Vous avez travaillé dur pour créer votre entreprise. Ne laissez pas les risques de sécurité mettre un frein à votre développement. Suivez ces mesures de sécurité afin de protéger vos informations professionnelles.
Si vous gérez une très petite entreprise (de 1 à 20 comptes utilisateur) ou une petite entreprise (de 21 à 100 comptes utilisateur), vous ne disposez probablement pas d'un administrateur informatique dédié. Nous n'allons donc pas vous fournir une liste de recommandations trop longue.
Protéger vos comptes
|
Utilisez des mots de passe uniques. Définir un bon mot de passe constitue le premier moyen pour protéger des comptes utilisateur et administrateur. Les mots de passe uniques ne sont pas faciles à deviner. Vous pouvez par exemple imaginer une phrase longue, et utiliser la première lettre de chaque mot afin de définir votre mot de passe. Il est également déconseillé d'utiliser des mots de passe identiques sur plusieurs comptes, par exemple pour votre messagerie et pour vos services bancaires en ligne. |
|
|
Obligez les administrateurs et les principaux utilisateurs à fournir une preuve supplémentaire de leur identité Si une personne parvient à voler votre mot de passe, la validation en deux étapes peut l'empêcher d'accéder à votre compte. Cette fonctionnalité oblige les utilisateurs à valider leur identité à l'aide d'un élément connu, tel qu'un mot de passe, et d'un élément possédé, tel qu'une clé physique ou un code d'accès, afin de pouvoir accéder à leur compte. La validation en deux étapes est recommandée pour tous les membres de votre entreprise, mais elle est particulièrement importante pour les administrateurs et les utilisateurs qui traitent des données sensibles telles que des documents financiers et des informations sur les collaborateurs. Nous vous conseillons d'appliquer la validation en deux étapes pour les administrateurs et les principaux utilisateurs. Protéger votre entreprise avec la validation en deux étapes | Déployer la validation en deux étapes |
|
|
Inciter les administrateurs à ajouter des informations de récupération à leur compte Si votre administrateur oublie son mot de passe, il peut cliquer sur le lien "Besoin d'aide ?" de la page de connexion afin que Google transmette un nouveau mot de passe par appel vocal, SMS ou e-mail. Pour ce faire, un numéro de téléphone et une adresse e-mail de récupération sont requis pour le compte. Ajouter des options de récupération à votre compte administrateur |
|
|
Obtenir des codes de secours à l'avance Si votre entreprise impose la validation en deux étapes et qu'un utilisateur ou un administrateur perd l'accès à cette méthode d'authentification, il ne pourra pas se connecter à son compte. Cela peut par exemple survenir lorsqu'un utilisateur recevant des codes de validation en deux étapes par appel vocal perd son téléphone, ou lorsqu'un utilisateur perd sa clé de sécurité. Dans ce type de cas, les utilisateurs peuvent utiliser un code de secours pour la validation en deux étapes. Les administrateurs et les utilisateurs ayant activé cette méthode doivent générer et imprimer des codes de secours, puis les conserver en lieu sûr. |
|
|
Créer un autre compte super-administrateur Une entreprise doit posséder plusieurs comptes super-administrateur, chacun géré par une personne distincte. Si vous perdez l'accès à votre compte super-administrateur principal ou que sa sécurité est compromise, le compte super-administrateur de secours permet d'effectuer les tâches importantes en attendant de récupérer le compte principal. Pour créer un compte super-administrateur supplémentaire, attribuez le rôle de super-administrateur à un autre utilisateur. |
|
|
Conservez les informations de réinitialisation du mot de passe super-administrateur à portée de main Si un super-administrateur ne parvient pas à réinitialiser son mot de passe à l'aide de l'option de récupération par téléphone ou e-mail, et qu'aucun autre super-administrateur n'est disponible pour réinitialiser le mot de passe, il peut contacter l'assistance Google. Pour valider son identité, Google pose des questions concernant le compte de l'organisation. L'administrateur doit également valider la propriété DNS du domaine. Conservez les informations de compte et les identifiants DNS dans un endroit sûr au cas où vous en auriez besoin. Bonnes pratiques de sécurité concernant les comptes administrateur |
|
|
Interdisez aux super-administrateurs de rester connectés à leur compte Les super-administrateurs peuvent gérer tous les aspects du compte de votre entreprise et accéder à toutes les données relatives à l'entreprise et aux employés. En restant connecté à un compte super-administrateur lorsque vous n'effectuez pas de tâches administratives spécifiques, vous augmentez les risques d'activités malveillantes. Les super-administrateurs doivent se connecter au besoin pour effectuer des tâches spécifiques, puis se déconnecter. Réalisez les tâches administratives quotidiennes avec un compte doté de rôles d'administrateur limités. Rôles d'administrateur prédéfinis | Bonnes pratiques de sécurité concernant les comptes administrateur |
