Si je comprends bien, vous êtes passé à Google Workspace parce que c'était censé simplifier les choses. Et, surprise, ça a marché ! Bravo Google ! Sauf que… peut-être que ce service a été perturbé un jour par quelqu'un qui a transféré 3 000 e-mails clients sur sa boîte mail personnelle le dernier jour de travail. Aïe ! Ça fait mal à bien des égards.
Voilà le problème. Google Workspace offre une sécurité robuste. Cependant, votre espace de travail Google Workspace… est probablement manquant La plupart des fonctionnalités de sécurité essentielles. La différence se résume à une vingtaine de minutes de configuration. que presque personne ne le faitAlors, changeons cela. La bonne nouvelle, c'est que c'est simple et rapide. La suite de cet article détaille les failles de sécurité les plus courantes de Google Workspace et comment les corriger.
De nombreuses organisations activent l'authentification multifacteurs et pensent être protégées. Pourtant, un examen plus approfondi révèle souvent des failles. Certains utilisateurs sont exclus de l'authentification multifacteurs, d'anciens comptes restent actifs ou les administrateurs créent des exceptions par commodité (vous souvenez-vous de l'appel du week-end d'un membre de la direction dont le téléphone avait été perdu ? Il n'avait donc pas d'authentification multifacteurs et vous l'avez désactivée !).
Importance des recherches sur la psychose
Un seul compte sans authentification multifacteur peut donner accès aux courriels, aux fichiers et aux utilisateurs internes de confiance, offrant ainsi des opportunités d'hameçonnage (le type d'attaque d'hameçonnage le plus efficace qui soit !). C'est l'un des problèmes les plus fréquemment observés dans les incidents réels.
Comment le réparer
Exiger l'authentification multifacteur pour chaque utilisateur sans exceptionsDésactivez complètement l'authentification traditionnelle. Renforcez les exigences d'authentification multifacteur (MFA) pour les comptes d'administrateur. Si l'authentification multifacteur est facultative, les attaquants la trouveront.
OAuth permet aux utilisateurs de connecter des applications tierces à Google Workspace. Bien que pratique, cette fonctionnalité présente des risques. Un simple clic sur « Autoriser » permet à une application d'accéder aux e-mails, fichiers, contacts et calendriers sans exiger de mot de passe ni déclencher l'authentification multifacteur.
Importance des recherches sur la psychose
Les applications OAuth malveillantes peuvent accéder discrètement à des données sensibles pendant des mois sans être détectées. C'est ce risque qui prend les administrateurs au dépourvu lorsqu'ils tentent de gérer une violation de données après coup, et non avant.
Comment le réparer
Bloquer les applications tierces par défaut. N’approuvez que les applications connues, fiables et approuvées. Examinez les autorisations des applications tous les trimestres et configurez des alertes pour les nouvelles applications connectées.
Si l'accès OAuth n'est pas examiné, Votre équipe pourrait accorder un accès complet à la messagerie électronique à des applications qu'elle a utilisées une seule fois lors d'un exercice de cohésion d'équipe en 2023.
L'accès administrateur « God-Mode » (ou super administrateur) offre un contrôle étendu et puissant sur Google Workspace. Malgré cela, de nombreux environnements attribuent des privilèges d'administrateur à un nombre excessif d'utilisateurs. Or, chaque administrateur supplémentaire augmente la surface d'attaque et complexifie les audits.
Importance des recherches sur la psychose
Si un compte administrateur est compromis, un attaquant peut réinitialiser les mots de passe, ajouter des super-administrateurs, désactiver les contrôles de sécurité et accéder à toutes vos données. Dès lors, le confinement devient extrêmement difficile.
Comment le réparer
Limiter l'accès Super Administrateur à un petit nombre de comptes de confiance. Utilisez autant que possible les autorisations d'administration basées sur les rôles. Séparez les comptes d'administration des comptes de messagerie utilisés quotidiennement et consultez régulièrement les journaux d'activité d'administration. Le principe du moindre privilège n'est peut-être pas passionnant, mais il est extrêmement efficace.
Gmail offre une protection de base robuste, mais les attaquants s'adaptent sans cesse. Des failles de configuration courantes persistent, notamment des politiques DMARC limitées à la surveillance, l'absence d'avertissements concernant les expéditeurs externes et une formation des utilisateurs ponctuelle et jamais renforcée.
Importance des recherches sur la psychose
Le courrier électronique demeure le principal point d'entrée de la grande majorité des attaques dans les PME et les petites entreprises. Cette situation n'a pas évolué depuis plus de 20 ans.
Comment le réparer
Mettez en place une politique de rejet des e-mails provenant de DKIM, SPF et DMARC. Ajoutez un étiquetage clair, simple mais explicite pour les expéditeurs externes. Organisez des formations mensuelles de sensibilisation à la sécurité (vidéos et HootPhish) plutôt que des sessions ponctuelles.
