Ces paramètres et fonctionnalités peuvent fonctionner ensemble pour répondre à divers besoins de conformité. Toutefois, il vous incombe d'évaluer vos besoins de conformité par rapport aux exigences du niveau d'impact 4 (IL4) et d'autres normes.
Cet article présente les fonctionnalités et paramètres recommandés que les administrateurs Google Workspace doivent activer pour respecter les contrôles de sécurité IL4. Pour bien comprendre les fonctionnalités supplémentaires requises pour satisfaire aux exigences IL4, consultez la documentation concernant IL4 sur eMASS.
Google Workspace et IL4
La sécurité cloud est reconnue dans le secteur comme une responsabilité partagée entre le client et le fournisseur de services cloud (FSC). Pour sa part, Google Workspace applique les contrôles de sécurité requis par le gouvernement fédéral des États-Unis et les normes internationales de sécurité et de confidentialité dans le cloud. Par exemple, Google Workspace dispose des autorisations IL4 et FedRAMP au niveau d'impact élevé, est certifié ISO 27017, 27018 et 27001, et est soumis aux audits SOC (Service Organization Control) de l'AICPA. En savoir plus sur les offres de conformité et les rapports de conformité de Google Workspace
Google Workspace fournit des contrôles de conformité IL4 aux clients du département de la Défense (DOD) qui doivent opérer dans le périmètre IL4.
Pour assurer la conformité avec IL4, vous devez disposer de l'édition Google Workspace Enterprise Plus et d'Assured Controls Plus.
Enterprise Plus avec Assured Controls Plus inclut des contrôles et des fonctionnalités de sécurité intégrés qui permettent aux clients du DOD de respecter les exigences du niveau IL4 et d'émettre leur propre agrément d'exploitation (ATO, Authority to Operate). Les principales fonctionnalités de Google Workspace qui répondent aux exigences IL4 incluent la possibilité de limiter géographiquement :
- les données aux États-Unis à l'aide de régions de données ;
- les mesures d'assistance Google exclusivement aux Personnes des États-Unis à l'aide d'Assured Controls Access Management.
Les sections suivantes décrivent les fonctionnalités et les contrôles que vous pouvez appliquer pour répondre aux exigences du règlement concernant IL4.
Services couverts par l'autorisation IL4
Si les utilisateurs sont tenus d'être dans le périmètre IL4, vous pouvez leur accorder l'accès uniquement aux services ayant reçu l'autorisation IL4. Pour en savoir plus, consultez Activer ou désactiver un service pour les utilisateurs Google Workspace.
Services actuellement couverts par l'autorisation IL4 :
- Gmail
- Google Agenda
- Google Chat
- Google Docs
- Google Drive
- Google Forms
- Google Meet
- Google Sheets
- Google Slides
Emplacement des données (États-Unis)
Google détient et gère des centres de données qui hébergent les services Google Workspace aux États-Unis continentaux (CONUS).
Google peut stocker les données principales au repos chiffrées de Google Workspace dans un emplacement géographique spécifique : aux États-Unis ou en Europe. Choisissez les États-Unis pour les utilisateurs qui doivent rester dans le périmètre IL4.
Nous recommandons aux clients du DOD de définir une règle pour la région des données pour tous leurs utilisateurs. Si vous disposez de l'édition Enterprise Plus, Education Plus ou Education Standard, vous pouvez définir une région de données pour une unité organisationnelle ou un groupe de configuration. Pour en savoir plus sur les régions de données et sur le choix d'un emplacement géographique pour vos données, consultez Régions de données : choisir l'emplacement géographique de vos données.
Assured Controls
Assured Controls est un module complémentaire requis pour que les clients du DOD puissent répondre à leurs exigences de conformité IL4. Ce module complémentaire vous permet de contrôler précisément l'accès des fournisseurs de services cloud. Access Management vous permet de limiter géographiquement les mesures d'assistance Google aux Personnes des États-Unis qui font partie de nos équipes d'assistance. Pour assurer la conformité avec IL4, vous devez limiter géographiquement le personnel d'assistance Google exclusivement aux Personnes des États-Unis à l'aide de ce module complémentaire.
Access Transparency
La fonctionnalité Access Transparency de Google Workspace est conçue pour permettre aux organisations de voir les actions effectuées par le personnel de Google. Les clients du DOD doivent surveiller les journaux Access Transparency pour suivre et vérifier l'accès à leurs données.
Protection contre la perte de données
La protection contre la perte de données Google Workspace est un ensemble d'outils et de processus conçus pour empêcher le partage non autorisé, l'exposition ou le vol d'informations sensibles dans l'environnement Google Workspace d'une organisation. Vous pouvez configurer des règles de protection contre la perte de données pour effectuer automatiquement des actions sur les données sensibles, comme bloquer la transmission des données, avertir les administrateurs ou mettre en quarantaine le contenu pour examen.
Les clients du DOD doivent configurer la protection contre la perte de données pour surveiller et contrôler la façon dont les informations sensibles sont traitées dans leur organisation.
Authentification unique
L'authentification unique (SSO) Google Workspace est le processus d'authentification de Google qui permet aux utilisateurs d'accéder à plusieurs applications et services avec un seul ensemble d'identifiants.
Les clients du DOD doivent implémenter et appliquer des protocoles d'authentification stricts, en veillant à ce que seul le personnel autorisé ait accès aux informations contrôlées non classifiées (CUI, Controlled Unclassified Information).
Google Vault
Google Vault est un outil de gouvernance des informations et d'ediscovery qui permet aux organisations de gérer, de conserver, de rechercher et d'exporter leurs données dans les applications Google Workspace.
Les clients du DOD doivent configurer les fonctionnalités de conservation et d'ediscovery pour s'assurer que les informations contrôlées non classifiées peuvent être correctement conservées, consultées et surveillées conformément aux normes IL4.
Vous avez encore besoin d'aide ?
Pour en savoir plus, contactez votre conseiller commercial Google ou nos distributeurs :