Les administrateurs informatiques des moyennes et grandes entreprises doivent suivre ces bonnes pratiques de sécurité pour renforcer la sécurité et la confidentialité des données de l'entreprise. Pour mettre en œuvre chacune des bonnes pratiques de cette checklist, vous pouvez utiliser un ou plusieurs paramètres de la console d'administration Google.
Si votre entreprise ne dispose pas d'administrateur informatique, consultez les recommandations de la checklist de sécurité pour les petites entreprises (1 à 100 utilisateurs), peut-être plus appropriées pour votre entreprise.
Remarque : Les paramètres décrits ici ne sont pas tous disponibles dans toutes les éditions de Google Workspace et éditions de Cloud Identity.
Bonnes pratiques concernant la sécurité — Configuration
Afin de protéger votre entreprise, la plupart des paramètres recommandés dans cette checklist sont activés par défaut.
Comptes administrateur
Dans la mesure où les super-administrateurs contrôlent l'accès à toutes les données de l'entreprise et des collaborateurs de l'organisation, il est particulièrement important que leurs comptes soient protégés.
Pour obtenir la liste complète des recommandations, consultez les bonnes pratiques de sécurité concernant les comptes administrateur.
Comptes
Appliquer l'authentification multifacteur
|
Exiger la validation en deux étapes pour les utilisateurs La validation en deux étapes contribue à protéger le compte d'un utilisateur contre les accès non autorisés au cas où un tiers parviendrait à obtenir son mot de passe. Protéger votre entreprise avec la validation en deux étapes | Déployer la validation en deux étapes |
|
|
Appliquez des clés de sécurité, au moins pour les administrateurs et les autres comptes importants Les clés de sécurité sont de petits périphériques matériels utilisés lors de la connexion, permettant de fournir une authentification à deux facteurs qui résiste à l'hameçonnage. |
Protéger vos mots de passe
|
|
Empêchez la réutilisation des mots de passe avec Alerte mot de passe Activez Alerte mot de passe pour vous assurer que les utilisateurs n'utilisent pas leurs mots de passe d'entreprise sur d'autres sites. |
|
|
Utilisez des mots de passe uniques. Définir un bon mot de passe constitue le premier moyen pour protéger des comptes utilisateur et administrateur. Les mots de passe uniques ne sont pas faciles à deviner. Il est également déconseillé d'utiliser des mots de passe identiques sur plusieurs comptes, par exemple pour votre messagerie et pour vos services bancaires en ligne. |
Empêcher le piratage et restaurer les comptes piratés
|
|
Consultez régulièrement les rapports d'activité et les alertes Examinez les rapports d'activité concernant l'état du compte, le statut de l'administrateur et les détails de l'inscription à la validation en deux étapes. |
|
|
Configurer des alertes par e-mail destinées aux administrateurs Configurez des alertes par e-mail pour des événements potentiellement risqués, tels que les tentatives de connexion suspectes, les piratages d'appareils mobiles ou la modification de paramètres par un autre administrateur. |
|
|
Ajouter des questions d'authentification à la connexion pour les utilisateurs Configurez des questions d'authentification à la connexion pour devancer les tentatives de connexion suspectes. Les utilisateurs doivent saisir le code de validation que Google envoie sur leur numéro de téléphone ou sur leur adresse e-mail de récupération, ou bien répondre à une question dont seul le propriétaire du compte connaît la réponse. Valider l'identité d'un utilisateur à l'aide de paramètres de sécurité supplémentaires | Ajouter l'ID d'employé comme question d'authentification à la connexion |
|
|
Identifier et sécuriser les comptes piratés Si vous pensez qu'un compte a été piraté, suspendez-le, recherchez des signes d'activité malveillante et prenez les mesures nécessaires.
