CHECKLIST SÉCURITÉ GOOGLE WORKSPACE

AYI NEDJIMI CONSULTANTS (ANC)

Version : 1.0
Date : 2026-04-04
Classification : CONFIDENTIEL
Auteur : AYI NEDJIMI CONSULTANTS
Contact : info@ayi-nedjimi.com

---

LÉGENDE DES STATUTS

Symbole	Statut	Description
✅	Conforme	Le contrôle est correctement configuré
❌	Non-conforme	Le contrôle nécessite une correction immédiate
⚠️	Avertissement	Configuration partiellement conforme
N/A	Non applicable	Le contrôle ne s’applique pas à cet environnement

NIVEAUX DE CRITICITÉ

Couleur	Niveau	Priorité	Description
🔴	Critique	P1	Risque sécuritaire majeur, correction immédiate
🟠	Élevé	P2	Risque important, correction sous 30 jours
🟡	Moyen	P3	Risque modéré, correction sous 90 jours
🟢	Faible	P4	Bonnes pratiques, amélioration continue

---

MODE DÉCOUVERTE RAPIDE — 15 QUESTIONS CLÉS

Évaluation Express (15 minutes)

1. MFA obligatoire ? ✅❌ Authentification multifacteur activée pour tous les utilisateurs ?
2. Comptes admin sécurisés ? ✅❌ Comptes super-administrateurs avec MFA et clés de sécurité ?
3. Partage externe contrôlé ? ✅❌ Partage externe Google Drive restreint ?
4. DLP configuré ? ✅❌ Règles de prévention des fuites de données en place ?
5. DMARC renforcé ? ✅❌ Politique DMARC configurée en mode “reject” ?
6. Applications tierces auditées ? ✅❌ Applications OAuth tierces contrôlées et approuvées ?
7. Journalisation activée ? ✅❌ Logs d’audit admin et utilisateur activés ?
8. Gestion des appareils ? ✅❌ MDM configuré pour les appareils mobiles ?
9. Domaines vérifiés ? ✅❌ Tous les domaines correctement vérifiés ?
10. Règles de rétention ? ✅❌ Politiques de rétention Gmail/Drive configurées ?
11. Accès conditionnel ? ✅❌ Context-aware access configuré ?
12. Alertes sécurite ? ✅❌ Alert Center configuré et monitore ?
13. Comptes de service ? ✅❌ Comptes de service auditées régulièrement ?
14. Chiffrement avancé ? ✅❌ Client-side encryption activé si nécessaire ?
15. Plan incident ? ✅❌ Procédures de réponse aux incidents documentées ?

---

INFORMATIONS CLIENT

Détails Organisationnels

• Nom organisation : ________________
• Domaine principal : ________________
• Domaines secondaires : ________________
• Nombre d’utilisateurs : ________________
• Type licence : ☐ Workspace Business ☐ Enterprise ☐ Education ☐ Autres: ________________
• Nombre super-admins : ________________
• Date audit : ________________
• Auditeur : ________________

Informations Techniques

• Unités organisationnelles : ________________
• Intégration SSO/SAML : ☐ Oui ☐ Non - Fournisseur: ________________
• LDAP Sync : ☐ Oui ☐ Non - Source: ________________
• Applications tierces critiques : ________________
• Localisation données : ________________

---

SECTIONS DE CONTRÔLE

S1 — GESTION DES COMPTES & IDENTITÉS

Cette section couvre la gestion des comptes utilisateurs, rôles administratifs, provisionnement et désactivation des comptes dans Google Workspace.

1.1.1 — Configuration des rôles super-administrateur

Niveau : 🔴
Référence CIS : CIS Google Workspace 1.1
MITRE ATT&CK : T1078.004

Description : Les comptes super-administrateur disposent d’un accès complet à tous les services Google Workspace. Une gestion stricte de ces comptes est essentielle pour prévenir les compromissions et maintenir la sécurité organisationnelle. Le principe du moindre privilège doit être appliqué.

Vérification :

Remédiation :

1. Limiter le nombre de super-administrateurs à 2-4 maximum
2. Utiliser des comptes dédiés uniquement pour l’administration
3. Séparer les comptes d’administration des comptes utilisateurs standards

Valeur par défaut : Un super-administrateur est créé lors de l’inscription

1.1.2 — Authentification multifacteur pour super-administrateurs

Niveau : 🔴
Référence CIS : CIS Google Workspace 1.2
MITRE ATT&CK : T1078.004

Description : L’authentification multifacteur est cruciale pour les comptes à privilèges élevés. Les super-administrateurs doivent utiliser des méthodes MFA robustes comme les clés de sécurité FIDO pour résister aux attaques de phishing avancées.

Vérification :

Remédiation :

1. Console Admin > Sécurité > Authentification à 2 facteurs
2. Activer “Appliquer la validation en 2 étapes”
3. Configurer des clés de sécurité comme méthode principale

Valeur par défaut : MFA optionnel pour tous les utilisateurs

1.1.3 — Comptes de récupération configurés

Niveau : 🟠
Référence CIS : CIS Google Workspace 1.3
MITRE ATT&CK : T1098

Description : Les comptes de récupération permettent de retrouver l’accès administratif en cas de compromission ou perte d’accès des comptes principaux. Ces comptes doivent être sécurisés et utilisés uniquement en cas d’urgence.

Vérification :

Remédiation :

1. Configurer 1-2 comptes de récupération
2. Utiliser des adresses email externes sécurisées
3. Documenter la procédure de récupération

Valeur par défaut : Aucun compte de récupération configuré

1.1.4 — Délégation d’administration limitée

Niveau : 🟡
Référence CIS : CIS Google Workspace 1.4
MITRE ATT&CK : T1098.003

Description : La délégation permet d’accorder des privilèges administratifs granulaires sans donner l’accès super-administrateur complet. Cette approche réduit la surface d’attaque et respecte le principe du moindre privilège.

Vérification :

Remédiation :

1. Créer des rôles administratifs granulaires
2. Assigner les privilèges minimum nécessaires
3. Réviser régulièrement les attributions de rôles

Valeur par défaut : Rôles prédéfinis uniquement disponibles

1.1.5 — Audit des connexions administratives

Niveau : 🟡
Référence CIS : CIS Google Workspace 1.5
MITRE ATT&CK : T1078

Description : Le monitoring des connexions administratives permet de détecter les accès suspects ou non autorisés. Les logs d’audit doivent être configurés pour tracer toutes les activités administratives critiques.

Vérification :

Remédiation :

1. Activer les rapports d’audit administrateur
2. Configurer des alertes pour les connexions suspectes
3. Réviser mensuellement les logs d’accès

Valeur par défaut : Rapports d’audit activés par défaut

1.2.1 — Provisionnement automatique des utilisateurs

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.1
MITRE ATT&CK : T1136

Description : Le provisionnement automatique via LDAP, SAML ou API assure la cohérence entre les systèmes d’identité et réduit les erreurs manuelles. Cette approche améliore la sécurité et l’efficacité opérationnelle.

Vérification :

Remédiation :

1. Configurer Google Cloud Directory Sync (GCDS) si LDAP
2. Implémenter SAML provisioning si SSO
3. Automatiser via Admin SDK API

Valeur par défaut : Création manuelle uniquement

1.2.2 — Désactivation automatique des comptes inactifs

Niveau : 🟠
Référence CIS : CIS Google Workspace 2.2
MITRE ATT&CK : T1078.002

Description : Les comptes inactifs représentent un risque de sécurité car ils peuvent être compromis sans détection. Une politique de désactivation automatique après une période d’inactivité définie renforce la posture sécuritaire.

Vérification :

Remédiation :

1. Définir une période d’inactivité (ex: 90 jours)
2. Configurer la suspension automatique
3. Implémenter un processus de révision avant suppression

Valeur par défaut : Aucune suspension automatique

1.2.3 — Gestion du cycle de vie des comptes

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.3
MITRE ATT&CK : T1098

Description : Un processus formalisé de gestion du cycle de vie (création, modification, suspension, suppression) garantit la traçabilité et la cohérence des opérations sur les comptes utilisateurs.

Vérification :

Remédiation :

1. Documenter les procédures de cycle de vie
2. Implémenter des workflows d’approbation
3. Auditer régulièrement les changements de comptes

Valeur par défaut : Gestion manuelle sans workflow

1.2.4 — Attribution des licences par unité organisationnelle

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.4
MITRE ATT&CK : T1069.003

Description : L’attribution granulaire des licences selon l’unité organisationnelle permet un contrôle précis des fonctionnalités disponibles et optimise les coûts tout en maintenant la sécurité.

Vérification :

Remédiation :

1. Créer des unités organisationnelles par fonction/département
2. Attribuer les licences selon les besoins métier
3. Réviser trimestriellement l’utilisation des licences

Valeur par défaut : Attribution manuelle des licences

1.3.1 — Structure des unités organisationnelles

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.5
MITRE ATT&CK : T1069.003

Description : Une structure d’unités organisationnelles bien conçue facilite l’application de politiques de sécurité granulaires et simplifie la gestion des utilisateurs et des ressources.

Vérification :

Remédiation :

1. Concevoir une hiérarchie logique (département/fonction)
2. Limiter la profondeur à 3-4 niveaux maximum
3. Documenter la structure et les responsabilités

Valeur par défaut : Unité organisationnelle racine uniquement

1.3.2 — Héritage des politiques par OU

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.6
MITRE ATT&CK : T1069.003

Description : L’héritage des politiques permet d’appliquer des configurations de sécurité cohérentes à travers l’organisation tout en permettant des exceptions justifiées pour des unités spécifiques.

Vérification :

Remédiation :

1. Configurer l’héritage par défaut des politiques
2. Justifier et documenter les exceptions
3. Réviser régulièrement les surcharges de politiques

Valeur par défaut : Héritage activé par défaut

1.3.3 — Séparation des environnements par OU

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.7
MITRE ATT&CK : T1078.002

Description : La séparation des environnements (production, test, développement) via les unités organisationnelles renforce l’isolation et permet l’application de politiques de sécurité différenciées.

Vérification :

Remédiation :

1. Créer des OU distinctes par environnement
2. Appliquer des politiques restrictives à la production
3. Limiter les permissions inter-environnements

Valeur par défaut : Aucune séparation d’environnements

1.4.1 — Politique de mots de passe renforcée

Niveau : 🟠
Référence CIS : CIS Google Workspace 3.1
MITRE ATT&CK : T1110.001

Description : Des politiques de mots de passe robustes constituent la première ligne de défense contre les attaques par force brute et les compromissions de comptes. La complexité doit être équilibrée avec l’utilisabilité.

Vérification :

Remédiation :

1. Longueur minimum 12 caractères
2. Expiration tous les 180 jours maximum
3. Interdire la réutilisation des 12 derniers mots de passe

Valeur par défaut : 8 caractères minimum, pas d’expiration

1.4.2 — Historique et réutilisation des mots de passe

Niveau : 🟡
Référence CIS : CIS Google Workspace 3.2
MITRE ATT&CK : T1110.001

Description : L’historique des mots de passe empêche la réutilisation de mots de passe précédents, réduisant les risques liés aux mots de passe compromis ou devinés.

Vérification :

Remédiation :

1. Conserver l’historique des 12 derniers mots de passe
2. Empêcher la réutilisation immédiate
3. Éduquer les utilisateurs sur la création de mots de passe forts

Valeur par défaut : Historique de 1 mot de passe

1.4.3 — Verrouillage de compte après échecs

Niveau : 🟠
Référence CIS : CIS Google Workspace 3.3
MITRE ATT&CK : T1110

Description : Le verrouillage automatique des comptes après plusieurs tentatives de connexion infructueuses protège contre les attaques par force brute et les tentatives de compromission automatisées.

Vérification :

Remédiation :

1. Verrouiller après 5 tentatives échouées
2. Durée de verrouillage: 15-30 minutes
3. Alerter l’administrateur en cas de verrouillages répétés

Valeur par défaut : Verrouillage après 100 tentatives

1.5.1 — Révision périodique des comptes utilisateurs

Niveau : 🟡
Référence CIS : CIS Google Workspace 4.1
MITRE ATT&CK : T1078.002

Description : La révision régulière des comptes utilisateurs permet d’identifier les comptes orphelins, inactifs ou surdimensionnés en termes de privilèges, contribuant à maintenir une posture sécuritaire optimale.

Vérification :

Remédiation :

1. Planifier des révisions trimestrielles
2. Identifier les comptes inactifs >90 jours
3. Valider la nécessité métier de chaque compte

Valeur par défaut : Aucune révision automatique

1.5.2 — Audit des attributions de groupes

Niveau : 🟡
Référence CIS : CIS Google Workspace 4.2
MITRE ATT&CK : T1069.003

Description : L’appartenance aux groupes détermine les accès et privilèges des utilisateurs. Un audit régulier garantit que les permissions restent alignées avec les responsabilités actuelles des utilisateurs.

Vérification :

Remédiation :

1. Auditer mensuellement les groupes à privilèges
2. Valider l’appartenance avec les responsables métier
3. Supprimer les membres non autorisés

Valeur par défaut : Aucun audit automatique des groupes

1.5.3 — Monitoring des changements de privilèges

Niveau : 🟠
Référence CIS : CIS Google Workspace 4.3
MITRE ATT&CK : T1098.003

Description : La surveillance en temps réel des modifications de privilèges permet de détecter les élévations suspectes de droits et de réagir rapidement aux compromissions potentielles.

Vérification :

Remédiation :

1. Configurer des alertes pour les changements de privilèges
2. Réviser immédiatement toute élévation non planifiée
3. Maintenir un log d’approbation des changements

Valeur par défaut : Aucune alerte automatique

1.6.1 — Comptes de service sécurisés

Niveau : 🟠
Référence CIS : CIS Google Workspace 5.1
MITRE ATT&CK : T1078.003

Description : Les comptes de service automatisent les tâches mais représentent un risque s’ils sont mal sécurisés. Ils nécessitent une gestion stricte avec des privilèges minimaux et une rotation régulière des clés.

Vérification :

Remédiation :

1. Créer des comptes de service dédiés par application
2. Appliquer le principe du moindre privilège
3. Rotation des clés tous les 90 jours

Valeur par défaut : Gestion manuelle des comptes de service

1.6.2 — Authentification par clés API sécurisées

Niveau : 🟠
Référence CIS : CIS Google Workspace 5.2
MITRE ATT&CK : T1552.001

Description : Les clés API permettent l’accès programmatique aux services Google Workspace. Leur compromission peut entraîner un accès non autorisé étendu. Une gestion sécurisée est critique.

Vérification :

Remédiation :

1. Restreindre l’utilisation des clés API par IP/domaine
2. Rotation automatique tous les 60 jours
3. Auditer régulièrement l’utilisation des clés

Valeur par défaut : Clés API sans restriction d’usage

1.6.3 — Monitoring de l’utilisation des comptes de service

Niveau : 🟡
Référence CIS : CIS Google Workspace 5.3
MITRE ATT&CK : T1078.003

Description : Le monitoring de l’activité des comptes de service permet de détecter les utilisations anormales ou non autorisées et de maintenir une visibilité sur les accès automatisés.

