnet d'adresses de l'utilisateur final
  • Google Groupes : messages Google Groupes archivés
  • Vault : les contenus créés par des administrateurs Vault sont chiffrés, de même que les requêtes enregistrées et les journaux d'audit. Les données exportées suivantes sont également chiffrées : messages et pièces jointes Gmail, conversations Talk, messages de chat Hangouts et fichiers Drive (sauf les contenus vidéo).
Cet article vous a-t-il été utile ?
Comment pouvons-nous l'améliorer ?