|
|
|
Désactiver le téléchargement de données Google si nécessaire Si un compte est piraté ou si l'utilisateur quitte l'entreprise, empêchez cet utilisateur de télécharger toutes ses données Google avec Google Takeout. |
|
|
Empêcher l'accès non autorisé après le départ d'un collaborateur Pour éviter les fuites de données, révoquez l'accès d'un utilisateur aux données de votre organisation lorsqu'il la quitte. Maintenir la sécurité des données après le départ d'un employé |
Applications (Google Workspace uniquement)
|
|
Contrôler l'accès des applications tierces aux services principaux Vérifiez et approuvez les applications tierces pouvant accéder aux services principaux de Google Workspace, tels que Gmail et Drive. Contrôler quelles applications tierces et internes ont accès aux données Google Workspace |
|
|
Bloquer l'accès aux applications moins sécurisées Les applications moins sécurisées n'appliquent pas les normes de sécurité actuelles comme OAuth, ce qui augmente le risque de piratage des comptes ou des appareils. |
|
|
Créer une liste d'applications approuvées Créez une liste d'autorisation qui précise quelles applications tierces peuvent accéder aux services principaux de Google Workspace. Contrôler quelles applications tierces et internes ont accès aux données Google Workspace |
|
|
Contrôler l'accès aux services principaux de Google Vous pouvez autoriser ou bloquer l'accès aux applications Google telles que Gmail, Drive et Agenda en fonction de l'adresse IP, de l'origine géographique, des règles de sécurité ou du système d'exploitation d'un appareil. Vous pouvez, par exemple, autoriser Drive pour ordinateur uniquement sur les appareils appartenant à l'entreprise dans des pays/régions spécifiques. |
|
|
Ajouter une couche de chiffrement supplémentaire aux données des applications des utilisateurs Si votre organisation travaille avec des produits de propriété intellectuelle sensibles ou opère dans un secteur hautement réglementé, vous pouvez ajouter le chiffrement côté client à Gmail, Google Drive, Google Meet et Google Agenda. |
Agenda (Google Workspace uniquement)
|
|
Limiter le partage d'agendas en externe Limitez le partage d'agendas en externe aux informations de disponibilité uniquement. Vous limiterez ainsi les risques de fuite de données. Configurer les options de visibilité et de partage dans Agenda |
|
|
Avertir les utilisateurs lorsqu'ils invitent des personnes externes Par défaut, Agenda avertit les utilisateurs lorsqu'ils invitent des personnes externes. Vous limiterez ainsi les risques de fuite de données. Assurez-vous que cet avertissement est activé pour tous les utilisateurs. Autoriser les invitations externes dans les événements Google Agenda |
Google Chat (Google Workspace uniquement)
|
|
Déterminez les utilisateurs autorisés à discuter en externe N'autorisez que les utilisateurs ayant un besoin spécifique à envoyer des messages ou à créer des salons avec des utilisateurs extérieurs à votre organisation. Ainsi, les utilisateurs externes ne peuvent pas voir les précédentes discussions internes, et le risque de fuite de données est réduit. Contrôler les options de discussion externe dans Chat et les espaces |
|
|
Définir une règle relative aux invitations au chat Déterminez quels utilisateurs peuvent accepter automatiquement les invitations à discuter en fonction de la règle en vigueur dans votre organisation concernant la collaboration. |
Navigateur Chrome et appareils ChromeOS
|
|
Maintenir le navigateur Chrome et ChromeOS à jour Pour que vos utilisateurs disposent des derniers correctifs de sécurité, autorisez les mises à jour. Pour le navigateur Chrome, autorisez toujours les mises à jour. Par défaut, les appareils ChromeOS sont mis à jour dès que la dernière version de Chrome est disponible. Assurez-vous que les mises à jour automatiques sont activées pour tous les utilisateurs de votre appareil ChromeOS. Définir des règles Chrome pour les utilisateurs ou les navigateurs | Gérer les mises à jour sur les appareils ChromeOS |