Vérification :

Remédiation :

1. Configurer des alertes pour l’usage inhabituel
2. Réviser mensuellement les logs d’accès
3. Corréler avec les déploiements d’applications

Valeur par défaut : Aucun monitoring spécifique des comptes de service

1.7.1 — Processus d’offboarding formalisé

Niveau : 🟠
Référence CIS : CIS Google Workspace 6.1
MITRE ATT&CK : T1078.002

Description : Un processus d’offboarding structuré garantit la révocation complète des accès lors des départs d’employés et la sécurisation des données, réduisant les risques de fuite ou d’accès malveillant post-départ.

Vérification :

Remédiation :

1. Checklist d’offboarding standardisée
2. Suspension immédiate à la notification de départ
3. Transfert des données vers le manager sous 48h

Valeur par défaut : Processus manuel non formalisé

1.7.2 — Transfert sécurisé des données utilisateur

Niveau : 🟡
Référence CIS : CIS Google Workspace 6.2
MITRE ATT&CK : T1005

Description : Le transfert des données utilisateur lors des départs doit être sécurisé et audité pour préserver la continuité métier tout en empêchant les fuites de données sensibles.

Vérification :

Remédiation :

1. Utiliser l’outil de transfert natif Google
2. Approuver les transferts par le management
3. Auditer le contenu transféré

Valeur par défaut : Aucun transfert automatique configuré

S1 — GESTION DES COMPTES & IDENTITÉS

Cette section couvre la gestion des comptes utilisateurs, rôles administratifs, provisionnement et désactivation des comptes dans Google Workspace.

1.1.1 — Configuration des rôles super-administrateur

Niveau : 🔴
Référence CIS : CIS Google Workspace 1.1
MITRE ATT&CK : T1078.004

Description : Les comptes super-administrateur disposent d’un accès complet à tous les services Google Workspace. Une gestion stricte de ces comptes est essentielle pour prévenir les compromissions et maintenir la sécurité organisationnelle. Le principe du moindre privilège doit être appliqué.

Vérification :

• Console Admin > Comptes > Rôles d’administrateur
• API: GET https://admin.googleapis.com/admin/directory/v1/roleAssignments
• gam print adminroles

Remédiation :

1. Limiter le nombre de super-administrateurs à 2-4 maximum
2. Utiliser des comptes dédiés uniquement pour l’administration
3. Séparer les comptes d’administration des comptes utilisateurs standards

Valeur par défaut : Un super-administrateur est créé lors de l’inscription

1.1.2 — Authentification multifacteur pour super-administrateurs

Niveau : 🔴
Référence CIS : CIS Google Workspace 1.2
MITRE ATT&CK : T1078.004

Description : L’authentification multifacteur est cruciale pour les comptes à privilèges élevés. Les super-administrateurs doivent utiliser des méthodes MFA robustes comme les clés de sécurité FIDO pour résister aux attaques de phishing avancées.

Vérification :

• Console Admin > Sécurité > Authentification à 2 facteurs
• API: GET https://admin.googleapis.com/admin/directory/v1/users/{userKey}
• gam info user admin@domain.com

Remédiation :

1. Console Admin > Sécurité > Authentification à 2 facteurs
2. Activer “Appliquer la validation en 2 étapes”
3. Configurer des clés de sécurité comme méthode principale

Valeur par défaut : MFA optionnel pour tous les utilisateurs

1.1.3 — Comptes de récupération configurés

Niveau : 🟠
Référence CIS : CIS Google Workspace 1.3
MITRE ATT&CK : T1098

Description : Les comptes de récupération permettent de retrouver l’accès administratif en cas de compromission ou perte d’accès des comptes principaux. Ces comptes doivent être sécurisés et utilisés uniquement en cas d’urgence.

Vérification :

• Console Admin > Comptes > Récupération de compte administrateur
• API: GET https://admin.googleapis.com/admin/directory/v1/customer/{customer}/orgunits
• gam print orgs

Remédiation :

1. Configurer 1-2 comptes de récupération
2. Utiliser des adresses email externes sécurisées
3. Documenter la procédure de récupération

Valeur par défaut : Aucun compte de récupération configuré

1.1.4 — Délégation d’administration limitée

Niveau : 🟡
Référence CIS : CIS Google Workspace 1.4
MITRE ATT&CK : T1098.003

Description : La délégation permet d’accorder des privilèges administratifs granulaires sans donner l’accès super-administrateur complet. Cette approche réduit la surface d’attaque et respecte le principe du moindre privilège.

Vérification :

• Console Admin > Comptes > Rôles d’administrateur > Rôles personnalisés
• API: GET https://admin.googleapis.com/admin/directory/v1/customer/{customer}/roles
• gam print adminroles

Remédiation :

1. Créer des rôles administratifs granulaires
2. Assigner les privilèges minimum nécessaires
3. Réviser régulièrement les attributions de rôles

Valeur par défaut : Rôles prédéfinis uniquement disponibles

1.1.5 — Audit des connexions administratives

Niveau : ��
Référence CIS : CIS Google Workspace 1.5
MITRE ATT&CK : T1078

Description : Le monitoring des connexions administratives permet de détecter les accès suspects ou non autorisés. Les logs d’audit doivent être configurés pour tracer toutes les activités administratives critiques.

Vérification :

• Console Admin > Rapports > Rapports d’audit > Connexion administrateur
• API: GET https://admin.googleapis.com/admin/reports/v1/activity/users/{userKey}/applications/admin
• gam report admin start -30d end today

Remédiation :

1. Activer les rapports d’audit administrateur
2. Configurer des alertes pour les connexions suspectes
3. Réviser mensuellement les logs d’accès

Valeur par défaut : Rapports d’audit activés par défaut

1.2.1 — Provisionnement automatique des utilisateurs

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.1
MITRE ATT&CK : T1136

Description : Le provisionnement automatique via LDAP, SAML ou API assure la cohérence entre les systèmes d’identité et réduit les erreurs manuelles. Cette approche améliore la sécurité et l’efficacité opérationnelle.

Vérification :

• Console Admin > Comptes > Synchronisation LDAP/Active Directory
• API: GET https://admin.googleapis.com/admin/directory/v1/users
• gam print users

Remédiation :

1. Configurer Google Cloud Directory Sync (GCDS) si LDAP
2. Implémenter SAML provisioning si SSO
3. Automatiser via Admin SDK API

Valeur par défaut : Création manuelle uniquement

1.2.2 — Désactivation automatique des comptes inactifs

Niveau : 🟠
Référence CIS : CIS Google Workspace 2.2
MITRE ATT&CK : T1078.002

Description : Les comptes inactifs représentent un risque de sécurité car ils peuvent être compromis sans détection. Une politique de désactivation automatique après une période d’inactivité définie renforce la posture sécuritaire.

Vérification :

• Console Admin > Comptes > Paramètres utilisateur > Suspension automatique
• API: GET https://admin.googleapis.com/admin/directory/v1/users?query='isSuspended=false'
• gam print users suspended

Remédiation :

1. Définir une période d’inactivité (ex: 90 jours)
2. Configurer la suspension automatique
3. Implémenter un processus de révision avant suppression

Valeur par défaut : Aucune suspension automatique

1.2.3 — Gestion du cycle de vie des comptes

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.3
MITRE ATT&CK : T1098

Description : Un processus formalisé de gestion du cycle de vie (création, modification, suspension, suppression) garantit la traçabilité et la cohérence des opérations sur les comptes utilisateurs.

Vérification :

• Console Admin > Rapports > Rapports d’audit > Comptes
• API: GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/admin
• gam report admin filter=‘USER_CREATED,USER_DELETED,USER_SUSPENDED’

Remédiation :

1. Documenter les procédures de cycle de vie
2. Implémenter des workflows d’approbation
3. Auditer régulièrement les changements de comptes

Valeur par défaut : Gestion manuelle sans workflow

1.2.4 — Attribution des licences par unité organisationnelle

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.4
MITRE ATT&CK : T1069.003

Description : L’attribution granulaire des licences selon l’unité organisationnelle permet un contrôle précis des fonctionnalités disponibles et optimise les coûts tout en maintenant la sécurité.

Vérification :

• Console Admin > Facturation > Abonnements > Attribution des licences
• API: GET https://admin.googleapis.com/admin/directory/v1/customer/{customer}/orgunits
• gam print licenses

Remédiation :

1. Créer des unités organisationnelles par fonction/département
2. Attribuer les licences selon les besoins métier
3. Réviser trimestriellement l’utilisation des licences

Valeur par défaut : Attribution manuelle des licences

1.3.1 — Structure des unités organisationnelles

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.5
MITRE ATT&CK : T1069.003

Description : Une structure d’unités organisationnelles bien conçue facilite l’application de politiques de sécurité granulaires et simplifie la gestion des utilisateurs et des ressources.

Vérification :

• Console Admin > Annuaire > Unités organisationnelles
• API: GET https://admin.googleapis.com/admin/directory/v1/customer/{customer}/orgunits
• gam print orgs

Remédiation :

1. Concevoir une hiérarchie logique (département/fonction)
2. Limiter la profondeur à 3-4 niveaux maximum
3. Documenter la structure et les responsabilités

Valeur par défaut : Unité organisationnelle racine uniquement

1.3.2 — Héritage des politiques par OU

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.6
MITRE ATT&CK : T1069.003

Description : L’héritage des politiques permet d’appliquer des configurations de sécurité cohérentes à travers l’organisation tout en permettant des exceptions justifiées pour des unités spécifiques.

Vérification :

• Console Admin > Annuaire > Unités organisationnelles > [Sélectionner OU] > Héritage
• API: GET https://admin.googleapis.com/admin/directory/v1/customer/{customer}/orgunits/{orgUnitPath}
• gam info org /Finance

Remédiation :

1. Configurer l’héritage par défaut des politiques
2. Justifier et documenter les exceptions
3. Réviser régulièrement les surcharges de politiques

Valeur par défaut : Héritage activé par défaut

1.4.1 — Politique de mots de passe renforcée

Niveau : 🟠
Référence CIS : CIS Google Workspace 3.1
MITRE ATT&CK : T1110.001

Description : Des politiques de mots de passe robustes constituent la première ligne de défense contre les attaques par force brute et les compromissions de comptes. La complexité doit être équilibrée avec l’utilisabilité.

Vérification :

• Console Admin > Sécurité > Paramètres des mots de passe
• API: GET https://admin.googleapis.com/admin/directory/v1/customer/{customer}/orgunits/{orgUnitPath}
• gam info domain domain.com

Remédiation :

1. Longueur minimum 12 caractères
2. Expiration tous les 180 jours maximum
3. Interdire la réutilisation des 12 derniers mots de passe

Valeur par défaut : 8 caractères minimum, pas d’expiration

1.5.1 — Révision périodique des comptes utilisateurs

Niveau : 🟡
Référence CIS : CIS Google Workspace 4.1
MITRE ATT&CK : T1078.002

Description : La révision régulière des comptes utilisateurs permet d’identifier les comptes orphelins, inactifs ou surdimensionnés en termes de privilèges, contribuant à maintenir une posture sécuritaire optimale.

Vérification :

• Console Admin > Rapports > Comptes > Activité des utilisateurs
• API: GET https://admin.googleapis.com/admin/reports/v1/usage/users/all/dates/{date}
• gam report users filter=‘accounts:last_login_time<2024-01-01’

Remédiation :

1. Planifier des révisions trimestrielles
2. Identifier les comptes inactifs >90 jours
3. Valider la nécessité métier de chaque compte

Valeur par défaut : Aucune révision automatique

S2 — AUTHENTIFICATION & MFA

Cette section traite de l’authentification multifacteur, des politiques de connexion, du SSO/SAML et de la sécurité des sessions utilisateur.

2.1.1 — Authentification à deux facteurs obligatoire

Niveau : 🔴
Référence CIS : CIS Google Workspace 1.1.1
MITRE ATT&CK : T1078

Description : L’authentification à deux facteurs (2FA/MFA) est essentielle pour protéger les comptes contre les compromissions par mot de passe. Elle doit être obligatoire pour tous les utilisateurs sans exception.

Vérification :

• Console Admin > Sécurité > Authentification à 2 facteurs
• API: GET https://admin.googleapis.com/admin/directory/v1/users?projection=full
• gam info domain domain.com | grep 2sv

Remédiation :

1. Console Admin > Sécurité > Authentification à 2 facteurs
2. Activer “Appliquer la validation en 2 étapes”
3. Définir une période de grâce de 1 semaine maximum

Valeur par défaut : MFA optionnel

2.1.2 — Méthodes MFA autorisées

Niveau : 🟠
Référence CIS : CIS Google Workspace 1.1.2
MITRE ATT&CK : T1111

Description : Toutes les méthodes MFA ne présentent pas le même niveau de sécurité. Les clés de sécurité FIDO offrent la meilleure protection contre le phishing, tandis que les SMS sont vulnérables aux attaques SIM swapping.

Vérification :

• Console Admin > Sécurité > Authentification à 2 facteurs > Méthodes autorisées
• API: GET https://admin.googleapis.com/admin/directory/v1/customer/{customer}
• gam info domain domain.com settings

Remédiation :

1. Privilégier les clés de sécurité FIDO/WebAuthn
2. Autoriser Google Authenticator en complément
3. Désactiver les SMS sauf cas d’usage justifiés

Valeur par défaut : Toutes les méthodes autorisées

2.1.3 — Codes de récupération sécurisés

Niveau : 🟡
Référence CIS : CIS Google Workspace 1.1.3
MITRE ATT&CK : T1078

Description : Les codes de récupération permettent aux utilisateurs de retrouver l’accès en cas de perte du second facteur. Ils doivent être gérés de manière sécurisée et avoir une durée de vie limitée.

Vérification :

• Console Admin > Sécurité > Authentification à 2 facteurs > Codes de secours
• API: GET https://admin.googleapis.com/admin/directory/v1/users/{userKey}
• gam info user user@domain.com | grep backup

Remédiation :

1. Générer automatiquement 10 codes de récupération
2. Expirer les codes après 12 mois
3. Informer les utilisateurs du stockage sécurisé

Valeur par défaut : 10 codes de récupération permanents

2.1.4 — Clés de sécurité pour comptes privilégiés

Niveau : 🔴
Référence CIS : CIS Google Workspace 1.1.4
MITRE ATT&CK : T1078.004

Description : Les comptes administrateurs et privilégiés sont des cibles prioritaires. L’utilisation obligatoire de clés de sécurité FIDO offre une protection maximale contre les attaques de phishing avancées.

Vérification :

• Console Admin > Sécurité > Authentification à 2 facteurs > Clés de sécurité uniquement
• API: GET https://admin.googleapis.com/admin/directory/v1/users?query='isAdmin=true'
• gam print users query ‘isAdmin=true’

Remédiation :

1. Exiger les clés FIDO pour tous les administrateurs
2. Désactiver les autres méthodes MFA pour ces comptes
3. Fournir des clés de sauvegarde

Valeur par défaut : Toutes méthodes MFA autorisées pour les admins

2.1.5 — Politique de session et timeout

Niveau : 🟡
Référence CIS : CIS Google Workspace 1.1.5
MITRE ATT&CK : T1185

Description : La gestion des sessions limite l’exposition en cas d’abandon de session ou de compromission d’un poste de travail. Les timeouts doivent être équilibrés entre sécurité et productivité.