|
|
Activez la mise à jour automatique des applications et navigateurs Internet Pour bénéficier des dernières mises à jour de sécurité, assurez-vous que vos utilisateurs activent bien la mise à jour automatique de leurs applications et navigateurs Internet. S'ils utilisent Chrome, vous pouvez configurer la mise à jour automatique du navigateur pour l'ensemble de votre organisation. Règles de mise à jour automatique (Chrome) |
Si vous utilisez Gmail, Agenda, Drive ou Docs
|
|
Activer l'analyse améliorée des messages avant distribution L'hameçonnage est une pratique malveillante qui consiste à envoyer des e-mails pour inciter les utilisateurs à révéler des informations sensibles, telles que des mots de passe, des numéros de compte ou d'autres informations permettant de les identifier personnellement. Google analyse les messages entrants pour vous protéger contre l'hameçonnage. Lorsque Gmail identifie un e-mail comme tentative d'hameçonnage, un avertissement peut s'afficher, ou le message peut être déplacé vers le dossier "Spam". L'analyse améliorée des messages avant distribution permet à Gmail de bloquer des messages qui n'étaient auparavant pas forcément identifiés comme hameçonnage. Empêcher l'hameçonnage à l'aide de l'analyse des messages avant distribution |
|
|
Activer le filtrage supplémentaire des fichiers et liens malveillants pour Gmail Google analyse les messages entrants pour vous protéger contre les programmes malveillants, tels que les virus informatiques. Activez d'autres vérifications de sécurité pour les pièces jointes, les liens et les images externes afin de bloquer les e-mails qui n'étaient auparavant pas forcément identifiés comme malveillants. Protection avancée contre l'hameçonnage et les logiciels malveillants |
|
|
Assurez-vous que les destinataires des e-mails ne marquent pas vos messages comme spam Le spam désigne l'envoi en masse d'e-mails non sollicités. Cette technique est généralement utilisée par des annonceurs peu scrupuleux, car elle n'implique aucun coût d'exploitation en dehors de la gestion de leurs listes de diffusion. Le protocole Sender Policy Framework (SPF) est une méthode de sécurité des e-mails permettant d'autoriser les e-mails légitimes envoyés par les utilisateurs de votre entreprise. Un enregistrement SPF identifie les serveurs de messagerie autorisés à envoyer des e-mails au nom de votre domaine. Si vous ne définissez pas de protocole SPF pour votre domaine, certains messages risquent d'être renvoyés ou marqués comme spam. |
|
|
Restreindre le partage d'agendas pour les personnes n'appartenant pas à votre entreprise Les agendas des utilisateurs peuvent contenir des informations sensibles. Vous devez limiter la manière dont vos utilisateurs partagent leurs agendas avec des personnes n'appartenant pas à votre entreprise. Limitez le partage d'agendas en externe aux informations de disponibilité uniquement. Configurer les options de visibilité et de partage dans Agenda |
|
|
Déterminez les utilisateurs autorisés à consulter les nouveaux fichiers |
|
|
Avertissez les utilisateurs lorsqu'ils partagent un fichier avec des personnes extérieures à votre entreprise Si vous permettez aux utilisateurs de partager des fichiers avec des personnes n'appartenant pas à votre entreprise, assurez-vous qu'ils reçoivent bien un avertissement lorsqu'ils tentent de le faire. Cet avertissement les invite à confirmer qu'ils souhaitent partager le fichier avec une personne externe à votre entreprise. Ne pas autoriser les utilisateurs de votre organisation à partager avec tout le monde |
Votre entreprise a-t-elle des exigences de sécurité particulières ?
Il se peut que votre entreprise compte moins de 10 utilisateurs, mais qu'elle réponde aux mêmes exigences que celles d'une entreprise beaucoup plus grande concernant la sécurité des données.
Par exemple, les petites entreprises d'investissement et de planification financière, ou les entreprises traitant des données relatives à la santé peuvent disposer d'exigences particulières en matière de réglementation, de confidentialité et de sécurité. Ces entreprises peuvent employer des administrateurs informatiques chargés d'appliquer ces exigences supplémentaires.
Si cette description semble correspondre au profil de votre entreprise, suivez les bonnes pratiques décrites dans la checklist de sécurité pour les moyennes et grandes entreprises comptant plus de 100 utilisateurs.