|
|
Forcer un redémarrage pour appliquer les mises à jour Configurez le navigateur Chrome et les appareils ChromeOS pour qu'ils informent les utilisateurs qu'ils doivent relancer leurs navigateurs ou redémarrer leurs appareils pour que la mise à jour s'applique, et forcez un redémarrage après un certain délai si l'utilisateur ne prend aucune mesure. Inviter les utilisateurs à redémarrer leur appareil ou leur navigateur afin d'appliquer les mises à jour en attente |
|
|
Définir les règles de base pour les appareils ChromeOS et le navigateur Chrome Définissez les règles suivantes dans la console d'administration Google :
|
|
|
Définir les règles avancées du navigateur Chrome Empêchez les accès non autorisés, les téléchargements dangereux et les fuites de données entre les sites en définissant les règles avancées suivantes :
Définir des règles de navigateur Chrome pour des ordinateurs gérés | Guide de configuration de la sécurité du navigateur Chrome pour les entreprises (Windows) |
|
|
Définir une règle concernant les navigateurs pour ordinateur Windows Si votre organisation souhaite utiliser le navigateur Chrome, mais que les utilisateurs ont encore besoin d'Internet Explorer pour accéder à d'anciens sites et applications, l'extension Chrome Legacy Browser Support leur permet de passer automatiquement de Chrome à un autre navigateur, et inversement. Activez Legacy Browser Support pour utiliser les applications nécessitant un ancien navigateur. |
Appareils mobiles, ordinateurs et autres points de terminaison
Vous pouvez protéger les comptes utilisateur et leurs données professionnelles sur les appareils mobiles, tablettes, ordinateurs portables et ordinateurs disposant de la gestion Google des points de terminaison.
Pour obtenir la liste complète des recommandations, consultez la checklist de sécurité concernant la gestion des appareils.
Drive
Limiter le partage et la collaboration en dehors de votre domaine
|
|
Définir des options ou créer des règles pour le partage de fichiers en dehors de votre organisation Pour restreindre le partage de fichiers à vos domaines, désactivez les options de partage ou créez des règles de confiance qui vous aident à contrôler le partage de manière plus précise. Vous limitez ainsi les risques de fuite et d'exfiltration de données. Si le partage est requis en dehors de votre organisation pour les besoins de l'entreprise, vous pouvez configurer le partage pour des unités organisationnelles ou ajouter des domaines à la liste d'autorisation. Restreindre le partage en dehors des domaines autorisés | Restreindre le partage en dehors de votre organisation | Créer des règles de confiance pour limiter le partage externe |
|
|
Avertir les utilisateurs lorsqu'ils partagent un fichier en dehors de votre domaine Si vous autorisez les utilisateurs à partager des fichiers en dehors de votre domaine, activez l'avertissement leur permettant de confirmer leur intention. Cette option limite les risques de fuite de données. Avertir les utilisateurs lorsqu'ils partagent des données en externe |
|
|
Empêcher les utilisateurs de publier sur le Web Désactivez la publication de fichiers sur le Web. Vous limiterez ainsi les risques de fuite de données. Ne pas autoriser les utilisateurs à partager des fichiers publiquement |
|
|
Définir les options d'accès général pour le partage de fichiers Définissez l'option d'accès par défaut pour le partage de fichiers sur Limité. Seul le propriétaire du fichier doit y avoir accès jusqu'à ce qu'il le partage. Vous pouvez également créer des groupes de partage personnalisés (audiences cibles) pour les utilisateurs de différents services. |
|
|