Vérification :

• Console Admin > Sécurité > Paramètres de session > Durée de session
• API: GET https://admin.googleapis.com/admin/directory/v1/customer/{customer}
• gam info domain domain.com settings

Remédiation :

1. Configurer un timeout de session à 8 heures
2. Exiger une ré-authentification pour les actions sensibles
3. Configurer la déconnexion automatique en cas d’inactivité

Valeur par défaut : Session persistante jusqu’à 14 jours

2.2.1 — Configuration SSO/SAML sécurisée

Niveau : 🟠
Référence CIS : CIS Google Workspace 2.1.1
MITRE ATT&CK : T1078

Description : Le Single Sign-On SAML centralise l’authentification et peut renforcer la sécurité s’il est correctement configuré. La validation des certificats et le chiffrement des assertions sont cruciaux.

Vérification :

• Console Admin > Sécurité > Configuration SSO
• API: GET https://admin.googleapis.com/admin/directory/v1/customer/{customer}
• gam info domain domain.com sso

Remédiation :

1. Utiliser uniquement HTTPS pour les endpoints SAML
2. Valider les certificats X.509 du fournisseur d’identité
3. Chiffrer les assertions SAML

Valeur par défaut : SSO désactivé

2.2.2 — Fournisseur d’identité de confiance

Niveau : 🟠
Référence CIS : CIS Google Workspace 2.1.2
MITRE ATT&CK : T1078

Description : Le fournisseur d’identité SSO doit être durci et maintenu à jour. Sa compromission affecterait l’ensemble de l’écosystème Google Workspace.

Vérification :

• Console Admin > Sécurité > Configuration SSO > URL de connexion
• Vérification manuelle de la configuration du fournisseur d’identité
• Audit des logs du fournisseur d’identité

Remédiation :

1. Appliquer les mises à jour sécurité du fournisseur d’identité
2. Configurer MFA sur le fournisseur d’identité
3. Auditer régulièrement les configurations

Valeur par défaut : Configuration selon le fournisseur d’identité

2.2.3 — Validation des certificats SAML

Niveau : 🟠
Référence CIS : CIS Google Workspace 2.1.3
MITRE ATT&CK : T1556.006

Description : La validation stricte des certificats SAML empêche les attaques man-in-the-middle et garantit l’intégrité des échanges d’authentification.

Vérification :

• Console Admin > Sécurité > Configuration SSO > Certificat de vérification
• Vérification de la chaîne de certificats
• Validation des dates d’expiration

Remédiation :

1. Utiliser des certificats signés par une AC de confiance
2. Configurer la validation stricte des certificats
3. Planifier le renouvellement avant expiration

Valeur par défaut : Validation selon configuration

2.2.4 — Mappage des attributs SAML

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.1.4
MITRE ATT&CK : T1078

Description : Le mappage correct des attributs SAML garantit que les utilisateurs reçoivent les bonnes permissions et appartenances aux groupes lors de l’authentification SSO.

Vérification :

• Console Admin > Sécurité > Configuration SSO > Mappage des attributs
• Vérification des groupes assignés automatiquement
• Test du provisionnement automatique

Remédiation :

1. Mapper les attributs utilisateur essentiels (nom, email, groupes)
2. Tester le provisionnement avec des comptes de test
3. Valider les permissions assignées automatiquement

Valeur par défaut : Mappage basique email/nom

2.2.5 — Fallback d’authentification sécurisé

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.1.5
MITRE ATT&CK : T1078

Description : En cas de panne du fournisseur d’identité SSO, un mécanisme de fallback doit permettre l’accès d’urgence tout en maintenant la sécurité.

Vérification :

• Console Admin > Sécurité > Configuration SSO > Comptes de contournement
• Test des comptes d’urgence
• Documentation des procédures de fallback

Remédiation :

1. Configurer des comptes d’administrateur de contournement
2. Documenter les procédures d’urgence
3. Tester régulièrement les mécanismes de fallback

Valeur par défaut : Authentification Google Workspace native

2.3.1 — Restriction d’accès par géolocalisation

Niveau : 🟡
Référence CIS : CIS Google Workspace 3.1.1
MITRE ATT&CK : T1078

Description : Les restrictions géographiques peuvent limiter l’exposition aux attaques depuis des pays à risque, bien qu’elles doivent être configurées avec précaution pour ne pas impacter les utilisateurs légitimes.

Vérification :

• Console Admin > Sécurité > Accès et contrôle des données > Restriction géographique
• API: GET https://admin.googleapis.com/admin/directory/v1/customer/{customer}
• Analyse des logs de connexion par pays

Remédiation :

1. Identifier les pays d’opération légitimes
2. Bloquer les pays à haut risque si applicable
3. Configurer des alertes pour les connexions inhabituelles

Valeur par défaut : Aucune restriction géographique

2.3.2 — Contrôle d’accès par plages IP

Niveau : 🟡
Référence CIS : CIS Google Workspace 3.1.2
MITRE ATT&CK : T1078

Description : La restriction par plages IP peut renforcer la sécurité pour certaines unités organisationnelles sensibles, en limitant l’accès aux réseaux d’entreprise approuvés.

Vérification :

• Console Admin > Sécurité > Accès et contrôle des données > Plages IP autorisées
• API: GET https://admin.googleapis.com/admin/directory/v1/customer/{customer}/orgunits
• Test d’accès depuis différentes IP

Remédiation :

1. Définir les plages IP de l’entreprise
2. Configurer des exceptions pour les utilisateurs mobiles
3. Prévoir une procédure de déblocage d’urgence

Valeur par défaut : Aucune restriction IP

2.3.3 — Context-Aware Access (Accès contextuel)

Niveau : 🟠
Référence CIS : CIS Google Workspace 3.1.3
MITRE ATT&CK : T1078

Description : L’accès contextuel analyse plusieurs facteurs (localisation, appareil, réseau) pour autoriser ou refuser l’accès, offrant une sécurité adaptative sans friction excessive pour l’utilisateur.

Vérification :

• Console Admin > Sécurité > Context-Aware Access
• Google Cloud Console > BeyondCorp Enterprise
• Analyse des niveaux d’accès configurés

Remédiation :

1. Configurer des niveaux d’accès selon le contexte
2. Définir des politiques pour les appareils gérés/non-gérés
3. Implémenter progressivement par unité organisationnelle

Valeur par défaut : Context-Aware Access désactivé

2.3.4 — Gestion des appareils de confiance

Niveau : 🟠
Référence CIS : CIS Google Workspace 3.1.4
MITRE ATT&CK : T1078

Description : L’identification et la gestion des appareils de confiance permettent d’appliquer des politiques de sécurité différenciées selon que l’appareil est géré par l’entreprise ou non.

Vérification :

• Console Admin > Appareils > Appareils mobiles
• Console Admin > Appareils > Points de terminaison
• gam print mobile query ‘status:APPROVED’

Remédiation :

1. Inventorier tous les appareils accédant aux services
2. Configurer des politiques pour appareils gérés/non-gérés
3. Exiger l’enregistrement pour les appareils sensibles

Valeur par défaut : Tous les appareils autorisés par défaut

2.4.1 — Alertes de connexions suspectes

Niveau : 🟡
Référence CIS : CIS Google Workspace 4.1.1
MITRE ATT&CK : T1078

Description : Les alertes automatiques pour les connexions inhabituelles (géolocalisation, horaires, appareils) permettent une détection rapide des compromissions de comptes.

Vérification :

• Console Admin > Sécurité > Centre d’alertes > Alertes de connexion
• API: GET https://admin.googleapis.com/admin/alertcenter/v1beta1/alerts
• Configuration des notifications par email

Remédiation :

1. Configurer les alertes pour connexions géographiquement anormales
2. Activer les alertes pour nouveaux appareils
3. Définir les destinataires des alertes de sécurité

Valeur par défaut : Alertes de base configurées

2.4.2 — Monitoring des échecs d’authentification

Niveau : 🟡
Référence CIS : CIS Google Workspace 4.1.2
MITRE ATT&CK : T1110

Description : Le suivi des tentatives d’authentification échouées aide à identifier les attaques par force brute et les tentatives de compromission de comptes utilisateur.

Vérification :

• Console Admin > Rapports > Rapports d’audit > Connexion
• API: GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login
• gam report login start -7d | grep FAILED

Remédiation :

1. Configurer des seuils d’alerte pour les échecs répétés
2. Analyser les patterns d’attaque
3. Bloquer automatiquement après X tentatives échouées

Valeur par défaut : Logs disponibles sans alertes automatiques

2.4.3 — Analyse des patterns de connexion

Niveau : 🟢
Référence CIS : CIS Google Workspace 4.1.3
MITRE ATT&CK : T1078

Description : L’analyse comportementale des patterns de connexion (horaires, fréquence, géolocalisation) permet d’établir des baselines et de détecter les anomalies.

Vérification :

• Console Admin > Rapports > Rapports d’audit > Connexion > Analyse des tendances
• Outils d’analyse des logs (Google Cloud Logging)
• Tableaux de bord de monitoring personnalisés

Remédiation :

1. Établir des baselines comportementales par utilisateur
2. Configurer des alertes pour les déviations significatives
3. Corréler avec les événements de sécurité

Valeur par défaut : Aucune analyse comportementale automatique

2.5.1 — Gestion des sessions concurrentes

Niveau : 🟡
Référence CIS : CIS Google Workspace 5.1.1
MITRE ATT&CK : T1185

Description : La limitation du nombre de sessions simultanées par utilisateur réduit les risques de partage de comptes et limite l’exposition en cas de compromission.

Vérification :

• Console Admin > Sécurité > Paramètres de session > Sessions simultanées
• Monitoring des sessions actives par utilisateur
• Analyse des connexions multiples suspectes

Remédiation :

1. Limiter à 3-5 sessions simultanées maximum par utilisateur
2. Configurer la déconnexion des sessions les plus anciennes
3. Alerter en cas de sessions simultanées géographiquement distantes

Valeur par défaut : Sessions simultanées illimitées

2.5.2 — Révocation de sessions à distance

Niveau : 🟡
Référence CIS : CIS Google Workspace 5.1.2
MITRE ATT&CK : T1185

Description : La capacité de révoquer à distance les sessions actives est essentielle en cas de compromission suspected ou de perte d’appareil.

Vérification :

• Console Admin > Comptes > Sélectionner utilisateur > Déconnecter de toutes les sessions
• API: POST https://admin.googleapis.com/admin/directory/v1/users/{userKey}/signOut
• gam user user@domain.com signout

Remédiation :

1. Former les administrateurs à la révocation de sessions
2. Documenter les procédures d’urgence
3. Tester régulièrement la fonctionnalité

Valeur par défaut : Révocation manuelle disponible

2.6.1 — Audit des méthodes d’authentification

Niveau : 🟡
Référence CIS : CIS Google Workspace 6.1.1
MITRE ATT&CK : T1078

Description : L’audit régulier des méthodes d’authentification configurées par les utilisateurs permet d’identifier les configurations faibles ou obsolètes.

Vérification :

• Console Admin > Rapports > Comptes > Méthodes de vérification en 2 étapes
• API: GET https://admin.googleapis.com/admin/directory/v1/users?projection=full
• gam print users 2sv

Remédiation :

1. Auditer mensuellement les méthodes MFA configurées
2. Identifier les utilisateurs utilisant uniquement des méthodes faibles
3. Forcer la mise à jour vers des méthodes plus sécurisées

Valeur par défaut : Aucun audit automatique

S3 — GMAIL — SÉCURITÉ EMAIL

Cette section couvre la sécurité des emails Gmail, incluant SPF, DKIM, DMARC, la protection contre le phishing et la prévention des fuites de données.

3.1.1 — Configuration SPF (Sender Policy Framework)

Niveau : 🔴
Référence CIS : CIS Google Workspace 7.1
MITRE ATT&CK : T1566.001

Description : SPF authentifie les serveurs autorisés à envoyer des emails au nom du domaine, réduisant significativement le risque d’usurpation d’identité et de phishing. Une configuration stricte est essentielle.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Authentifier les emails
• nslookup -type=TXT domain.com | grep ‘v=spf1’
• dig TXT domain.com | grep SPF

Remédiation :

1. Configurer un enregistrement SPF strict avec ‘-all’
2. Inclure uniquement les serveurs email autorisés
3. Tester avec des outils de validation SPF

Valeur par défaut : SPF non configuré par défaut

3.1.2 — Configuration DKIM (DomainKeys Identified Mail)

Niveau : 🔴
Référence CIS : CIS Google Workspace 7.2
MITRE ATT&CK : T1566.001

Description : DKIM signe cryptographiquement les emails sortants, permettant aux destinataires de vérifier l’intégrité et l’authenticité des messages. Cette signature empêche la modification en transit.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Authentifier les emails > DKIM
• nslookup -type=TXT google._domainkey.domain.com
• Vérification de la signature DKIM sur emails envoyés

Remédiation :

1. Activer DKIM pour tous les domaines
2. Générer des clés DKIM de 2048 bits minimum
3. Publier les clés publiques dans les enregistrements DNS

Valeur par défaut : DKIM désactivé par défaut

3.1.3 — Configuration DMARC stricte

Niveau : 🔴
Référence CIS : CIS Google Workspace 7.3
MITRE ATT&CK : T1566.001

Description : DMARC utilise SPF et DKIM pour définir la politique de traitement des emails non authentifiés. Une politique ‘reject’ strict empêche la livraison d’emails usurpés.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Authentifier les emails > DMARC
• nslookup -type=TXT _dmarc.domain.com
• Analyse des rapports DMARC

Remédiation :

1. Commencer par ‘p=none’ pour collecter des données
2. Progresser vers ‘p=quarantine’ puis ‘p=reject’
3. Configurer des adresses de rapport RUA et RUF

Valeur par défaut : DMARC non configuré

3.1.4 — Authentification BIMI (Brand Indicators for Message Identification)

Niveau : 🟢
Référence CIS : CIS Google Workspace 7.4
MITRE ATT&CK : T1566.001

Description : BIMI affiche le logo de l’entreprise dans les clients email pour les messages authentifiés, renforçant la reconnaissance de marque et la confiance des destinataires.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Authentifier les emails > BIMI
• nslookup -type=TXT default._bimi.domain.com
• Test d’affichage du logo dans Gmail

Remédiation :

1. Obtenir un certificat VMC (Verified Mark Certificate)
2. Configurer l’enregistrement BIMI avec le logo SVG
3. Vérifier que DMARC est en mode ‘quarantine’ ou ‘reject’

Valeur par défaut : BIMI non configuré

3.2.1 — Protection anti-phishing avancée

Niveau : 🟠
Référence CIS : CIS Google Workspace 8.1
MITRE ATT&CK : T1566.002

Description : La protection anti-phishing utilise l’intelligence artificielle et l’analyse comportementale pour détecter les tentatives de hameçonnage sophistiquées, incluant les attaques de spear phishing ciblées.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Sécurité > Anti-phishing
• Console Admin > Centre d’alertes > Alertes de phishing
• Test avec des emails de phishing simulés

Remédiation :

1. Activer la protection anti-phishing pour tous les utilisateurs
2. Configurer des alertes pour tentatives de phishing détectées
3. Former les utilisateurs à la reconnaissance du phishing

