(Traduction d'un article extrait du blog The Keyword)Publié par Nicolas Kardas, responsable produit Gmail Security, et Sam Lugani, responsable marketing produit sécurité G SuiteNous mettons tout en œuvre pour vous aider à protéger votre entreprise contre les tentatives d'hameçonnage. Nous faisons appel à l'apprentissage automatique, perfectionnons nos algorithmes de détection, et mettons au point des fonctionnalités visant à détecter les tentatives d'hameçonnage non répertoriées. Notre travail ne se limite pas à bloquer autant de tentatives d'hameçonnage que possible. Nous continuons de mettre au point et de proposer des fonctionnalités spécialement prévues pour aider les administrateurs informatiques à mettre en place des défenses efficaces contre l'hameçonnage.
Voici sept mesures que nous recommandons aux administrateurs afin d'optimiser la protection des données des employés dans l'environnement G Suite.
1. Appliquez la validation en deux étapesLa validation en deux étapes fait partie des solutions les plus efficaces pour empêcher une personne d'avoir accès à votre compte, même lorsqu'elle vole votre mot de passe. Les administrateurs peuvent
appliquer la validation en deux étapes dans G Suite. La validation en deux étapes, qui consiste à
demander aux utilisateurs une preuve d'identité supplémentaire lorsqu'ils se connectent, peut diminuer les chances de succès des tentatives d'hameçonnage. Il peut s'agir
d'invites sur leurs téléphones, d'appels vocaux, de
notifications émises par une application mobile, et bien plus.
G Suite est également compatible avec les clés de sécurité gérées par les utilisateurs, outils d'authentification faciles à utiliser. Les administrateurs ont la possibilité d'
exiger l'utilisation d'une clé de sécurité, ce qui contribue à réduire le risque que des identifiants volés soient utilisés pour pirater un compte. La clé émet une signature chiffrée et ne fonctionne qu'avec les sites autorisés. Les clés de sécurité peuvent être déployées, contrôlées et gérées directement depuis la console d'administration.
2. Déployez l'extension Password Alert pour ChromeL'extension Chrome
Password Alert examine toutes les pages visitées par les utilisateurs pour repérer celles qui usurpent la page de connexion de Google. Elle envoie une notification aux administrateurs lorsque des utilisateurs saisissent leurs identifiants G Suite sur une page autre que la page de connexion de Google.
Les administrateurs peuvent
forcer le déploiement de l'extension Chrome Password Alert depuis la console d'administration de Google (Gestion des appareils > Gestion des applications > Password Alert). Connectez-vous simplement à votre compte pour commencer. Vous devez cocher la case "Forcer l'installation" dans les "Paramètres utilisateur" et dans les "Paramètres de session publique".
Les administrateurs peuvent également
activer les audits d'alertes liées aux mots de passe, envoyer des alertes par e-mail et appliquer une règle exigeant un changement de mot de passe lorsque des identifiants G Suite sont utilisés sur un site Web qui ne fait pas partie des sites de confiance.
3. Autorisez l'accès à vos données uniquement aux applications de confianceLa
liste blanche des applications OAuth vous offrent la possibilité d'indiquer les applications autorisées à accéder aux données G Suite de vos utilisateurs. Ce paramètre permet aux utilisateurs d'autoriser uniquement les applications ajoutées à la liste blanche à accéder aux données de leurs applications G Suite. Ce paramètre empêche les applications malveillantes de duper les utilisateurs pour les inciter à accorder accidentellement un accès non autorisé. Les applications peuvent être ajoutées à la liste blanche par un administrateur dans la section
Autorisations des API G Suite de la console d'administration.
4. Publiez une règle DMARC pour votre organisationG Suite applique la norme
DMARC afin de prémunir votre entreprise contre les tentatives
d'hameçonnage et d'usurpation qui peuvent nuire à sa réputation. DMARC aide les propriétaires de domaines à contrôler la manière dont Gmail et les autres fournisseurs de messagerie participants traitent les e-mails non authentifiés en provenance de votre domaine. La définition d'une règle et l'activation de la
signature DKIM pour les e-mails vous offre la certitude de ne recevoir que les e-mails provenant de votre organisation, et non ceux qui tentent d'usurper son identité.
5. Désactivation de l'accès aux clients de messagerie tiers pour les personnes non concernéesLes clients Gmail (
Android,
iOS et
Web) tirent profit de la
Navigation sécurisée de Google en incluant des mesures de sécurité telles que la désactivation des pièces jointes et des liens suspects, ou encore
l'affichage d'alertes visant à dissuader les utilisateurs de cliquer sur des liens suspects.
Les administrateurs peuvent décider de
désactiver POP et IMAP,
Google Sync et
G Suite Sync for Microsoft Outlook, afin de s'assurer qu'une grande partie des utilisateurs G Suite utilise uniquement les clients Gmail, et profite des protections contre l'hameçonnage qui y sont intégrées. D'autres mesures préventives consistent notamment à autoriser l'ajout d'applications OAuth à la liste blanche pour bloquer les clients tiers, comme nous l'avons suggéré plus haut.
Remarque : Tous les clients de messagerie tiers, y compris les clients de messagerie mobile natifs, cesseront de fonctionner dès lors que les mesures préventives soulignées plus haut seront mises en œuvre.
6. Sensibilisez votre équipe à l'importance des avertissements en cas de réponse à un destinataire externePar défaut, les clients Gmail (
Android et
Web) envoient un avertissement aux utilisateurs G Suite lorsqu'ils répondent à des e-mails émis par une personne extérieure à leur domaine avec laquelle ils communiquent peu régulièrement, ou par une personne qui ne figure pas dans leurs contacts. Cette mesure offre aux entreprises une protection contre les e-mails falsifiés, les personnes malveillantes, ou évite tout simplement l'envoi d'un e-mail au mauvais contact. Assurez-vous que vos employés prêtent attention à ces avertissements et soyez vigilants lorsque vous vous apprêtez à répondre à un expéditeur non reconnu. Les avertissements en cas de réponse envoyée par inadvertance à un destinataire externe peuvent être configurés dans
la section Paramètres avancés du tableau de bord de la console d'administration.
7. Exigez l'utilisation de profils Android professionnelsLes
profils professionnels vous permettent de faire la distinction entre les applications de votre organisation et les applications personnelles, évitant toute confusion entre les données personnelles et professionnelles. En ayant recours à la gestion intégrée des appareils depuis G Suite pour exiger l'utilisation de profils professionnels, vous pouvez ajouter à la liste blanche les applications autorisées à accéder aux données de l'entreprise, et bloquer l'installation d'applications d'origine inconnue. Vous pouvez dorénavant contrôler quelles applications ont accès à vos données professionnelles.
Ces étapes peuvent vous aider à améliorer le niveau de sécurité de votre organisation et à renforcer votre résistance aux tentatives d'hameçonnage. Pour en savoir plus, consultez la page
gsuite.google.com/security, ou inscrivez-vous à notre
webinaire sur la sécurité, qui aura lieu le 20 septembre 2017. Au programme, une nouvelle étude sur la sécurité menée par Forrester, et une présentation sur le thème de la contribution du cloud dans la lutte contre les cybermenaces.