Restreindre l'accès aux fichiers aux destinataires uniquement Lorsqu'un utilisateur partage un fichier au moyen d'un produit Google autre que Docs ou Drive (par exemple, en collant un lien dans Gmail), le Vérificateur d'accès peut vérifier les droits d'accès des destinataires au fichier. Configurez le vérificateur d'accès en mode Destinataires uniquement. Vous pourrez ainsi contrôler l'accessibilité des liens partagés par vos utilisateurs et limiter les risques de fuite de données. |
|
|
Éviter ou limiter le risque que les utilisateurs externes puissent identifier les membres des groupes de votre organisation Pour empêcher les utilisateurs d'une autre organisation qui utilise Google Workspace d'identifier les membres des groupes de votre organisation, n'autorisez pas les organisations externes à partager des fichiers avec vos utilisateurs. Pour limiter ce type de risque, vous pouvez autoriser le partage externe uniquement avec les domaines ajoutés à la liste d'autorisation. Si vous utilisez les paramètres de partage Google Drive : pour chaque unité organisationnelle que vous souhaitez protéger contre ce risque, effectuez l'une des actions suivantes :
Pour en savoir plus, consultez Gérer le partage externe pour votre organisation. Si vous utilisez des règles de confiance pour le partage Drive : pour limiter ce risque, commencez par créer une règle de confiance avec les paramètres suivants :
Pour en savoir plus, consultez Créer une règle de confiance. Désactivez ensuite la règle par défaut [Par défaut] Les utilisateurs de mon organisation peuvent partager du contenu (un avertissement s'affiche) et en recevoir de tous. Pour en savoir plus, consultez Afficher ou modifier les détails d'une règle de confiance. |
|
|
Exigez la connexion à Google pour les collaborateurs externes Obligez les collaborateurs externes à se connecter à un compte Google. S'ils ne possèdent pas de compte Google, ils peuvent en créer un sans frais. Vous limiterez ainsi les risques de fuite de données. Désactiver l'envoi d'invitations aux comptes autres que Google en dehors de votre domaine |
|
|
Déterminez les utilisateurs autorisés à déplacer le contenu des Drive partagés Autorisez uniquement les utilisateurs de votre organisation à déplacer des fichiers de leurs Drive partagés vers un emplacement Drive appartenant à une organisation différente. |
|
|
Contrôler le partage de contenu dans les nouveaux Drive partagés Restreignez les personnes autorisées à créer des Drive partagés, à accéder au contenu ou à modifier les paramètres des nouveaux Drive partagés. |
Limiter les copies locales de données Drive
|
|
Désactiver l'accès aux documents hors connexion Pour réduire le risque de fuite de données, envisagez de désactiver l'accès aux documents hors connexion. Lorsqu'un document est accessible hors connexion, une copie est enregistrée en local. Si vous avez besoin de donner accès à des documents hors connexion, activez cette fonctionnalité uniquement pour les unités organisationnelles requises afin de limiter les risques. |
|
|
Désactiver l'accès à Drive pour ordinateur Les utilisateurs peuvent accéder à Drive sur leur ordinateur grâce à Google Drive pour ordinateur. Pour réduire le risque de fuite de données, envisagez de désactiver l'accès à l'application Drive pour ordinateur. Si vous décidez d'activer l'accès, faites-le uniquement pour les utilisateurs qui en ont vraiment besoin. |
Contrôler l'accès d'applications tierces à vos données
|
|
N'autorisez pas les modules complémentaires Google Docs Pour réduire le risque de fuite de données, envisagez de ne pas autoriser les utilisateurs à installer des modules complémentaires pour Google Docs depuis la plate-forme de téléchargement dédiée. Pour répondre à un besoin professionnel ponctuel, vous pouvez déployer des modules complémentaires pour Google Docs conformes aux règles de votre organisation. |
Protéger les données sensibles
|
|