Valeur par défaut : Protection de base activée

3.2.2 — Analyse des pièces jointes malveillantes

Niveau : 🟠
Référence CIS : CIS Google Workspace 8.2
MITRE ATT&CK : T1566.001

Description : L’analyse des pièces jointes en temps réel détecte les malwares et les documents malveillants avant leur ouverture par les utilisateurs, utilisant des techniques de sandboxing.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Sécurité > Protection contre les programmes malveillants
• Test avec des fichiers de test EICAR
• Analyse des logs de détection

Remédiation :

1. Activer l’analyse en temps réel des pièces jointes
2. Configurer la mise en quarantaine automatique
3. Bloquer les types de fichiers à haut risque

Valeur par défaut : Analyse de base activée

3.2.3 — Protection des liens malveillants

Niveau : 🟠
Référence CIS : CIS Google Workspace 8.3
MITRE ATT&CK : T1566.002

Description : La réécriture et l’analyse des liens en temps réel protègent contre les sites web malveillants et les tentatives de redirection vers des pages de phishing.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Sécurité > Protection des liens
• Test avec des liens malveillants connus
• Vérification de la réécriture des URL

Remédiation :

1. Activer la réécriture de tous les liens
2. Configurer l’analyse en temps réel au clic
3. Bloquer l’accès aux sites de réputation douteuse

Valeur par défaut : Protection de base des liens

3.2.4 — Quarantaine administrative

Niveau : 🟡
Référence CIS : CIS Google Workspace 8.4
MITRE ATT&CK : T1566

Description : La quarantaine administrative permet de retenir les messages suspects pour analyse manuelle avant livraison, offrant un contrôle granulaire sur les emails potentiellement dangereux.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Conformité > Quarantaine administrative
• Interface de gestion de la quarantaine
• Statistiques des messages en quarantaine

Remédiation :

1. Configurer des règles de quarantaine pour messages suspects
2. Définir des reviewers autorisés
3. Établir des SLA de review (ex: 2h max)

Valeur par défaut : Quarantaine manuelle uniquement

3.3.1 — Règles DLP pour emails sensibles

Niveau : 🟠
Référence CIS : CIS Google Workspace 9.1
MITRE ATT&CK : T1041

Description : Les règles de prévention des fuites de données (DLP) détectent et bloquent l’envoi d’informations sensibles par email, protégeant la confidentialité et la conformité réglementaire.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Conformité > Prévention contre la perte de données
• Test avec des données sensibles fictives
• Analyse des violations DLP détectées

Remédiation :

1. Configurer des règles pour numéros de cartes bancaires, SSN
2. Détecter les documents confidentiels en pièce jointe
3. Bloquer ou alerter selon le niveau de sensibilité

Valeur par défaut : Aucune règle DLP configurée

3.3.2 — Chiffrement des emails sensibles

Niveau : 🟠
Référence CIS : CIS Google Workspace 9.2
MITRE ATT&CK : T1041

Description : Le chiffrement automatique des emails contenant des données sensibles garantit la confidentialité en transit et au repos, même si les messages sont interceptés.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Conformité > Chiffrement des emails
• Test d’envoi d’emails avec données sensibles
• Vérification du chiffrement côté destinataire

Remédiation :

1. Activer le chiffrement automatique pour données réglementées
2. Configurer S/MIME pour les emails externes
3. Utiliser le mode confidentiel Gmail pour données très sensibles

Valeur par défaut : Chiffrement TLS uniquement

3.3.3 — Mode confidentiel Gmail

Niveau : 🟡
Référence CIS : CIS Google Workspace 9.3
MITRE ATT&CK : T1041

Description : Le mode confidentiel permet de contrôler l’accès aux emails sensibles avec expiration, restriction de copie/impression et authentification du destinataire.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Paramètres utilisateur > Mode confidentiel
• Test d’envoi en mode confidentiel
• Vérification des contrôles d’accès

Remédiation :

1. Activer le mode confidentiel pour tous les utilisateurs
2. Former les utilisateurs à son utilisation appropriée
3. Configurer des modèles pour emails récurrents sensibles

Valeur par défaut : Mode confidentiel disponible mais optionnel

3.3.4 — Étiquetage automatique des emails

Niveau : 🟡
Référence CIS : CIS Google Workspace 9.4
MITRE ATT&CK : T1041

Description : L’étiquetage automatique classifie les emails selon leur niveau de sensibilité, facilitant l’application de politiques de sécurité appropriées et la traçabilité.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Conformité > Classification des contenus
• Vérification des étiquettes appliquées automatiquement
• Statistiques de classification

Remédiation :

1. Configurer des règles de classification par contenu
2. Utiliser des étiquettes visuelles claires (Confidentiel, Public, etc.)
3. Intégrer avec les politiques DLP

Valeur par défaut : Aucun étiquetage automatique

3.4.1 — Restrictions de transfert externe

Niveau : 🟠
Référence CIS : CIS Google Workspace 10.1
MITRE ATT&CK : T1041

Description : Les restrictions de transfert limitent l’envoi d’emails vers des domaines externes spécifiques, réduisant les risques de fuite de données accidentelle ou malveillante.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Conformité > Règles de routage
• Test d’envoi vers domaines bloqués/autorisés
• Logs des emails bloqués

Remédiation :

1. Créer une liste blanche de domaines partenaires autorisés
2. Bloquer l’envoi vers des domaines de messagerie gratuite
3. Configurer des alertes pour tentatives de contournement

Valeur par défaut : Aucune restriction de transfert

3.4.2 — Validation des destinataires externes

Niveau : 🟡
Référence CIS : CIS Google Workspace 10.2
MITRE ATT&CK : T1041

Description : La validation des destinataires externes avertit les utilisateurs lors de l’envoi vers des adresses externes et peut exiger une confirmation pour les emails sensibles.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Conformité > Avertissements externes
• Test d’envoi d’emails vers destinataires externes
• Configuration des messages d’avertissement

Remédiation :

1. Activer les avertissements pour tous les destinataires externes
2. Exiger une double confirmation pour emails avec pièces jointes
3. Personnaliser les messages d’avertissement

Valeur par défaut : Aucun avertissement configuré

3.4.3 — Archivage et rétention des emails

Niveau : 🟡
Référence CIS : CIS Google Workspace 10.3
MITRE ATT&CK : T1005

Description : Les politiques d’archivage et de rétention garantissent la conservation appropriée des emails pour la conformité réglementaire et la récupération en cas de litige.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Paramètres utilisateur > Rétention des emails
• Google Vault > Règles de rétention
• Vérification de l’application des politiques

Remédiation :

1. Définir des périodes de rétention selon le type d’email
2. Configurer l’archivage automatique dans Vault
3. Documenter les politiques de conservation

Valeur par défaut : Conservation illimitée dans Gmail

3.5.1 — Journalisation des emails

Niveau : 🟡
Référence CIS : CIS Google Workspace 11.1
MITRE ATT&CK : T1005

Description : La journalisation capture automatiquement tous les emails entrants et sortants pour audit, investigation et conformité réglementaire.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Conformité > Journalisation des emails
• Vérification des emails journalisés
• Configuration du compte de réception des journaux

Remédiation :

1. Activer la journalisation pour tous les emails
2. Configurer un compte dédié sécurisé pour les journaux
3. Définir les règles de rétention des journaux

Valeur par défaut : Journalisation désactivée

3.5.2 — Monitoring des patterns d’emails suspects

Niveau : 🟡
Référence CIS : CIS Google Workspace 11.2
MITRE ATT&CK : T1566

Description : L’analyse des patterns d’emails (volume anormal, destinataires inhabituels, horaires suspects) permet de détecter les compromissions de comptes et les attaques internes.

Vérification :

• Console Admin > Rapports > Gmail > Activité Gmail
• Google Cloud Security Command Center (si configuré)
• Analyse des logs d’audit Gmail

Remédiation :

1. Configurer des seuils d’alerte pour volumes anormaux
2. Détecter les envois en masse inhabituels
3. Analyser les patterns temporels suspects

Valeur par défaut : Aucun monitoring automatique des patterns

3.5.3 — Alertes de sécurité Gmail

Niveau : 🟡
Référence CIS : CIS Google Workspace 11.3
MITRE ATT&CK : T1566

Description : Les alertes de sécurité Gmail notifient proactivement les administrateurs des événements de sécurité critiques liés à la messagerie électronique.

Vérification :

• Console Admin > Centre d’alertes > Gmail
• Configuration des notifications par email
• Test des alertes avec des événements simulés

Remédiation :

1. Configurer des alertes pour détection de phishing
2. Activer les notifications de malware détecté
3. Définir les destinataires appropriés pour chaque type d’alerte

Valeur par défaut : Alertes de base configurées

3.6.1 — Signature email obligatoire

Niveau : 🟡
Référence CIS : CIS Google Workspace 12.1
MITRE ATT&CK : T1566.001

Description : Les signatures email standardisées renforcent l’identité de l’expéditeur et peuvent inclure des éléments de sécurité comme des disclaimers légaux.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Paramètres utilisateur > Signatures email
• Vérification de l’application automatique des signatures
• Contrôle de la conformité des signatures

Remédiation :

1. Créer des modèles de signature standardisés
2. Forcer l’application automatique des signatures
3. Inclure des disclaimers de confidentialité

Valeur par défaut : Signatures optionnelles et manuelles

3.6.2 — Désactivation du transfert automatique externe

Niveau : 🟠
Référence CIS : CIS Google Workspace 12.2
MITRE ATT&CK : T1114.003

Description : Le transfert automatique vers des adresses externes peut entraîner des fuites de données massives. Cette fonctionnalité doit être strictement contrôlée ou désactivée.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Paramètres utilisateur > Transfert d’emails
• Audit des règles de transfert configurées par les utilisateurs
• gam print users delegate

Remédiation :

1. Désactiver le transfert automatique vers adresses externes
2. Auditer les règles de transfert existantes
3. Configurer des alertes pour nouvelles règles de transfert

Valeur par défaut : Transfert automatique autorisé

3.6.3 — Contrôle des délégations de boîtes mail

Niveau : 🟡
Référence CIS : CIS Google Workspace 12.3
MITRE ATT&CK : T1114.002

Description : Les délégations permettent à d’autres utilisateurs d’accéder à une boîte mail. Ces permissions doivent être contrôlées et auditées régulièrement.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Paramètres utilisateur > Délégation
• gam print users delegate
• Audit périodique des délégations actives

Remédiation :

1. Limiter les délégations au strict nécessaire
2. Exiger une approbation managériale pour les délégations
3. Réviser trimestriellement toutes les délégations

Valeur par défaut : Délégations autorisées sans restriction

3.7.1 — Configuration S/MIME pour chiffrement email

Niveau : 🟢
Référence CIS : CIS Google Workspace 13.1
MITRE ATT&CK : T1041

Description : S/MIME fournit un chiffrement de bout en bout et une signature numérique pour les emails les plus sensibles, offrant une protection cryptographique forte.

Vérification :

• Console Admin > Applications > Google Workspace > Gmail > Conformité > S/MIME
• Vérification de l’installation des certificats utilisateur
• Test d’envoi d’emails chiffrés S/MIME

Remédiation :

1. Déployer des certificats S/MIME pour utilisateurs sensibles
2. Configurer les politiques de chiffrement automatique
3. Former les utilisateurs à l’usage de S/MIME

Valeur par défaut : S/MIME non configuré

S4 — GOOGLE DRIVE & PARTAGE

Cette section traite de la sécurité Google Drive, incluant les politiques de partage, la protection des données et la gestion des accès aux fichiers.

4.1.1 — Restrictions de partage externe

Niveau : 🔴
Référence CIS : CIS Google Workspace 5.1
MITRE ATT&CK : T1567.002

Description : Le partage externe non contrôlé représente un risque majeur de fuite de données. Les restrictions doivent être configurées selon les besoins métier tout en maintenant la sécurité.

Vérification :

• Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres de partage
• Test de partage avec utilisateurs externes
• Audit des fichiers partagés externement

Remédiation :

1. Restreindre le partage aux domaines approuvés uniquement
2. Désactiver le partage public par liens
3. Exiger une approbation pour le partage sensible

Valeur par défaut : Partage externe autorisé par défaut

4.1.2 — Contrôle des liens de partage

Niveau : 🟠
Référence CIS : CIS Google Workspace 5.2
MITRE ATT&CK : T1567.002

Description : Les liens de partage permettent un accès facile mais peuvent être interceptés ou partagés involontairement. Leur contrôle est essentiel pour la sécurité des données.

Vérification :

• Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres de partage > Options de lien
• Analyse des liens publics existants
• Test de création de liens avec différents paramètres

Remédiation :

1. Désactiver les liens publics ‘Accessible à tous sur le web’
2. Exiger une authentification pour les liens partagés
3. Configurer l’expiration automatique des liens

Valeur par défaut : Tous types de liens autorisés

4.1.3 — Permissions par défaut restrictives

Niveau : 🟠
Référence CIS : CIS Google Workspace 5.3
MITRE ATT&CK : T1567.002

Description : Les permissions par défaut doivent suivre le principe du moindre privilège, en accordant uniquement les accès minimaux nécessaires et en évitant les permissions d’édition par défaut.

Vérification :

• Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres de partage > Permissions par défaut
• Test de création de nouveaux documents
• Analyse des permissions couramment accordées

Remédiation :

1. Configurer ‘Lecteur’ comme permission par défaut
2. Désactiver le partage automatique avec l’organisation
3. Exiger une action explicite pour accorder l’édition

Valeur par défaut : Permissions variables selon le contexte

4.1.4 — Avertissements de partage externe

Niveau : 🟡
Référence CIS : CIS Google Workspace 5.4
MITRE ATT&CK : T1567.002

Description : Les avertissements sensibilisent les utilisateurs aux risques du partage externe et peuvent prévenir les fuites accidentelles de données sensibles.

Vérification :

• Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres de partage > Avertissements
• Test de partage avec utilisateurs externes
• Configuration des messages d’avertissement

Remédiation :

1. Activer les avertissements pour tout partage externe
2. Personnaliser les messages selon le niveau de sensibilité
3. Exiger une confirmation explicite pour documents confidentiels

Valeur par défaut : Avertissements limités ou désactivés

4.2.1 — Classification et étiquetage des fichiers

Niveau : 🟠
Référence CIS : CIS Google Workspace 6.1
MITRE ATT&CK : T1005

Description : La classification automatique des fichiers selon leur contenu permet d’appliquer des politiques de sécurité appropriées et de faciliter la gouvernance des données.

Vérification :

• Console Admin > Applications > Google Workspace > Drive et Docs > Conformité > Classification des contenus
• Vérification des étiquettes appliquées automatiquement
• Test avec différents types de documents

Remédiation :

1. Configurer des règles de classification par contenu
2. Utiliser des étiquettes visuelles standardisées
3. Intégrer avec les politiques DLP

Valeur par défaut : Aucune classification automatique

4.2.2 — Règles DLP pour Google Drive

Niveau : 🟠
Référence CIS : CIS Google Workspace 6.2
MITRE ATT&CK : T1567.002

Description : Les règles DLP détectent et protègent les données sensibles stockées dans Drive, empêchant leur partage non autorisé ou leur fuite accidentelle.

