Questions fréquentes sur le chiffrement côté client

Pour en savoir plus sur le chiffrement par défaut de Google, accédez au site Google Cloud.

Pour en savoir plus sur le chiffrement standard de Gmail, consultez Chiffrement en transit dans le centre d'aide Gmail.

Avec le chiffrement de bout en bout (E2EE), le chiffrement et le déchiffrement ont toujours lieu sur les appareils source et cible (par exemple, sur les téléphones mobiles pour la messagerie instantanée). Les clés de chiffrement sont générées sur le client. En tant qu'administrateur, vous ne pouvez donc pas contrôler les clés sur les clients ni les personnes autorisées à les utiliser. De plus, vous ne pouvez pas savoir quels sont les contenus chiffrés par les utilisateurs.

Avec le chiffrement côté client (CSE), le chiffrement et le déchiffrement ont également toujours lieu sur les appareils source et cible, ici les navigateurs des clients. Toutefois, les clients utilisent des clés de chiffrement générées et stockées à l'aide d'un service de gestion de clés dans le cloud. Vous pouvez ainsi contrôler les clés et les accès à celles-ci. Par exemple, vous pouvez révoquer l'accès d'un utilisateur à des clés, même si c'est lui qui les a générées. Vous pouvez également surveiller les fichiers chiffrés des utilisateurs.

Les utilisateurs peuvent choisir une option dans les services compatibles pour activer le CSE. Pour savoir comment les utilisateurs peuvent activer le CSE dans les applications Web et mobiles, consultez Présentation de l'expérience utilisateur avec le chiffrement côté client.

Oui, certaines fonctionnalités des services Google ne sont pas disponibles lorsque le CSE est activé. Pour en savoir plus, consultez Présentation de l'expérience utilisateur avec le chiffrement côté client.

Une clé de chiffrement est utilisée pour transformer les données dans un format illisible afin qu'elles apparaissent vides de sens. Cela les protège de toute personne ou de tout élément non autorisés à les lire. Pour lire des données chiffrées, une personne ou une application a besoin d'une clé permettant de reconvertir les données dans leur format d'origine.

Pour ajouter une couche de chiffrement aux données Google Workspace de votre organisation à l'aide de clés de chiffrement, vous devez utiliser un service de gestion des clés partenaire de Google ou créer votre propre service de clés à l'aide de l'API CSE de Google. Pour Gmail uniquement, vous pouvez également utiliser le chiffrement par clé matérielle : la clé de chiffrement d'un utilisateur se trouve alors sur une carte à puce.

Google a collaboré avec plusieurs services de gestion des clés pour une utilisation avec le CSE. Pour obtenir la liste des services, consultez Configurer votre service de clés pour le chiffrement côté client.

Non, vous devez utiliser un service de gestion de clés externe pour configurer le chiffrement côté client Google Workspace. Avec le CSE, vous contrôlez vos propres clés de chiffrement, et Google ne peut pas y accéder pour déchiffrer vos données.

Oui, vous pouvez utiliser plusieurs services de clés et choisir le service à utiliser pour une unité organisationnelle ou un groupe donné. Vous pouvez également migrer le contenu chiffré d'un service à un autre.

Remarque : Dans la console d'administration, vous pouvez configurer un seul service de clés pour le chiffrement côté client Gmail. Si vous souhaitez connaître les autres options disponibles pour gérer des clés, consultez la Présentation de l'API Google Workspace Client-side Encryption .

Oui, si votre organisation utilise des cartes à puce pour accéder aux installations et aux systèmes, vous pouvez configurer le chiffrement par clé matérielle pour le CSE Gmail. Vous devez disposer du module complémentaire Assured Controls ou Assured Controls Plus. Les utilisateurs peuvent chiffrer leurs e-mails à l'aide de leur carte à puce contenant leur clé de chiffrement privée. Pour en savoir plus, consultez Configurer et gérer le chiffrement côté client par clé matérielle (Gmail uniquement).

Oui, vous pouvez configurer à la fois un service de clés et des clés de chiffrement matérielles pour le CSE Gmail. Vous devez disposer du module complémentaire Assured Controls ou Assured Controls Plus. Vous attribuez également le service de clés et le chiffrement par clé matérielle aux mêmes utilisateurs. Toutefois, un utilisateur ne peut utiliser qu'un seul type de chiffrement pour Gmail, selon la configuration de sa clé de chiffrement privée pour Gmail. Pour en savoir plus, consultez Gmail uniquement : Configurer des certificats S/MIME pour le chiffrement côté client.

Oui, vous pouvez changer de service de clés. Dans ce cas, il est recommandé de migrer le contenu chiffré avec votre service de clés actuel vers le nouveau service. Pour en savoir plus, consultez Si vous souhaitez changer de service de clés.

Vous gérez la liste de contrôle d'accès (LCA) aux clés de chiffrement par l'intermédiaire de votre service de clés externe. Votre liste de contrôle d'accès doit inclure tous les utilisateurs qui doivent chiffrer ou déchiffrer (afficher ou modifier) le contenu. Pour en savoir plus, contactez votre fournisseur de chiffrement.

