Activer l'inscription des utilisateurs au programme Protection Avancée

1. Identifiez les utilisateurs vulnérables que vous souhaitez inclure dans le programme Protection Avancée.
   Bien souvent, les cibles des attaques sont les éléments qui ne semblent pas avoir une grande valeur ajoutée dans l'organisation. C'est pourtant par là que ces attaques se propagent. Au fil du temps, nous vous recommandons donc d'inclure davantage de rôles et de personnes. Vous trouverez ci-dessous une liste de cibles à forte valeur ajoutée que vous devriez protéger. Toutefois, n'oubliez pas que les attaques peuvent commencer par d'autres cibles pour se propager ensuite dans l'organisation. Envisagez d'enrichir cette liste au fil du temps :
   • Les super-administrateurs sont souvent des cibles privilégiées, puisqu'ils disposent de droits importants.
   • Les utilisateurs qui travaillent dans le domaine de la facturation ou de la production peuvent disposer de nombreux droits, et être ainsi exposés aux attaques.
   • Les dirigeants et autres cadres supérieurs de l'entreprise peuvent être des cibles de choix.
   • Des groupes d'utilisateurs qui auraient été pris pour cibles par le passé, ou même victimes d'attaques soutenues par un gouvernement, peuvent être des cibles. En plus de ces profils types, vous avez peut-être reçu des notifications concernant des utilisateurs vulnérables aux attaques. Dans ce domaine, vous devez prendre en compte l'ensemble de votre organisation.
2. Regroupez les utilisateurs dans des unités organisationnelles.

Vos utilisateurs doivent disposer de clés de sécurité ou de clés d'accès pour s'inscrire au programme Protection Avancée. Pour garantir l'accès au compte, un facteur de récupération de secours est également nécessaire pour l'inscription. Les utilisateurs doivent ajouter un numéro de téléphone et une adresse e-mail de récupération, ou une clé d'accès ou de sécurité de secours à conserver dans un endroit sûr.

Pour en savoir plus sur les clés de sécurité, consultez Commander vos clés de sécurité.

Pour en savoir plus sur les clés d'accès, consultez Se connecter avec une clé d'accès au lieu d'un mot de passe.

Configurez une liste d'applications approuvées pour y spécifier les applications qui peuvent accéder en toute confiance aux données de votre organisation, y compris les données de vos utilisateurs inscrits au programme Protection Avancée. La liste des applications approuvées s'applique à l'ensemble de votre organisation. Par défaut, les applications natives Google, les applications natives Apple iOS et le client de messagerie Mozilla Thunderbird sont approuvés pour les utilisateurs inscrits au programme Protection Avancée. Les autres applications nécessaires à votre activité doivent être ajoutées de manière explicite à la liste des applications approuvées.

1. Dans la console d'administration Google, accédez à Menu  SécuritéContrôle des accès et des donnéesCommandes des APIGérer l'accès des applications tierces.

   Accéder à "Gérer l'accès des applications tierces"

   Pour cette tâche, vous devez être connecté en tant que super-administrateur.

2. Pour obtenir des instructions détaillées sur la gestion de l'accès des applications tierces, consultez Contrôler quelles applications tierces et internes ont accès aux données Google Workspace.

Le programme Protection Avancée utilise la validation en deux étapes. Pour permettre aux utilisateurs d'activer la validation en deux étapes, vous devez sélectionner le paramètre correspondant dans la console d'administration Google. Ce paramètre s'applique à l'ensemble de votre organisation racine, qui peut être composée de plusieurs domaines.

1. Accédez à Déployer la validation en deux étapes, puis consultez "Étape 2 : Configurez la validation en deux étapes de base (obligatoire)".
2. Suivez la procédure permettant d'activer la validation en deux étapes pour l'ensemble de votre organisation (tous les domaines).

Par défaut, les utilisateurs peuvent s'inscrire eux-mêmes au programme Protection Avancée. Si nécessaire, vous pouvez désactiver cette fonctionnalité utilisateur.

1. Dans la console d'administration Google, accédez à Menu  SécuritéAuthentificationProgramme Protection Avancée.

   Accéder au programme Protection Avancée

   Pour cette tâche, vous devez être connecté en tant que super-administrateur.

2. Pour activer l'inscription des utilisateurs que vous avez identifiés, sélectionnez l'unité organisationnelle à laquelle ils appartiennent.
3. Le paramètre Activer l'inscription des utilisateurs est activé par défaut. Si ce n'est pas le cas, sélectionnez-le.
4. Indiquez le type de code de sécurité que vos utilisateurs peuvent générer.  L'utilisation de tels codes fait perdre en sécurité. Par conséquent, vos utilisateurs ne doivent être autorisés à générer des codes de sécurité que s'ils sont obligés d'en utiliser. Pour connaître les règles de sécurité, consultez Protéger les utilisateurs grâce au programme Protection Avancée.

   Choisissez l'une des options de code de sécurité suivantes pour vos utilisateurs :

   • Ne pas autoriser les utilisateurs à générer des codes de sécurité : les utilisateurs ne peuvent pas générer de codes de sécurité. Cette option fournit le niveau de sécurité le plus élevé. Utilisez cette option si tous les utilisateurs travaillent sur Google Chrome et à partir d'applications modernes.
   • Autoriser les codes de sécurité sans accès distant : les utilisateurs peuvent générer des codes de sécurité et les utiliser sur le même appareil ou réseau local (NAT ou LAN). Il s'agit de la valeur par défaut. Elle offre un niveau de sécurité moindre par rapport à l'absence d'un code de sécurité, mais un niveau plus important que les codes de sécurité avec accès à distance décrits ci-dessous. Cette option est adaptée aux outils suivants :
     • Applications iOS
     • Mac
     • Internet Explorer
     • Safari
     • Anciennes applications de bureau et applications mobiles qui utilisent des composants WebView au lieu de Chrome pour l'authentification
   • Autoriser les codes de sécurité avec accès distant : les utilisateurs peuvent générer des codes de sécurité et les utiliser sur d'autres appareils ou réseaux, par exemple pour accéder à un serveur distant ou une machine virtuelle.

Pour en savoir plus, consultez le blog Google Workspace Updates.

Une fois l'inscription au programme Protection Avancée activée, les utilisateurs peuvent s'inscrire eux-mêmes. Pour ce faire, ils doivent accéder à une page Web et y configurer des clés de sécurité ou d'accès. Ils reçoivent également des informations concernant les modifications qui s'appliquent lorsqu'ils activent la protection avancée.

Communiquez à vos utilisateurs les plans de l'entreprise en incluant, entre autres, les informations suivantes :

• Expliquez le programme Protection Avancée et les raisons pour lesquelles votre entreprise l'utilise.
• Indiquez si la Protection Avancée est facultative ou obligatoire.
• Si nécessaire, indiquez la date avant laquelle les utilisateurs doivent s'être inscrits au programme Protection Avancée.
• Indiquez aux utilisateurs qu'une fois leur inscription effectuée, ils sont déconnectés de tous les appareils et applications tierces, et doivent alors se reconnecter.
• Distribuez des clés de sécurité aux utilisateurs ou conseillez-leur de configurer des clés d'accès sur leurs appareils.
• Indiquez le lien de la page Web leur permettant de s'inscrire : Programme Protection Avancée.