Vérification :

• Console Admin > Applications > Google Workspace > Drive et Docs > Conformité > Prévention contre la perte de données
• Test avec documents contenant des données sensibles
• Analyse des violations DLP détectées

Remédiation :

1. Configurer des règles pour données personnelles (PII)
2. Détecter les documents financiers sensibles
3. Bloquer le partage externe de documents classifiés

Valeur par défaut : Aucune règle DLP configurée

4.2.3 — Chiffrement côté client (CSE)

Niveau : 🟢
Référence CIS : CIS Google Workspace 6.3
MITRE ATT&CK : T1005

Description : Le chiffrement côté client offre une protection maximale en chiffrant les données avec des clés contrôlées par l’organisation avant leur stockage dans Drive.

Vérification :

• Console Admin > Sécurité > Contrôle d’accès et des données > Chiffrement côté client
• Vérification de la configuration des fournisseurs de clés
• Test de création de fichiers chiffrés CSE

Remédiation :

1. Configurer un service de gestion des clés externe
2. Activer CSE pour les unités organisationnelles sensibles
3. Former les utilisateurs à l’usage des fichiers chiffrés

Valeur par défaut : CSE non configuré

4.2.4 — Contrôle des téléchargements

Niveau : 🟡
Référence CIS : CIS Google Workspace 6.4
MITRE ATT&CK : T1567.002

Description : La restriction des téléchargements limite les risques de fuite de données en empêchant l’extraction non contrôlée de documents sensibles.

Vérification :

• Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres de partage > Options de téléchargement
• Test de téléchargement avec différents types d’utilisateurs
• Vérification des restrictions par type de fichier

Remédiation :

1. Désactiver les téléchargements pour documents très sensibles
2. Limiter les téléchargements aux utilisateurs internes
3. Configurer des alertes pour téléchargements en masse

Valeur par défaut : Téléchargements autorisés par défaut

4.3.1 — Gestion des drives partagés

Niveau : 🟡
Référence CIS : CIS Google Workspace 7.1
MITRE ATT&CK : T1074.002

Description : Les drives partagés centralisent l’accès aux documents d’équipe mais nécessitent une gouvernance stricte pour maintenir la sécurité et éviter l’accumulation de données.

Vérification :

• Console Admin > Applications > Google Workspace > Drive et Docs > Drives partagés
• Audit des drives partagés existants
• Analyse des permissions et de l’utilisation

Remédiation :

1. Limiter la création de drives partagés aux managers
2. Définir des responsables pour chaque drive partagé
3. Auditer trimestriellement l’utilisation et les permissions

Valeur par défaut : Création libre de drives partagés

4.3.2 — Propriété et transfert des fichiers

Niveau : 🟡
Référence CIS : CIS Google Workspace 7.2
MITRE ATT&CK : T1074.002

Description : La gestion appropriée de la propriété des fichiers garantit la continuité d’accès lors des départs d’employés et évite la perte de documents critiques.

Vérification :

• Console Admin > Rapports > Applications > Drive > Propriété des fichiers
• Outils de transfert de données
• Identification des fichiers orphelins

Remédiation :

1. Configurer le transfert automatique lors des départs
2. Identifier et réattribuer les fichiers orphelins
3. Encourager l’utilisation des drives partagés pour documents d’équipe

Valeur par défaut : Propriété individuelle des fichiers

4.3.3 — Quota et gestion de l’espace de stockage

Niveau : 🟢
Référence CIS : CIS Google Workspace 7.3
MITRE ATT&CK : T1074.002

Description : La gestion des quotas évite l’accumulation excessive de données et peut limiter l’impact des attaques de déni de service par saturation de stockage.

Vérification :

• Console Admin > Rapports > Applications > Drive > Utilisation du stockage
• Surveillance des quotas par utilisateur/unité organisationnelle
• Alertes de dépassement de quota

Remédiation :

1. Définir des quotas appropriés par type d’utilisateur
2. Configurer des alertes avant dépassement
3. Nettoyer périodiquement les fichiers anciens

Valeur par défaut : Quotas selon le type de licence

4.4.1 — Restrictions d’installation d’add-ons

Niveau : 🟡
Référence CIS : CIS Google Workspace 8.1
MITRE ATT&CK : T1505.003

Description : Les add-ons tiers peuvent introduire des vulnérabilités ou des fonctionnalités malveillantes. Leur installation doit être contrôlée et auditée.

Vérification :

• Console Admin > Applications > Google Workspace > Drive et Docs > Applications et extensions
• Inventaire des add-ons installés
• Analyse des permissions accordées aux add-ons

Remédiation :

1. Limiter l’installation aux add-ons approuvés
2. Auditer régulièrement les add-ons installés
3. Révoquer les add-ons non utilisés ou suspects

Valeur par défaut : Installation libre d’add-ons

4.4.2 — Contrôle des applications tierces

Niveau : 🟠
Référence CIS : CIS Google Workspace 8.2
MITRE ATT&CK : T1005

Description : Les applications tierces connectées à Drive peuvent accéder aux données organisationnelles. Leurs permissions doivent être strictement contrôlées et régulièrement auditées.

Vérification :

• Console Admin > Sécurité > Contrôles API > Applications connectées
• Audit des permissions accordées aux applications
• Analyse de l’utilisation des API Drive

Remédiation :

1. Créer une liste blanche d’applications approuvées
2. Limiter les permissions accordées au strict nécessaire
3. Auditer mensuellement les accès des applications tierces

Valeur par défaut : Connexion libre des applications tierces

4.5.1 — Historique et versions des fichiers

Niveau : 🟡
Référence CIS : CIS Google Workspace 9.1
MITRE ATT&CK : T1005

Description : L’historique des versions permet la récupération en cas de modification malveillante ou accidentelle, mais peut aussi conserver des données sensibles supprimées.

Vérification :

• Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres utilisateur > Historique des révisions
• Test de récupération de versions antérieures
• Politique de rétention des versions

Remédiation :

1. Configurer une rétention limitée des versions (ex: 30 jours)
2. Former les utilisateurs à la gestion des versions
3. Purger régulièrement les versions anciennes de documents sensibles

Valeur par défaut : Rétention illimitée des versions

4.5.2 — Audit des activités de fichiers

Niveau : 🟡
Référence CIS : CIS Google Workspace 9.2
MITRE ATT&CK : T1005

Description : L’audit des activités Drive permet de détecter les accès suspects, les modifications non autorisées et les téléchargements en masse de données.

Vérification :

• Console Admin > Rapports > Rapports d’audit > Drive
• API: GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/drive
• gam report drive start -7d

Remédiation :

1. Activer l’audit détaillé de toutes les actions Drive
2. Configurer des alertes pour activités suspectes
3. Analyser régulièrement les patterns d’accès anormaux

Valeur par défaut : Audit de base activé

4.5.3 — Détection d’accès anormaux

Niveau : 🟡
Référence CIS : CIS Google Workspace 9.3
MITRE ATT&CK : T1005

Description : La détection d’accès anormaux (géolocalisation, horaires, volume) aide à identifier les compromissions de comptes et les fuites de données potentielles.

Vérification :

• Console Admin > Centre d’alertes > Drive
• Configuration des seuils d’alerte
• Analyse des patterns d’accès utilisateurs

Remédiation :

1. Configurer des alertes pour accès depuis nouvelles géolocalisations
2. Détecter les téléchargements de volume anormal
3. Alerter pour accès en dehors des heures habituelles

Valeur par défaut : Détection limitée d’anomalies

4.6.1 — Synchronisation Desktop sécurisée

Niveau : 🟡
Référence CIS : CIS Google Workspace 10.1
MITRE ATT&CK : T1005

Description : La synchronisation Drive Desktop peut exposer les données organisationnelles sur les postes de travail. Elle doit être sécurisée et contrôlée.

Vérification :

• Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres utilisateur > Drive pour ordinateur
• Inventaire des appareils synchronisant Drive
• Contrôle des données synchronisées

Remédiation :

1. Limiter la synchronisation aux appareils gérés
2. Chiffrer localement les données synchronisées
3. Configurer la suppression automatique lors du départ

Valeur par défaut : Drive Desktop autorisé sans restriction

4.6.2 — Contrôle des appareils mobiles

Niveau : 🟠
Référence CIS : CIS Google Workspace 10.2
MITRE ATT&CK : T1005

Description : L’accès Drive depuis les appareils mobiles non gérés peut exposer les données. Des politiques strictes doivent être appliquées pour sécuriser l’accès mobile.

Vérification :

• Console Admin > Appareils > Appareils mobiles > Paramètres Drive
• Politique d’accès par type d’appareil
• Audit des connexions mobiles

Remédiation :

1. Exiger l’enregistrement MDM pour accès Drive mobile
2. Limiter les fonctionnalités sur appareils non gérés
3. Configurer la suppression à distance en cas de perte

Valeur par défaut : Accès mobile libre depuis tous appareils

4.7.1 — Backup et récupération des données Drive

Niveau : 🟡
Référence CIS : CIS Google Workspace 11.1
MITRE ATT&CK : T1485

Description : Bien que Google assure la redondance des données, un backup indépendant peut être nécessaire pour la conformité et la protection contre les suppressions malveillantes.

Vérification :

• Évaluation de la stratégie de backup organisationnelle
• Test de récupération de données supprimées
• Documentation des procédures de récupération

Remédiation :

1. Évaluer le besoin de backup tiers selon les exigences
2. Configurer Google Vault pour la rétention légale
3. Tester régulièrement les procédures de récupération

Valeur par défaut : Redondance Google sans backup externe

S5 — GOOGLE MEET & COMMUNICATION

Cette section couvre la sécurité des visioconférences Google Meet, incluant l’accès aux réunions et l’enregistrement.

5.1.1 — Restrictions d’accès aux réunions

Niveau : 🟠
Référence CIS : CIS Google Workspace 12.1
MITRE ATT&CK : T1200

Description : Les réunions non protégées peuvent être infiltrées par des personnes malveillantes. Les contrôles d’accès appropriés préviennent le “zoombombing” et protègent les discussions sensibles.

Vérification :

• Console Admin > Applications > Google Workspace > Google Meet > Paramètres de sécurité
• Test de création de réunions avec différents niveaux d’accès
• Vérification des options de salle d’attente

Remédiation :

1. Activer la salle d’attente par défaut pour toutes les réunions
2. Limiter l’accès aux participants du domaine pour réunions sensibles
3. Désactiver l’entrée libre pour les invités externes

Valeur par défaut : Accès libre avec lien de réunion

5.1.2 — Authentification des participants externes

Niveau : 🟡
Référence CIS : CIS Google Workspace 12.2
MITRE ATT&CK : T1200

Description : L’authentification des participants externes garantit l’identité des invités et empêche les accès non autorisés via des liens interceptés.

Vérification :

• Console Admin > Applications > Google Workspace > Google Meet > Participants externes
• Test de participation avec comptes externes non authentifiés
• Configuration des exigences d’authentification

Remédiation :

1. Exiger l’authentification Google pour tous les participants externes
2. Configurer l’approbation manuelle pour invités sensibles
3. Désactiver l’accès anonyme pour réunions confidentielles

Valeur par défaut : Accès autorisé sans authentification pour externes

5.1.3 — Contrôle des enregistrements

Niveau : 🟠
Référence CIS : CIS Google Workspace 12.3
MITRE ATT&CK : T1005

Description : Les enregistrements de réunions peuvent contenir des informations sensibles. Leur création et stockage doivent être contrôlés pour éviter les fuites de données.

Vérification :

• Console Admin > Applications > Google Workspace > Google Meet > Enregistrement
• Vérification des permissions d’enregistrement par unité organisationnelle
• Audit des enregistrements stockés

Remédiation :

1. Limiter l’enregistrement aux organisateurs de réunions
2. Configurer l’expiration automatique des enregistrements
3. Restreindre l’accès aux enregistrements selon la classification

Valeur par défaut : Enregistrement autorisé pour tous les participants

5.2.1 — Gestion des participants en cours de réunion

Niveau : 🟡
Référence CIS : CIS Google Workspace 12.4
MITRE ATT&CK : T1200

Description : Les contrôles en cours de réunion permettent à l’organisateur de gérer les participants et d’éviter les perturbations ou l’écoute non autorisée.

Vérification :

• Test des fonctionnalités de modération Meet
• Vérification des options de contrôle des participants
• Configuration des permissions par défaut

Remédiation :

1. Activer les contrôles de modération par défaut
2. Permettre uniquement à l’organisateur de partager l’écran initialement
3. Configurer la mise en sourdine automatique à l’entrée

Valeur par défaut : Contrôles de base activés

5.3.1 — Intégrations et applications Meet

Niveau : 🟡
Référence CIS : CIS Google Workspace 12.5
MITRE ATT&CK : T1505.003

Description : Les applications et intégrations tierces dans Meet peuvent introduire des vulnérabilités ou accéder à des données de réunion sensibles.

Vérification :

• Console Admin > Applications > Google Workspace > Google Meet > Applications et extensions
• Inventaire des intégrations Meet autorisées
• Analyse des permissions accordées

Remédiation :

1. Limiter les intégrations aux applications approuvées
2. Auditer régulièrement les permissions des applications
3. Désactiver les intégrations non utilisées

Valeur par défaut : Intégrations tierces autorisées

S6 — GOOGLE CHAT & SPACES

Cette section traite de la sécurité de Google Chat, des espaces collaboratifs et de la messagerie instantanée.

6.1.1 — Restrictions de chat externe

Niveau : 🟠
Référence CIS : CIS Google Workspace 13.1
MITRE ATT&CK : T1566.003

Description : Les conversations avec des utilisateurs externes peuvent exposer des informations sensibles ou être utilisées pour des attaques de social engineering.

Vérification :

• Console Admin > Applications > Google Workspace > Google Chat > Paramètres de chat externe
• Test de communication avec utilisateurs externes
• Analyse des conversations externes existantes

Remédiation :

1. Limiter le chat externe aux domaines approuvés
2. Configurer des avertissements pour conversations externes
3. Désactiver complètement si non nécessaire métier

Valeur par défaut : Chat externe autorisé avec avertissements

6.1.2 — Historique et rétention des conversations

Niveau : 🟡
Référence CIS : CIS Google Workspace 13.2
MITRE ATT&CK : T1005

Description : L’historique des conversations doit être géré selon les politiques de conformité, tout en permettant l’investigation en cas d’incident de sécurité.

Vérification :

• Console Admin > Applications > Google Workspace > Google Chat > Historique des conversations
• Paramètres de rétention par unité organisationnelle
• Configuration Google Vault pour Chat

Remédiation :

1. Configurer des politiques de rétention appropriées
2. Activer la sauvegarde dans Vault si requis pour conformité
3. Former les utilisateurs sur la confidentialité des chats

Valeur par défaut : Historique conservé indéfiniment

6.2.1 — Gestion des espaces collaboratifs

Niveau : 🟡
Référence CIS : CIS Google Workspace 13.3
MITRE ATT&CK : T1074.002

Description : Les espaces Google Chat centralisent la collaboration d’équipe mais nécessitent une gouvernance pour éviter la prolifération et maintenir la sécurité.