Affichez un avertissement en cas de partage de fichiers contenant des données sensibles ou bloquez le partage Pour réduire le risque de fuites de données, configurez des règles de protection contre la perte de données permettant d'analyser les données sensibles dans les fichiers et de prendre des mesures lorsque les utilisateurs tentent de partager des fichiers correspondants en externe. Vous pouvez par exemple bloquer le partage externe de documents contenant des numéros de passeport et recevoir une alerte par e-mail. Utiliser la protection contre la perte de données pour Drive |
Gmail (Google Workspace uniquement)
Configurer l'authentification et l'infrastructure
|
|
Authentifier les e-mails avec SPF, DKIM et DMARC Les normes SPF, DKIM et DMARC établissent un système de validation d'adresse e-mail qui utilise des paramètres DNS pour authentifier votre domaine, le signer numériquement et lutter contre le spoofing. Certains pirates informatiques parviennent à falsifier l'adresse de l'expéditeur dans leurs messages, qui semblent ainsi venir de votre domaine. Pour éviter cela, vous pouvez configurer les normes SPF et DKIM sur tous les flux de messagerie sortants. Une fois SPF et DKIM mis en œuvre, vous pouvez configurer un enregistrement DMARC pour définir la façon dont Google et les autres destinataires doivent traiter les e-mails non authentifiés censés provenir de votre domaine. Empêcher le spam, le spoofing et l'hameçonnage grâce à l'authentification Gmail |
|
|
Configurer les passerelles de messagerie entrantes pour qu'elles fonctionnent avec SPF Le protocole SPF permet d'éviter que vos messages sortants arrivent dans le dossier de spam. Cependant, une passerelle peut impacter son fonctionnement. Si vous utilisez une passerelle de messagerie pour router les e-mails entrants, assurez-vous qu'elle est correctement configurée pour Sender Policy Framework (SPF). |
|
|
Appliquer le protocole TLS avec vos domaines partenaires Configurez le paramètre TLS de manière à exiger que les messages envoyés à des domaines partenaires (ou reçus depuis ces derniers) soient distribués via une connexion sécurisée. Exiger que les messages soient transmis par le biais d'une connexion sécurisée (TLS) |
|
|
Imposer l'authentification de tous les expéditeurs approuvés Lorsque vous créez une liste d'adresses d'expéditeurs approuvés qui peuvent ignorer la classification en tant que spam, exigez une authentification. Si elle est désactivée, Gmail ne peut pas vérifier que le message a bien été envoyé par la personne dont il prétend provenir. Exiger une authentification réduit le risque de spoofing et d'attaques par hameçonnage/whaling. En savoir plus sur l'authentification des expéditeurs |
|
|
Configurer les enregistrements MX pour permettre un flux de messagerie correct Configurez les enregistrements MX de sorte qu'ils pointent vers les serveurs de messagerie de Google avec la priorité la plus haute, afin de garantir un flux de messagerie correct vers les utilisateurs de votre domaine Google Workspace. Vous réduisez ainsi le risque de suppression de données (dû à la perte d'e-mails) et les menaces de logiciels malveillants. Configurer des enregistrements MX pour Google Workspace et Gmail | Valeur des enregistrements MX pour Google Workspace |
Protéger les utilisateurs et les organisations
|
|
Désactiver l'accès IMAP/POP Les logiciels clients IMAP et POP permettent aux utilisateurs d'accéder à Gmail par le biais de clients de messagerie tiers. Désactivez l'accès POP et IMAP pour les utilisateurs qui n'en ont pas expressément besoin. Vous limitez ainsi les risques de fuite, de suppression et d'exfiltration de données. Vous limitez également le risque d'attaques, car les clients IMAP ne bénéficient pas toujours de la même protection que les clients propriétaires. |
|
|
Désactiver le transfert automatique Empêchez les utilisateurs de transférer automatiquement les messages entrants vers une autre adresse. Vous réduisez ainsi le risque d'exfiltration de données par le biais du transfert d'e-mails, technique couramment utilisée par les pirates informatiques. |