Vous devez par ailleurs activer le CSE pour tous les utilisateurs qui doivent chiffrer des données. Pour en savoir plus, consultez Activer ou désactiver le chiffrement côté client pour les utilisateurs.

Pour Gmail, Google Drive et Google Agenda, vous pouvez indiquer que le CSE est activé par défaut pour des unités organisationnelles spécifiques. Vous devez disposer du module complémentaire Assured Controls ou Assured Controls Plus.

Dans ce cas, les utilisateurs peuvent toujours le désactiver si nécessaire.

Pour en savoir plus, consultez Activer ou désactiver le chiffrement côté client pour les utilisateurs.

Vous n'avez pas besoin de configurer le CSE pour les Drive partagés.  Le service de clés externe que vous avez configuré dans la console d'administration fonctionne pour les fichiers de Mon Drive et des Drive partagés.

Si vous rencontrez un problème de configuration du CSE, consultez Afficher les détails des alertes pour en savoir plus.

Oui. Consultez Migrer des messages vers Gmail en tant qu'e-mails chiffrés côté client.

Oui. Consultez Fournir un accès externe au contenu chiffré côté client.

Vous pouvez migrer des fichiers chiffrés côté client vers un nouveau service de clés. Pour en savoir plus, consultez Si vous souhaitez changer de service de clés.

Oui, vous pouvez supprimer le chiffrement côté client d'un document, d'une feuille de calcul ou d'une présentation Google. Pour en savoir plus, consultez Supprimer le chiffrement d'un document.

Pour déchiffrer les fichiers chiffrés côté client que vous exportez à l'aide de l'outil d'exportation des données ou de Google Vault, vous pouvez utiliser l'utilitaire de déchiffrement accessible depuis la ligne de commande. Pour en savoir plus, consultez Déchiffrer des fichiers chiffrés côté client exportés.

Oui. Si votre édition Google Workspace comprend Google Vault, vous pouvez conserver, rechercher et exporter des fichiers Drive et des e-mails Gmail chiffrés côté client dans Vault.

Pour en savoir plus, consultez le Centre d'aide Google Vault.

• Pour le contenu principal chiffré côté client dans Google Docs et Slides, les modèles de machine learning sur l'appareil fournissent une fonctionnalité de correction orthographique, qui préserve la confidentialité des données du document.
• Pour Gmail et les commentaires dans Google Docs, le navigateur propose un correcteur orthographique.

  Si votre organisation utilise Google Chrome : assurez-vous que les utilisateurs CSE n'utilisent pas le correcteur orthographique amélioré de Chrome. Cette option envoie des données à Google. À la place, les utilisateurs CSE peuvent utiliser le correcteur orthographique de base de Chrome, qui n'envoie pas de données à Google. Pour en savoir plus, consultez Activer ou désactiver le correcteur orthographique de Chrome. Si vous utilisez le navigateur Chrome géré, vous pouvez créer une règle permettant de désactiver le correcteur orthographique pour les utilisateurs CSE. Elle a pour effet de désactiver le correcteur orthographique amélioré, mais pas le correcteur orthographique de base. Pour en savoir plus, consultez Définir des règles Chrome pour les utilisateurs ou les navigateurs.

Oui, vous pouvez convertir des fichiers Google Sheets exportés et déchiffrés en fichiers Microsoft Excel. Pour en savoir plus, consultez Convertir des fichiers Google exportés et déchiffrés en fichiers Microsoft Office.

Les fichiers et les e-mails chiffrés côté client ne sont pas analysés pour détecter les tentatives d'hameçonnage et les logiciels malveillants, car les serveurs de Google n'ont pas accès au contenu.

Les analyses de protection contre la perte de données ne peuvent pas accéder au contenu chiffré côté client dans les fichiers ou les e-mails. Toutefois, vous pouvez créer des règles de protection contre la perte de données pour :

• analyser les métadonnées non chiffrées des fichiers Drive, comme le titre du fichier et les libellés Drive (cela peut vous aider à éviter les fuites de données sensibles) ;
• analyser les fichiers Drive pour déterminer s'ils sont chiffrés côté client ou non en sélectionnant la condition de règle État du chiffrement du fichier > Est > Chiffré côté client ou Non chiffré côté client.

Pour savoir comment créer des règles de protection contre la perte de données pour Drive, consultez Créer des règles de protection contre la perte de données pour Drive et des détecteurs de contenu personnalisés.

Si les utilisateurs passent à une licence Google Workspace qui n'inclut pas le CSE, ils peuvent toujours accéder aux éléments chiffrés côté client, tels que les fichiers et les e-mails, et les modifier. En revanche, ils ne peuvent pas créer de nouveaux éléments chiffrés côté client.

Si vous ne souhaitez plus utiliser le CSE et voulez déchiffrer des éléments tels que des fichiers et des e-mails, vous devez d'abord exporter ces éléments à l'aide de l'outil d'exportation des données. Supprimez ensuite le CSE à l'aide de l'utilitaire de déchiffrement.