Vérification :

• Audit des espaces existants dans l’organisation
• Analyse de l’appartenance aux espaces
• Vérification des permissions de création d’espaces

Remédiation :

1. Limiter la création d’espaces aux managers/chefs d’équipe
2. Définir des propriétaires responsables pour chaque espace
3. Auditer trimestriellement l’utilisation des espaces

Valeur par défaut : Création libre d’espaces par tous utilisateurs

6.3.1 — Partage de fichiers dans Chat

Niveau : 🟡
Référence CIS : CIS Google Workspace 13.4
MITRE ATT&CK : T1567.002

Description : Le partage de fichiers via Chat peut contourner les contrôles DLP habituels et doit être aligné avec les politiques de partage Drive.

Vérification :

• Test de partage de fichiers sensibles via Chat
• Vérification de l’application des règles DLP
• Configuration des restrictions de partage

Remédiation :

1. Aligner les politiques de partage Chat avec Drive
2. Appliquer les règles DLP aux fichiers partagés en chat
3. Sensibiliser les utilisateurs aux risques du partage informel

Valeur par défaut : Partage libre de fichiers via Chat

S7 — GOOGLE CALENDAR

Cette section couvre la sécurité du calendrier Google, incluant le partage d’agendas et la confidentialité des événements.

7.1.1 — Restrictions de partage d’agenda

Niveau : 🟡
Référence CIS : CIS Google Workspace 14.1
MITRE ATT&CK : T1005

Description : Le partage d’agenda peut révéler des informations sensibles sur les activités organisationnelles et les participants aux réunions.

Vérification :

• Console Admin > Applications > Google Workspace > Google Calendar > Paramètres de partage
• Audit des agendas partagés publiquement
• Test de partage avec utilisateurs externes

Remédiation :

1. Désactiver le partage public d’agendas par défaut
2. Limiter le partage externe aux partenaires approuvés
3. Configurer des niveaux de visibilité granulaires

Valeur par défaut : Partage d’agenda autorisé avec restrictions de base

7.1.2 — Visibilité des événements par défaut

Niveau : 🟡
Référence CIS : CIS Google Workspace 14.2
MITRE ATT&CK : T1005

Description : La visibilité par défaut des événements doit protéger les informations sensibles tout en permettant la coordination d’équipe nécessaire.

Vérification :

• Configuration des niveaux de visibilité par défaut
• Test de création d’événements avec différents niveaux
• Vérification des permissions de visualisation

Remédiation :

1. Configurer la visibilité ‘Privé’ par défaut pour événements sensibles
2. Former les utilisateurs sur les niveaux de confidentialité
3. Utiliser des libellés génériques pour événements confidentiels

Valeur par défaut : Visibilité selon les paramètres utilisateur

7.2.1 — Gestion des ressources et salles de réunion

Niveau : 🟡
Référence CIS : CIS Google Workspace 14.3
MITRE ATT&CK : T1005

Description : Les réservations de ressources peuvent révéler des patterns d’activité organisationnels et nécessitent un contrôle d’accès approprié.

Vérification :

• Console Admin > Annuaire > Ressources de bâtiment et calendrier
• Audit des permissions de réservation
• Configuration des politiques de réservation

Remédiation :

1. Limiter la visibilité des ressources selon les besoins
2. Configurer des approbateurs pour ressources sensibles
3. Masquer les détails des réservations confidentielles

Valeur par défaut : Ressources visibles à tous les utilisateurs du domaine

7.3.1 — Invitations et participants externes

Niveau : 🟡
Référence CIS : CIS Google Workspace 14.4
MITRE ATT&CK : T1566.003

Description : Les invitations à des participants externes peuvent exposer des informations organisationnelles et être utilisées pour des attaques de reconnaissance.

Vérification :

• Console Admin > Applications > Google Workspace > Google Calendar > Partage avec des utilisateurs externes
• Test d’invitation de participants externes
• Configuration des avertissements

Remédiation :

1. Configurer des avertissements pour invitations externes
2. Limiter les détails visibles aux participants externes
3. Exiger une approbation pour événements très sensibles

Valeur par défaut : Invitations externes autorisées avec avertissements de base

7.4.1 — Intégrations Calendar tierces

Niveau : 🟡
Référence CIS : CIS Google Workspace 14.5
MITRE ATT&CK : T1505.003

Description : Les applications tierces intégrées à Calendar peuvent accéder aux données d’agenda et nécessitent un contrôle strict des permissions.

Vérification :

• Console Admin > Sécurité > Contrôles API > Applications connectées filtrant Calendar
• Audit des intégrations Calendar autorisées
• Analyse des permissions accordées

Remédiation :

1. Limiter les intégrations aux applications approuvées
2. Auditer régulièrement les accès aux données Calendar
3. Révoquer les intégrations non utilisées

Valeur par défaut : Intégrations tierces autorisées selon paramètres API

S8 — APPAREILS & ENDPOINTS

Cette section couvre la gestion des appareils mobiles (MDM), les politiques BYOD et le contrôle des endpoints accédant à Google Workspace.

8.1.1 — Configuration MDM (Mobile Device Management)

Niveau : 🔴
Référence CIS : CIS Google Workspace 15.1
MITRE ATT&CK : T1430

Description : La gestion des appareils mobiles est essentielle pour contrôler l’accès aux données organisationnelles depuis les smartphones et tablettes. Un MDM bien configuré protège contre les appareils compromis.

Vérification :

• Console Admin > Appareils > Appareils mobiles > Gestion
• Inventaire des appareils enregistrés
• Test d’enregistrement d’un nouvel appareil

Remédiation :

1. Exiger l’enregistrement MDM pour accès à Workspace
2. Configurer des politiques de sécurité strictes (PIN, chiffrement)
3. Activer la suppression à distance en cas de perte/vol

Valeur par défaut : MDM optionnel

8.1.2 — Politiques de sécurité des appareils

Niveau : 🔴
Référence CIS : CIS Google Workspace 15.2
MITRE ATT&CK : T1430

Description : Les politiques de sécurité appliquées aux appareils mobiles doivent inclure le chiffrement, les mots de passe forts et la protection contre le jailbreak/rooting.

Vérification :

• Console Admin > Appareils > Appareils mobiles > Paramètres d’appareil
• Vérification de l’application des politiques
• Test de conformité sur différents types d’appareils

Remédiation :

1. Exiger un code PIN/mot de passe complexe (6+ caractères)
2. Activer le chiffrement complet de l’appareil
3. Bloquer les appareils jailbreakés/rootés

Valeur par défaut : Politiques de base selon le système d’exploitation

8.1.3 — Gestion des applications mobiles

Niveau : 🟠
Référence CIS : CIS Google Workspace 15.3
MITRE ATT&CK : T1426

Description : Le contrôle des applications installées sur les appareils gérés prévient l’installation de malwares et d’applications non autorisées pouvant compromettre la sécurité.

Vérification :

• Console Admin > Appareils > Appareils mobiles > Applications approuvées
• Liste blanche/noire d’applications
• Monitoring des applications installées

Remédiation :

1. Créer une liste blanche d’applications autorisées
2. Bloquer l’installation depuis des sources inconnues
3. Surveiller et alerter pour applications suspectes

Valeur par défaut : Installation libre d’applications

8.1.4 — Séparation des données professionnelles/personnelles

Niveau : 🟠
Référence CIS : CIS Google Workspace 15.4
MITRE ATT&CK : T1430

Description : La conteneurisation sépare les données professionnelles des données personnelles, permettant la suppression sélective sans affecter les données personnelles de l’utilisateur.

Vérification :

• Configuration des profils de travail Android/iOS
• Test de séparation des données
• Vérification de la suppression sélective

Remédiation :

1. Activer les profils de travail pour BYOD
2. Configurer la séparation stricte des applications/données
3. Tester la suppression sélective des données professionnelles

Valeur par défaut : Pas de séparation configurée par défaut

8.2.1 — Politique BYOD (Bring Your Own Device)

Niveau : 🟠
Référence CIS : CIS Google Workspace 15.5
MITRE ATT&CK : T1430

Description : Les politiques BYOD équilibrent flexibilité utilisateur et sécurité organisationnelle. Elles doivent être clairement définies et techniquement appliquées.

Vérification :

• Documentation des politiques BYOD
• Configuration technique des restrictions BYOD
• Formation des utilisateurs sur les politiques

Remédiation :

1. Documenter clairement les exigences BYOD
2. Implémenter techniquement les restrictions nécessaires
3. Former régulièrement les utilisateurs sur les bonnes pratiques

Valeur par défaut : BYOD autorisé sans restrictions particulières

8.2.2 — Contrôle d’accès par type d’appareil

Niveau : 🟡
Référence CIS : CIS Google Workspace 15.6
MITRE ATT&CK : T1430

Description : Différents types d’appareils (gérés vs non-gérés) doivent avoir des niveaux d’accès différenciés selon leur niveau de sécurité et de conformité.

Vérification :

• Console Admin > Sécurité > Context-aware access > Niveaux d’accès
• Configuration des politiques par type d’appareil
• Test d’accès avec appareils de différents types

Remédiation :

1. Créer des niveaux d’accès selon le type d’appareil
2. Limiter l’accès aux données sensibles pour appareils non-gérés
3. Exiger des contrôles additionnels pour appareils personnels

Valeur par défaut : Accès uniforme tous types d’appareils

8.3.1 — Gestion des certificats d’appareils

Niveau : 🟡
Référence CIS : CIS Google Workspace 15.7
MITRE ATT&CK : T1553.004

Description : Les certificats d’appareil permettent une identification forte des endpoints et doivent être gérés de manière sécurisée avec rotation régulière.

Vérification :

• Console Admin > Appareils > Certificats
• Inventaire des certificats déployés
• Vérification des dates d’expiration

Remédiation :

1. Déployer des certificats d’appareil pour identification
2. Configurer la rotation automatique avant expiration
3. Révoquer immédiatement les certificats des appareils perdus

Valeur par défaut : Pas de gestion centralisée des certificats

8.4.1 — Endpoint Detection and Response (EDR)

Niveau : 🟢
Référence CIS : CIS Google Workspace 15.8
MITRE ATT&CK : T1057

Description : L’intégration avec des solutions EDR permet la détection avancée de menaces sur les endpoints accédant à Google Workspace.

Vérification :

• Intégration avec solutions EDR tierces
• Monitoring des activités suspectes sur endpoints
• Corrélation avec les événements Workspace

Remédiation :

1. Déployer une solution EDR sur tous les endpoints
2. Intégrer les alertes EDR avec le SIEM organisationnel
3. Configurer des réponses automatiques aux menaces détectées

Valeur par défaut : Aucune intégration EDR native

S9 — APPLICATIONS TIERCES & OAUTH

Cette section traite du contrôle des applications tierces, de la gestion OAuth et de l’accès API sécurisé.

9.1.1 — Liste blanche d’applications OAuth

Niveau : 🔴
Référence CIS : CIS Google Workspace 16.1
MITRE ATT&CK : T1528

Description : Les applications OAuth non contrôlées peuvent accéder massivement aux données organisationnelles. Une liste blanche stricte est essentielle pour maintenir la sécurité.

Vérification :

• Console Admin > Sécurité > Contrôles API > Applications OAuth tierces
• Inventaire des applications autorisées
• Audit des permissions accordées

Remédiation :

1. Créer une liste blanche d’applications approuvées uniquement
2. Bloquer toutes les autres applications OAuth par défaut
3. Processus d’approbation formel pour nouvelles applications

Valeur par défaut : Applications OAuth autorisées par défaut

9.1.2 — Révision des scopes OAuth accordés

Niveau : 🟠
Référence CIS : CIS Google Workspace 16.2
MITRE ATT&CK : T1528

Description : Les scopes OAuth définissent les permissions accordées aux applications. Ils doivent être limités au strict nécessaire selon le principe du moindre privilège.

Vérification :

• Analyse détaillée des scopes accordés par application
• Vérification de l’utilisation effective des permissions
• Audit des scopes sensibles (lecture/écriture Drive, Gmail, etc.)

Remédiation :

1. Auditer trimestriellement tous les scopes accordés
2. Révoquer les permissions non utilisées ou excessives
3. Exiger une justification métier pour scopes sensibles

Valeur par défaut : Scopes accordés selon demande application

9.1.3 — Monitoring de l’activité des applications OAuth

Niveau : 🟡
Référence CIS : CIS Google Workspace 16.3
MITRE ATT&CK : T1528

Description : Le monitoring continu des applications OAuth permet de détecter les utilisations anormales ou malveillantes des permissions accordées.

Vérification :

• Console Admin > Rapports > Applications OAuth
• Analyse de l’activité API par application
• Détection d’utilisations suspectes

Remédiation :

1. Configurer des alertes pour usage API anormal
2. Surveiller les applications accédant à de gros volumes de données
3. Corréler l’activité avec les événements de sécurité

Valeur par défaut : Monitoring limité de l’activité OAuth

9.2.1 — Restrictions d’accès au Marketplace

Niveau : 🟡
Référence CIS : CIS Google Workspace 16.4
MITRE ATT&CK : T1505.003

Description : Le Google Workspace Marketplace propose de nombreuses applications dont certaines peuvent introduire des vulnérabilités ou accéder à des données sensibles.

Vérification :

• Console Admin > Applications > Marketplace apps
• Configuration des restrictions d’installation
• Inventaire des apps installées depuis le Marketplace

Remédiation :

1. Limiter l’installation aux administrateurs uniquement
2. Évaluer la sécurité avant installation d’applications Marketplace
3. Auditer régulièrement les applications installées

Valeur par défaut : Installation libre depuis le Marketplace

9.2.2 — Gestion des add-ons et extensions

Niveau : 🟡
Référence CIS : CIS Google Workspace 16.5
MITRE ATT&CK : T1505.003

Description : Les add-ons pour Gmail, Drive, Docs peuvent étendre les fonctionnalités mais aussi introduire des risques de sécurité s’ils ne sont pas contrôlés.

Vérification :

• Console Admin > Applications > Google Workspace > Drive et Docs > Applications et extensions
• Inventaire des add-ons installés par les utilisateurs
• Analyse des permissions des add-ons

Remédiation :

1. Créer une liste d’add-ons approuvés
2. Bloquer l’installation d’add-ons non autorisés
3. Auditer mensuellement les add-ons installés

Valeur par défaut : Installation libre d’add-ons

9.3.1 — Contrôle de l’accès API par IP

Niveau : 🟡
Référence CIS : CIS Google Workspace 16.6
MITRE ATT&CK : T1071.001

Description : La restriction de l’accès API par plages IP limite l’exposition et peut prévenir l’utilisation malveillante d’API keys compromises.

Vérification :

• Console Admin > Sécurité > Contrôles API > Restrictions d’accès
• Configuration des plages IP autorisées
• Test d’accès API depuis différentes localisations

Remédiation :

1. Définir les plages IP légitimes pour accès API
2. Bloquer l’accès depuis IP non autorisées
3. Configurer des alertes pour tentatives d’accès suspects

Valeur par défaut : Accès API autorisé depuis toutes IP

9.3.2 — Rotation des clés API et secrets

Niveau : 🟠
Référence CIS : CIS Google Workspace 16.7
MITRE ATT&CK : T1552.001

Description : La rotation régulière des clés API et secrets limite l’impact d’une éventuelle compromission et constitue une bonne pratique sécuritaire.