|
|
Activer le stockage complet des e-mails Le stockage complet des e-mails garantit qu'une copie de tous les messages envoyés et reçus par les utilisateurs de votre domaine (y compris les e-mails envoyés ou reçus par des boîtes aux lettres non-Gmail) est conservée dans leurs boîtes aux lettres Gmail respectives. L'activation de ce paramètre réduit le risque de suppression de données et, si vous utilisez Google Vault, garantit que les messages sont conservés ou préservés. Configurer le stockage complet des e-mails | Stockage complet des e-mails et Vault |
|
|
Ne pas contourner les filtres antispam pour les expéditeurs internes Pour réduire les risques de spoofing et d'attaques par hameçonnage/whaling, désactivez l'option Ignorer les filtres anti-spam pour les expéditeurs internes. Lorsque ce paramètre est activé, il peut poser problème pour les groupes comportant des membres externes ou des autorisations de publication publiques, car les messages des membres externes du groupe peuvent être traités comme des messages internes. Si l'expéditeur externe a défini des règles DMARC pour mettre en quarantaine ou rejeter les messages, les messages entrants sont réécrits pour apparaître comme s'ils avaient été envoyés par le groupe. Les messages sont alors considérés comme internes. |
|
|
Ajouter un paramètre d'en-têtes de spam à toutes les règles de routage par défaut Les en-têtes de spam permettent d'optimiser la capacité de filtrage des serveurs de messagerie en aval afin de réduire les risques de spoofing et d'attaques par hameçonnage/whaling. Lorsque vous configurez des règles de routage par défaut, cochez l'option Ajouter les en-têtes X-Gm-Spam et X-Gm-Phishy afin que Gmail ajoute ces en-têtes pour indiquer que des messages sont du spam ou des tentatives d'hameçonnage. Ces informations peuvent, par exemple, permettre à l'administrateur d'un serveur en aval de définir des règles de traitement différentes de celles applicables aux autres e-mails. |
|
|
Activer l'analyse améliorée des messages avant distribution Lorsque Gmail suspecte un hameçonnage, ce paramètre lui permet d'effectuer des vérifications supplémentaires sur le message. Utiliser l'analyse améliorée des messages avant distribution |
|
|
Activer les avertissements en cas de destinataire externe Gmail détecte les destinataires externes qui n'ont pas de contacts réguliers avec l'utilisateur, ou qui ne figurent pas dans ses contacts. Lorsque vous configurez ce paramètre, un avertissement s'affiche à l'intention de vos utilisateurs et une option permet de l'ignorer. |
|
|
Activer la protection supplémentaire contre les pièces jointes Google analyse les messages entrants pour vous protéger contre les logiciels malveillants, même si les paramètres supplémentaires de protection contre les pièces jointes malveillantes ne sont pas activés. L'activation d'une protection supplémentaire contre les pièces jointes peut permettre d'intercepter des e-mails qui n'avaient pas été identifiés comme malveillants. |
|
|
Activez la protection supplémentaire contre les liens et le contenu externe malveillants Activer la protection contre les liens et les images externes |
|
|
Activer la protection supplémentaire contre le spoofing Google analyse les messages entrants pour vous protéger contre le spoofing, même si les paramètres supplémentaires de protection contre le spoofing ne sont pas activés. L'activation d'une protection supplémentaire contre le spoofing et par authentification peut, par exemple, réduire les risques d'exposition au spoofing via des noms de domaine ou d'employé similaires. Activer la protection contre le spoofing et par authentification |
Remarques de sécurité concernant les tâches Gmail quotidiennes
|
|
Contournez les filtres antispam avec précaution Pour éviter une augmentation du nombre de spams, faites preuve de vigilance si vous remplacez les filtres antispam par défaut de Gmail.