La technologie est utile, mais des utilisateurs formés constituent souvent la meilleure défense. Une seule session d'entraînement intensive par an laisse votre équipe épuisée, désorientée et pas plus en sécurité qu'avant. Un entraînement mensuel permet de développer une mémoire musculaire qui empêche de cliquer avant d'avoir regardé, réfléchi ou validé.
Google Workspace génère des journaux d'audit détaillés, mais de nombreuses organisations ne les consultent jamais. Cela crée un manque de visibilité.
Importance des recherches sur la psychose
Les activités suspectes passent souvent inaperçues : connexions depuis des lieux impossibles, téléchargements massifs de fichiers et règles de transfert de boîte de réception cachées. Lorsqu’elles sont enfin découvertes, les dégâts sont déjà considérables.
Comment le réparer
Activez la journalisation détaillée des audits. Surveillez les anomalies de connexion. Examinez les modifications apportées aux règles de messagerie et configurez des alertes pour les comportements à risque.
Si personne ne surveille les journaux de bord, Les agresseurs agissent comme des cambrioleurs qui savent que la maison est vide et que les propriétaires sont en vacances pour deux semaines. Ils ne sont pas pressés. Ils se servent eux-mêmes.
Google Workspace simplifie le partage de fichiers. Il demande l'autorisation d'accès avant l'envoi d'e-mails à des personnes externes, mais les messages d'avertissement sont soit trop discrets, soit ignorés, ce qui entraîne le partage excessif de fichiers sensibles sans aucun suivi ni contrôle.
Importance des recherches sur la psychose
Des données peuvent quitter l'organisation discrètement et sans déclencher d'alerte. Cela se produit souvent sans intention malveillante, mais l'impact n'en est pas moins réel.
Comment le réparer
Limiter par défaut le partage de fichiers externes. Exiger une approbation pour tout accès externe. Vérifier régulièrement les liens partagés et imposer des dates d'expiration pour les liens publics.
La commodité ne doit jamais primer sur le contrôle. Laisser des fichiers accessibles à « quiconque possède le lien » revient à mettre ses clés sous le paillasson en espérant que seules les bonnes personnes les trouvent.
Il s'agit peut-être là de la lacune la plus importante. De nombreuses organisations utilisent Google Workspace sans normes de sécurité écrites, sans contrôles d'accès réguliers ni responsables de la sécurité clairement désignés.
Sans gouvernance, les configurations de sécurité se dégradent progressivement. C'est la théorie du chaos, tout simplement.
Importance des recherches sur la psychose
Les paramètres de sécurité évoluent naturellement avec le temps si personne n'est chargé de leur maintenance et de leur vérification. Les attaquants exploitent cette dérive.
Comment le réparer
Définir les normes de sécurité de base pour Google Workspace. Effectuer des revues d'accès trimestrielles. Aligner les configurations sur les référentiels de sécurité reconnus et désigner clairement les responsables de leur maintenance.
Tout le monde doit respecter les règles de sécurité, mais quelqu'un doit en être responsable. Les agresseurs recherchent les mêmes signes que les cambrioleurs : absence de lumières de sécurité, d’autocollants de sociétés d’alarme, de chien de garde. Ce sont les signes distinctifs d'une maison sans surveillance.
La plupart des failles de sécurité dans Google Workspace ne sont pas des attaques sophistiquées menées par des États-nations exploitant les dernières vulnérabilités zero-day. Il s'agit plutôt d'exploitations simples de paramètres par défaut, de configurations oubliées et d'une confiance mal placée.
Les agresseurs pensent comme des cambrioleurs. Ils ne recherchent pas le cambriolage impossible. Ils recherchent la maison sans alarme, sans éclairage programmé et avec du courrier qui s'accumule devant la porte.
Comblez ces lacunes. Votre objectif n'est pas la perfection. Votre objectif est de paraître moins facile que l'organisation voisine.
Découvrez et partagez les dernières tendances, conseils et meilleures pratiques en matière de cybersécurité, ainsi que les nouvelles menaces à surveiller.
Guide pratique pour les RSSI virtuels : L’AVERTISSEMENT QUE NOUS AVONS IGNORÉ OU QUE NOUS N’AVONS PAS COMPRIS Pendant des années, les sources les plus crédibles…
En savoir plus
Un guide pour repérer les arnaques par usurpation d'identité de hauts dirigeants avant que le faux PDG ne reçoive un véritable virement bancaire.
En savoir plus
L'intelligence artificielle (ou IA) rend les courriels d'hameçonnage plus intelligents, les logiciels malveillants plus sournois et le vol d'identifiants plus facile...
En savoir plusAyez une vision plus précise des risques humains, grâce à une approche positive qui surpasse les tests de phishing traditionnels.