Vérification :

• Inventaire de toutes les clés API actives
• Vérification des dates de dernière rotation
• Processus documenté de rotation

Remédiation :

1. Rotation automatique tous les 90 jours maximum
2. Processus de révocation immédiate en cas de compromission
3. Audit trimestriel de l’utilisation des clés

Valeur par défaut : Pas de rotation automatique configurée

S10 — RÈGLES DLP & PROTECTION DONNÉES

Cette section couvre la configuration avancée de la prévention des fuites de données (DLP) et la protection des informations sensibles.

10.1.1 — Classification automatique des données

Niveau : 🟠
Référence CIS : CIS Google Workspace 17.1
MITRE ATT&CK : T1005

Description : La classification automatique identifie les données sensibles (PII, données financières, IP) pour appliquer les protections appropriées selon leur niveau de sensibilité.

Vérification :

• Console Admin > Applications > Google Workspace > Drive et Docs > Conformité > Classification des contenus
• Test avec différents types de documents sensibles
• Vérification de l’application des étiquettes

Remédiation :

1. Configurer des règles pour PII (numéros SS, cartes bancaires)
2. Détecter la propriété intellectuelle et documents financiers
3. Appliquer automatiquement les étiquettes de classification

Valeur par défaut : Aucune classification automatique configurée

10.1.2 — Règles DLP multi-services

Niveau : 🟠
Référence CIS : CIS Google Workspace 17.2
MITRE ATT&CK : T1041

Description : Les règles DLP doivent être cohérentes à travers tous les services Workspace (Gmail, Drive, Chat) pour une protection uniforme des données sensibles.

Vérification :

• Configuration DLP dans Gmail, Drive, Chat
• Test de cohérence des règles entre services
• Analyse des violations DLP par service

Remédiation :

1. Harmoniser les règles DLP entre tous les services
2. Configurer des actions cohérentes (blocage, alerte, chiffrement)
3. Centraliser la gestion des politiques DLP

Valeur par défaut : Configuration DLP séparée par service

10.1.3 — Détection par reconnaissance optique (OCR)

Niveau : 🟡
Référence CIS : CIS Google Workspace 17.3
MITRE ATT&CK : T1005

Description : L’OCR détecte les données sensibles dans les images et documents scannés, étendant la protection DLP au-delà du texte simple.

Vérification :

• Console Admin > Règles DLP > Détection de contenu > OCR
• Test avec images contenant du texte sensible
• Vérification de la détection dans différents formats

Remédiation :

1. Activer l’OCR pour toutes les règles DLP critiques
2. Tester avec différents formats d’images et PDF
3. Configurer des seuils de confiance appropriés

Valeur par défaut : OCR désactivé par défaut

10.2.1 — Actions automatisées sur violation DLP

Niveau : 🟠
Référence CIS : CIS Google Workspace 17.4
MITRE ATT&CK : T1041

Description : Les actions automatisées (blocage, chiffrement, alerte) en réponse aux violations DLP permettent une protection en temps réel sans intervention manuelle.

Vérification :

• Configuration des actions par type de violation
• Test du déclenchement automatique des actions
• Monitoring de l’efficacité des actions automatisées

Remédiation :

1. Bloquer automatiquement les violations critiques
2. Chiffrer automatiquement les contenus sensibles
3. Alerter immédiatement les administrateurs sécurité

Valeur par défaut : Actions manuelles ou alertes uniquement

10.2.2 — Exceptions et surcharges DLP

Niveau : 🟡
Référence CIS : CIS Google Workspace 17.5
MITRE ATT&CK : T1041

Description : Les exceptions DLP doivent être strictement contrôlées et auditées pour éviter les contournements non autorisés des protections.

Vérification :

• Inventaire de toutes les exceptions DLP configurées
• Processus d’approbation des exceptions
• Audit régulier de l’utilisation des exceptions

Remédiation :

1. Limiter les exceptions au strict minimum nécessaire
2. Exiger une approbation managériale pour toute exception
3. Réviser trimestriellement toutes les exceptions actives

Valeur par défaut : Pas de processus formel pour exceptions

10.3.1 — Intégration avec systèmes de classification externes

Niveau : 🟢
Référence CIS : CIS Google Workspace 17.6
MITRE ATT&CK : T1005

Description : L’intégration avec des systèmes de classification d’entreprise (Microsoft Purview, etc.) permet une gouvernance uniforme des données.

Vérification :

• Configuration des connecteurs de classification externes
• Test de synchronisation des étiquettes
• Vérification de la cohérence inter-systèmes

Remédiation :

1. Configurer l’intégration avec le système de classification principal
2. Synchroniser les étiquettes et politiques
3. Maintenir la cohérence des classifications

Valeur par défaut : Aucune intégration externe configurée

10.4.1 — Monitoring et reporting DLP

Niveau : 🟡
Référence CIS : CIS Google Workspace 17.7
MITRE ATT&CK : T1041

Description : Le monitoring continu et le reporting des violations DLP permettent l’amélioration continue des politiques et la détection de tentatives de contournement.

Vérification :

• Console Admin > Rapports > Rapports de sécurité > DLP
• Configuration des alertes automatiques
• Tableaux de bord de violations DLP

Remédiation :

1. Configurer des tableaux de bord temps réel
2. Alertes automatiques pour violations répétées
3. Rapports hebdomadaires de synthèse DLP

Valeur par défaut : Rapports de base disponibles

S11 — VAULT & RÉTENTION

Cette section couvre Google Vault pour l’eDiscovery, l’archivage légal et les politiques de rétention des données.

11.1.1 — Politiques de rétention par type de données

Niveau : 🟡
Référence CIS : CIS Google Workspace 18.1
MITRE ATT&CK : T1005

Description : Les politiques de rétention doivent être différenciées selon le type de données et les exigences réglementaires, équilibrant conformité et performance.

Vérification :

• Google Vault > Rétention > Règles de rétention
• Configuration par unité organisationnelle
• Test d’application des politiques

Remédiation :

1. Définir des périodes selon les exigences légales
2. Séparer les politiques par type de contenu (email, drive, chat)
3. Documenter la justification de chaque période

Valeur par défaut : Rétention illimitée pour la plupart des services

11.1.2 — Configuration des holds légales

Niveau : 🟠
Référence CIS : CIS Google Workspace 18.2
MITRE ATT&CK : T1005

Description : Les holds légales préservent les données pertinentes lors de litiges ou investigations, suspendant temporairement les politiques de rétention normales.

Vérification :

• Google Vault > Holds > Gestion des conservations
• Test de création et application d’un hold
• Vérification de l’immunité aux suppressions

Remédiation :

1. Documenter les procédures de création de holds
2. Former les équipes juridiques à l’utilisation de Vault
3. Auditer régulièrement les holds actifs

Valeur par défaut : Aucun hold configuré par défaut

11.1.3 — Recherche et export eDiscovery

Niveau : 🟡
Référence CIS : CIS Google Workspace 18.3
MITRE ATT&CK : T1005

Description : Les fonctionnalités de recherche et d’export permettent de répondre aux demandes légales et investigations internes de manière efficace et sécurisée.

Vérification :

• Google Vault > Recherche > Création de requêtes
• Test d’export de résultats
• Vérification des permissions d’accès

Remédiation :

1. Former les équipes autorisées aux techniques de recherche
2. Configurer des templates de recherche pour cas récurrents
3. Auditer tous les exports effectués

Valeur par défaut : Fonctionnalités disponibles pour administrateurs Vault

11.2.1 — Accès et permissions Vault

Niveau : 🟠
Référence CIS : CIS Google Workspace 18.4
MITRE ATT&CK : T1005

Description : L’accès à Vault doit être strictement contrôlé car il permet l’accès à toutes les données organisationnelles, incluant celles des dirigeants.

Vérification :

• Google Vault > Paramètres > Privilèges Vault
• Audit des utilisateurs ayant accès à Vault
• Vérification des permissions granulaires

Remédiation :

1. Limiter l’accès Vault aux équipes juridiques et conformité
2. Utiliser des permissions granulaires (lecture seule vs export)
3. Auditer mensuellement tous les accès Vault

Valeur par défaut : Accès Vault pour super-administrateurs uniquement

11.2.2 — Audit des activités Vault

Niveau : 🟡
Référence CIS : CIS Google Workspace 18.5
MITRE ATT&CK : T1005

Description : Toutes les activités dans Vault doivent être loggées et auditées pour maintenir la traçabilité et détecter les abus potentiels.

Vérification :

• Google Vault > Audit > Journal des activités
• Configuration des alertes pour actions sensibles
• Révision régulière des logs d’activité

Remédiation :

1. Activer l’audit complet de toutes les actions Vault
2. Configurer des alertes pour exports volumineux
3. Réviser mensuellement les activités de recherche/export

Valeur par défaut : Audit de base des activités Vault

11.3.1 — Intégration avec systèmes d’archivage tiers

Niveau : 🟢
Référence CIS : CIS Google Workspace 18.6
MITRE ATT&CK : T1005

Description : L’intégration avec des systèmes d’archivage d’entreprise peut être nécessaire pour la conformité et la gouvernance uniforme des données.

Vérification :

• Configuration des exports automatiques vers systèmes tiers
• Vérification de l’intégrité des données archivées
• Test de récupération depuis archives externes

Remédiation :

1. Évaluer les besoins d’archivage externe
2. Configurer les exports automatiques si requis
3. Tester régulièrement la récupération des archives

Valeur par défaut : Aucune intégration tierce configurée

S12 — SÉCURITÉ DU DOMAINE

Cette section traite de la sécurité au niveau domaine, incluant la vérification de domaine et les configurations DNS sécuritaires.

12.1.1 — Vérification de tous les domaines

Niveau : 🔴
Référence CIS : CIS Google Workspace 19.1
MITRE ATT&CK : T1590.001

Description : Tous les domaines associés au tenant Google Workspace doivent être vérifiés pour éviter l’usurpation et garantir le contrôle administratif légitime.

Vérification :

• Console Admin > Domaines > Gestion des domaines
• Statut de vérification pour chaque domaine
• Vérification des enregistrements TXT de validation

Remédiation :

1. Vérifier immédiatement tous les domaines non vérifiés
2. Maintenir les enregistrements de vérification DNS
3. Surveiller l’ajout de nouveaux domaines non autorisés

Valeur par défaut : Domaine principal vérifié, secondaires peuvent ne pas l’être

12.1.2 — Configuration DMARC stricte pour tous domaines

Niveau : 🔴
Référence CIS : CIS Google Workspace 19.2
MITRE ATT&CK : T1566.001

Description : DMARC doit être configuré en mode strict (p=reject) pour tous les domaines organisationnels afin d’empêcher l’usurpation d’emails.

Vérification :

• nslookup -type=TXT _dmarc.domain.com pour chaque domaine
• Analyse des rapports DMARC
• Vérification de l’alignement SPF/DKIM

Remédiation :

1. Configurer DMARC p=reject pour tous les domaines
2. Analyser régulièrement les rapports DMARC
3. Ajuster SPF/DKIM si nécessaire pour maintenir l’alignement

Valeur par défaut : DMARC non configuré pour domaines secondaires

12.1.3 — Protection des enregistrements DNS critiques

Niveau : 🟠
Référence CIS : CIS Google Workspace 19.3
MITRE ATT&CK : T1584.002

Description : Les enregistrements DNS critiques (SPF, DKIM, DMARC, vérification domaine) doivent être protégés contre les modifications non autorisées.

Vérification :

• Configuration DNSSEC pour les domaines
• Contrôles d’accès sur la gestion DNS
• Monitoring des changements DNS

Remédiation :

1. Activer DNSSEC pour tous les domaines critiques
2. Limiter l’accès à la gestion DNS aux administrateurs autorisés
3. Configurer des alertes pour modifications DNS

Valeur par défaut : Protection DNS selon le registrar/hébergeur

12.2.1 — Alias de domaines sécurisés

Niveau : 🟡
Référence CIS : CIS Google Workspace 19.4
MITRE ATT&CK : T1566.001

Description : Les alias de domaines doivent être gérés de manière cohérente avec les mêmes protections que le domaine principal.

Vérification :

• Console Admin > Domaines > Alias de domaine
• Vérification de la configuration email pour alias
• Cohérence des politiques entre domaine principal et alias

Remédiation :

1. Appliquer les mêmes politiques sécuritaires aux alias
2. Configurer SPF/DKIM/DMARC pour tous les alias
3. Limiter le nombre d’alias au strict nécessaire

Valeur par défaut : Alias créés sans configuration sécuritaire automatique

12.2.2 — Sous-domaines et délégations

Niveau : 🟡
Référence CIS : CIS Google Workspace 19.5
MITRE ATT&CK : T1584.001

Description : Les sous-domaines et délégations DNS doivent être inventoriés et sécurisés pour éviter qu’ils deviennent des vecteurs d’attaque.

Vérification :

• Inventaire complet des sous-domaines
• Vérification des délégations DNS autorisées
• Scan de sécurité des sous-domaines

Remédiation :

1. Maintenir un inventaire à jour de tous les sous-domaines
2. Sécuriser ou supprimer les sous-domaines non utilisés
3. Appliquer les mêmes standards de sécurité aux sous-domaines

Valeur par défaut : Sous-domaines créés sans gouvernance centralisée

12.3.1 — Certificats SSL/TLS pour domaines

Niveau : 🟡
Référence CIS : CIS Google Workspace 19.6
MITRE ATT&CK : T1553.002

Description : Les certificats SSL/TLS doivent être correctement configurés et maintenus pour tous les domaines et services exposés.

Vérification :

• Vérification des certificats SSL pour tous les domaines
• Contrôle des dates d’expiration
• Validation de la chaîne de certification

Remédiation :

1. Utiliser des certificats SSL valides pour tous les domaines
2. Configurer le renouvellement automatique
3. Surveiller les expirations et vulnérabilités SSL

Valeur par défaut : Certificats Google pour services Workspace, configuration manuelle pour autres services

S13 — JOURNALISATION & AUDIT

Cette section couvre la configuration complète des logs d’audit, du monitoring et de la surveillance de sécurité.

13.1.1 — Audit des connexions administrateurs

Niveau : 🟠
Référence CIS : CIS Google Workspace 20.1
MITRE ATT&CK : T1078.004

Description : Toutes les connexions et activités des comptes administrateurs doivent être loggées et monitorées pour détecter les compromissions et abus de privilèges.

Vérification :

• Console Admin > Rapports > Rapports d’audit > Connexion administrateur
• Configuration des alertes pour connexions suspectes
• Rétention des logs administrateur

Remédiation :

1. Activer l’audit complet des connexions admin
2. Configurer des alertes pour connexions géographiquement anormales
3. Réviser hebdomadairement les connexions administrateurs

Valeur par défaut : Audit de base des connexions activé

13.1.2 — Journalisation des modifications de configuration

Niveau : 🟠
Référence CIS : CIS Google Workspace 20.2
MITRE ATT&CK : T1098

Description : Tous les changements de configuration administrative doivent être tracés pour maintenir la traçabilité et faciliter les investigations.