|
|
|
N'incluez pas les domaines dans la liste des expéditeurs approuvés Si vous avez configuré des expéditeurs approuvés et que vous avez coché l'option Ignorer les filtres antispam pour les messages provenant d'adresses ou de domaines figurant sur la liste des expéditeurs approuvés, supprimez tous les domaines de votre liste d'expéditeurs approuvés. En excluant des domaines de la liste des expéditeurs approuvés, vous réduisez le risque de spoofing et d'attaques par hameçonnage/whaling. |
|
|
N'ajoutez pas d'adresses IP à votre liste d'autorisation En règle générale, les messages envoyés à partir d'adresses IP figurant dans la liste d'autorisation ne sont pas marqués comme spam. Pour tirer pleinement parti du service de filtrage antispam de Gmail et obtenir les meilleurs résultats de classification du spam, les adresses IP de vos serveurs de messagerie et de ceux de vos partenaires qui transfèrent les e-mails à Gmail doivent être ajoutées à la passerelle de messagerie entrante et non à une liste d'autorisation d'adresses IP. Ajouter des adresses IP aux listes d'autorisation dans Gmail | Configurer une passerelle de messagerie entrante |
Protéger les données sensibles
|
|
Analyser et bloquer les e-mails contenant des données sensibles Pour réduire le risque de fuites de données, analysez les e-mails sortants à l'aide de détecteurs prédéfinis de protection contre la perte de données et prenez des mesures lorsque les utilisateurs reçoivent ou envoient des messages au contenu sensible. Vous pouvez par exemple empêcher les utilisateurs d'envoyer des messages contenant des numéros de carte de crédit et recevoir une alerte par e-mail. Analyser le trafic de messagerie avec la protection contre la perte de données |
Google Groupes
|
|
Utiliser des groupes conçus en toute sécurité Assurez-vous que seuls certains utilisateurs peuvent accéder aux applications et aux ressources sensibles en les gérant avec des groupes de sécurité. Vous limiterez ainsi les risques de fuite de données. Fournir un accès plus sécurisé aux données et aux ressources |
|
|
Ajouter des conditions de sécurité aux rôles d'administrateur Autorisez uniquement certains administrateurs à contrôler les groupes de sécurité. Désignez d'autres administrateurs qui ne peuvent contrôler que les groupes non sécurisés. Cela réduit le risque de fuites de données et de menaces internes malveillantes. |
|
|
Configurer un accès privé à vos groupes Sélectionnez l'option "Privé" pour limiter l'accès aux membres de votre domaine. (Les membres des groupes peuvent toujours recevoir des e-mails ne provenant pas du domaine.) Vous limiterez ainsi les risques de fuite de données. |
|
|
Limitez la création de groupes aux administrateurs Autorisez uniquement les administrateurs à créer des groupes. Vous limiterez ainsi les risques de fuite de données. |
|
|
Personnaliser les paramètres d'accès à votre groupe Recommandations :
Définir les personnes autorisées à consulter, publier et modérer les posts |
|
|
Désactiver certains paramètres d'accès pour les groupes internes Les paramètres suivants permettent à tous les internautes de rejoindre un groupe, d'envoyer des messages et d'afficher les archives de discussion. Désactivez ces paramètres pour les groupes internes :
|
|
|
Activer la modération des spams pour vos groupes Vous pouvez envoyer des messages à la file d'attente de modération en informant ou non les modérateurs, rejeter les spams immédiatement ou autoriser la publication de messages sans modération. |
Sites (Google Workspace uniquement)
|
|
Bloquez le partage de sites en dehors du domaine Définir les options de partage pour Google Sites | Définir les options de partage : version classique de Sites |
Vault (Google Workspace uniquement)
|
|
Considérez les comptes disposant de droits Vault comme sensibles Protégez les comptes attribués aux rôles d'administrateur Vault de la même manière que vous protégez les comptes super-administrateur. Bonnes pratiques de sécurité concernant les comptes administrateur |
|
|
Contrôlez régulièrement l'activité de Vault. Les utilisateurs disposant de droits Vault peuvent rechercher et exporter les données d'autres utilisateurs, ainsi que modifier les règles de conservation permettant de supprimer définitivement les données que vous devez conserver. Surveillez l'activité de Vault pour vous assurer que seules les règles d'accès et de conservation des données approuvées sont appliquées. |
Prochaines étapes : surveillance, investigation et correction
|
|
Vérifier vos paramètres de sécurité et examiner l'activité Consultez régulièrement le centre de sécurité pour examiner votre stratégie de sécurité, enquêter sur les incidents et prendre des mesures en fonction de ces informations. |
|
|
Consulter le journal d'audit de la console d'administration Ouvrez le journal d'audit de la console d'administration pour examiner l'historique de chaque tâche effectuée dans la console d'administration Google, l'administrateur qui l'a exécutée, la date et l'adresse IP avec laquelle l'administrateur s'est connecté. |