Vérification :

• Console Admin > Rapports > Rapports d’audit > Admin
• API: GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/admin
• gam report admin start -30d filter=’*_CHANGE’

Remédiation :

1. Activer l’audit de toutes les modifications de configuration
2. Configurer des alertes pour changements critiques
3. Corréler les changements avec les tickets de changement

Valeur par défaut : Audit des modifications admin activé

13.1.3 — Monitoring des créations/suppressions de comptes

Niveau : 🟠
Référence CIS : CIS Google Workspace 20.3
MITRE ATT&CK : T1136

Description : La création et suppression de comptes utilisateurs doit être étroitement surveillée car ces actions peuvent indiquer des compromissions ou des erreurs critiques.

Vérification :

• Console Admin > Rapports > Rapports d’audit > Admin > Gestion des comptes
• Alertes configurées pour créations/suppressions
• Corrélation avec les processus HR

Remédiation :

1. Alerter immédiatement pour toute création/suppression de compte
2. Corréler avec les processus RH et de provisionnement
3. Investiguer toute action non planifiée

Valeur par défaut : Logs disponibles sans alertes automatiques

13.2.1 — Audit des activités utilisateurs sensibles

Niveau : 🟡
Référence CIS : CIS Google Workspace 20.4
MITRE ATT&CK : T1005

Description : Les activités utilisateurs sur les données sensibles (accès, téléchargement, partage) doivent être auditées pour détecter les comportements anormaux.

Vérification :

• Console Admin > Rapports > Rapports d’audit > Drive > Téléchargements
• Configuration d’alertes pour volumes anormaux
• Analyse des patterns d’accès

Remédiation :

1. Auditer les téléchargements de gros volumes
2. Surveiller les accès aux documents très sensibles
3. Alerter pour activités en dehors des heures normales

Valeur par défaut : Audit de base des activités utilisateurs

13.2.2 — Logs de sécurité centralisés

Niveau : 🟡
Référence CIS : CIS Google Workspace 20.5
MITRE ATT&CK : T1562.002

Description : Les logs de sécurité doivent être centralisés dans un SIEM ou une solution de monitoring pour analyse et corrélation avec d’autres sources.

Vérification :

• Configuration d’export vers SIEM/log management
• API: Utilisation de l’Admin SDK pour export automatique
• Vérification de l’intégrité des logs exportés

Remédiation :

1. Configurer l’export automatique vers le SIEM organisationnel
2. Maintenir l’intégrité et la complétude des logs
3. Configurer des alertes corrélées multi-sources

Valeur par défaut : Logs disponibles uniquement dans la console Workspace

13.2.3 — Rétention et archivage des logs

Niveau : 🟡
Référence CIS : CIS Google Workspace 20.6
MITRE ATT&CK : T1562.002

Description : Les logs d’audit doivent être conservés selon les exigences réglementaires et de sécurité, avec une protection contre la modification.

Vérification :

• Durée de rétention des logs par type
• Protection contre la modification des logs
• Procédures d’archivage long terme

Remédiation :

1. Définir des périodes de rétention selon les exigences légales
2. Exporter et archiver les logs pour conservation long terme
3. Protéger l’intégrité des logs archivés

Valeur par défaut : Rétention 6 mois pour la plupart des logs

13.3.1 — Configuration du Centre d’alertes

Niveau : 🟠
Référence CIS : CIS Google Workspace 20.7
MITRE ATT&CK : T1562.001

Description : Le Centre d’alertes Google doit être configuré pour notifier proactivement les administrateurs des événements de sécurité critiques.

Vérification :

• Console Admin > Centre d’alertes > Configuration
• Test des notifications par email/SMS
• Personnalisation des seuils d’alerte

Remédiation :

1. Configurer toutes les alertes de sécurité disponibles
2. Définir les destinataires appropriés par type d’alerte
3. Tester régulièrement les mécanismes de notification

Valeur par défaut : Alertes de base configurées pour super-admins

13.3.2 — Alertes personnalisées via API

Niveau : 🟢
Référence CIS : CIS Google Workspace 20.8
MITRE ATT&CK : T1562.001

Description : L’API d’alertes permet de créer des règles personnalisées et d’intégrer les alertes Google Workspace dans les systèmes de monitoring existants.

Vérification :

• Configuration d’alertes via Admin SDK
• Intégration avec systèmes de ticketing
• API: GET https://admin.googleapis.com/admin/alertcenter/v1beta1/alerts

Remédiation :

1. Créer des alertes personnalisées selon les besoins organisationnels
2. Intégrer avec le système de ticketing/ITSM
3. Automatiser les réponses aux alertes de routine

Valeur par défaut : Alertes standard uniquement, pas d’intégration API

13.4.1 — Monitoring de la performance et disponibilité

Niveau : 🟡
Référence CIS : CIS Google Workspace 20.9
MITRE ATT&CK : T1498

Description : Le monitoring de la performance aide à détecter les attaques de déni de service et les anomalies d’utilisation pouvant indiquer des compromissions.

Vérification :

• Console Admin > Rapports > Rapports d’utilisation
• Surveillance des pics d’utilisation anormaux
• Alertes pour dégradations de performance

Remédiation :

1. Établir des baselines de performance normale
2. Configurer des alertes pour déviations significatives
3. Corréler les anomalies avec les événements de sécurité

Valeur par défaut : Rapports d’utilisation disponibles sans monitoring automatique

S14 — GROUPES GOOGLE

Cette section couvre la gestion sécurisée des groupes Google, leurs permissions et leur gouvernance.

14.1.1 — Contrôle de création des groupes

Niveau : 🟡
Référence CIS : CIS Google Workspace 21.1
MITRE ATT&CK : T1069.003

Description : La création libre de groupes peut entraîner une prolifération incontrôlée et des risques de sécurité. Les permissions de création doivent être limitées.

Vérification :

• Console Admin > Annuaire > Groupes > Paramètres de groupe
• Permissions de création par unité organisationnelle
• Audit des groupes créés récemment

Remédiation :

1. Limiter la création aux managers et administrateurs
2. Exiger une justification métier pour nouveaux groupes
3. Réviser trimestriellement les groupes créés

Valeur par défaut : Création libre de groupes par tous utilisateurs

14.1.2 — Gestion des membres externes dans groupes

Niveau : 🟠
Référence CIS : CIS Google Workspace 21.2
MITRE ATT&CK : T1069.003

Description : Les membres externes dans les groupes peuvent accéder à des informations sensibles partagées avec le groupe. Leur inclusion doit être strictement contrôlée.

Vérification :

• Console Admin > Annuaire > Groupes > Paramètres membres externes
• Audit des groupes avec membres externes
• gam print groups members | grep -v ‘@domain.com’

Remédiation :

1. Désactiver l’ajout de membres externes par défaut
2. Exiger une approbation administrative pour membres externes
3. Auditer mensuellement tous les groupes avec membres externes

Valeur par défaut : Membres externes autorisés avec approbation

14.1.3 — Permissions de publication dans groupes

Niveau : 🟡
Référence CIS : CIS Google Workspace 21.3
MITRE ATT&CK : T1566.003

Description : Les permissions de publication déterminent qui peut envoyer des emails au groupe. Des permissions trop ouvertes peuvent permettre le spam ou le phishing.

Vérification :

• Console Admin > Annuaire > Groupes > [Groupe] > Paramètres de publication
• Audit des groupes avec publication ouverte
• Test d’envoi depuis comptes non autorisés

Remédiation :

1. Limiter la publication aux membres du groupe uniquement
2. Configurer la modération pour groupes sensibles
3. Désactiver la publication externe non modérée

Valeur par défaut : Publication limitée aux membres par défaut

14.2.1 — Archivage et historique des groupes

Niveau : 🟡
Référence CIS : CIS Google Workspace 21.4
MITRE ATT&CK : T1005

Description : L’historique des discussions de groupe doit être géré selon les politiques de rétention et les exigences de conformité.

Vérification :

• Paramètres d’archivage par groupe
• Configuration Vault pour groupes Google
• Politiques de rétention des messages de groupe

Remédiation :

1. Configurer l’archivage selon les exigences légales
2. Appliquer les politiques de rétention appropriées
3. Former les utilisateurs sur la confidentialité des groupes

Valeur par défaut : Archivage selon paramètres individuels de groupe

14.3.1 — Groupes de sécurité vs groupes de distribution

Niveau : 🟡
Référence CIS : CIS Google Workspace 21.5
MITRE ATT&CK : T1069.003

Description : La distinction entre groupes de sécurité et de distribution doit être claire, avec des usages et gouvernances différenciés.

Vérification :

• Classification des groupes par usage
• Permissions différenciées selon le type
• Documentation des rôles de chaque groupe

Remédiation :

1. Classifier tous les groupes selon leur usage
2. Appliquer des politiques distinctes par type
3. Documenter clairement le rôle de chaque groupe

Valeur par défaut : Pas de distinction formelle entre types de groupes

S15 — CHROME ENTERPRISE & NAVIGATEUR

Cette section traite de la gestion sécurisée de Chrome Enterprise et des politiques de navigateur.

15.1.1 — Politiques de sécurité Chrome

Niveau : 🟡
Référence CIS : CIS Google Workspace 22.1
MITRE ATT&CK : T1185

Description : Les politiques Chrome Enterprise permettent de sécuriser les navigateurs gérés et de contrôler l’accès aux ressources web depuis les appareils d’entreprise.

Vérification :

• Console Admin > Appareils > Chrome > Paramètres utilisateur
• Configuration des politiques de sécurité navigateur
• Test d’application des politiques sur navigateurs gérés

Remédiation :

1. Configurer Safe Browsing en mode renforcé
2. Bloquer les téléchargements de types de fichiers dangereux
3. Activer la protection contre les sites malveillants

Valeur par défaut : Politiques de sécurité de base selon Chrome standard

15.1.2 — Gestion des extensions Chrome

Niveau : 🟠
Référence CIS : CIS Google Workspace 22.2
MITRE ATT&CK : T1505.003

Description : Les extensions Chrome peuvent introduire des vulnérabilités ou accéder à des données sensibles. Leur installation doit être contrôlée via des listes blanches.

Vérification :

• Console Admin > Appareils > Chrome > Applications et extensions
• Liste des extensions autorisées/bloquées
• Audit des extensions installées par les utilisateurs

Remédiation :

1. Créer une liste blanche d’extensions approuvées
2. Bloquer l’installation d’extensions non autorisées
3. Auditer régulièrement les extensions installées

Valeur par défaut : Installation libre d’extensions depuis Chrome Web Store

15.1.3 — Contrôle de l’accès aux sites web

Niveau : 🟡
Référence CIS : CIS Google Workspace 22.3
MITRE ATT&CK : T1071.001

Description : Le filtrage web via Chrome Enterprise peut bloquer l’accès aux sites malveillants, de productivité douteuse ou non conformes aux politiques organisationnelles.

Vérification :

• Console Admin > Appareils > Chrome > Paramètres utilisateur > Filtrage d’URL
• Configuration des listes blanches/noires de sites
• Test d’accès à différentes catégories de sites

Remédiation :

1. Configurer le filtrage par catégories (malware, phishing, adult)
2. Créer des listes de sites bloqués/autorisés spécifiques
3. Permettre des demandes de déblocage justifiées

Valeur par défaut : Pas de filtrage web configuré par défaut

15.2.1 — Synchronisation Chrome sécurisée

Niveau : 🟡
Référence CIS : CIS Google Workspace 22.4
MITRE ATT&CK : T1005

Description : La synchronisation Chrome doit être contrôlée pour éviter la fuite de données via l’historique, mots de passe ou favoris synchronisés sur appareils non gérés.

Vérification :

• Console Admin > Appareils > Chrome > Paramètres utilisateur > Synchronisation
• Configuration des éléments synchronisés
• Restriction de synchronisation sur appareils non gérés

Remédiation :

1. Limiter la synchronisation aux appareils gérés uniquement
2. Désactiver la synchronisation des mots de passe si non nécessaire
3. Contrôler la synchronisation de l’historique de navigation

Valeur par défaut : Synchronisation autorisée pour comptes Workspace

15.3.1 — Rapports d’utilisation Chrome

Niveau : ��
Référence CIS : CIS Google Workspace 22.5
MITRE ATT&CK : T1071.001

Description : Les rapports Chrome Enterprise fournissent une visibilité sur l’utilisation des navigateurs et peuvent aider à détecter les comportements anormaux.

Vérification :

• Console Admin > Rapports > Chrome > Navigateur
• Analyse des sites les plus visités
• Détection d’activités de navigation suspectes

Remédiation :

1. Configurer des rapports réguliers d’utilisation Chrome
2. Analyser les patterns de navigation pour détecter les anomalies
3. Corréler avec les événements de sécurité

Valeur par défaut : Rapports de base disponibles selon configuration

S16 — GOOGLE CLOUD IDENTITY

Cette section couvre l’intégration avec Google Cloud Identity et les fonctionnalités de sécurité avancées.

16.1.1 — Context-Aware Access avancé

Niveau : 🟠
Référence CIS : CIS Google Workspace 23.1
MITRE ATT&CK : T1078

Description : Context-Aware Access utilise des signaux contextuels (appareil, localisation, réseau) pour prendre des décisions d’accès granulaires sans friction utilisateur.

Vérification :

• Google Cloud Console > Identity & Access Management > Context-Aware Access
• Configuration des niveaux d’accès
• Test avec différents contextes d’accès

Remédiation :

1. Définir des niveaux d’accès selon le contexte de risque
2. Configurer des politiques pour appareils non gérés
3. Implémenter progressivement par populations d’utilisateurs

Valeur par défaut : Context-Aware Access non configuré

16.1.2 — BeyondCorp Enterprise

Niveau : 🟢
Référence CIS : CIS Google Workspace 23.2
MITRE ATT&CK : T1078

Description : BeyondCorp implémente un modèle de sécurité zero-trust, évaluant chaque requête d’accès indépendamment du réseau d’origine.

Vérification :

• Google Cloud Console > BeyondCorp Enterprise
• Configuration des politiques d’accès zero-trust
• Intégration avec les ressources internes

Remédiation :

1. Évaluer les besoins de déploiement BeyondCorp
2. Configurer l’accès conditionnel aux ressources sensibles
3. Migrer progressivement du modèle périmétrique vers zero-trust

Valeur par défaut : BeyondCorp non configuré par défaut

16.2.1 — Intégration LDAP/Active Directory

Niveau : ��
Référence CIS : CIS Google Workspace 23.3
MITRE ATT&CK : T1078.002

Description : La synchronisation avec Active Directory ou LDAP doit être sécurisée pour maintenir la cohérence des identités sans exposer les infrastructures internes.

Vérification :

• Google Cloud Directory Sync (GCDS) configuration
• Sécurité des communications LDAP/AD
• Audit des comptes synchronisés

Remédiation :

1. Utiliser LDAPS (LDAP over SSL) pour la synchronisation
2. Limiter les permissions du compte de service GCDS
3. Auditer régulièrement la synchronisation et les erreurs

Valeur par défaut : Synchronisation manuelle ou non configurée

16.3.1 — Gestion des identités privilégiées

Niveau : 🟠
Référence CIS : CIS Google Workspace 23.4
MITRE ATT&CK : T1078.004

Description : Les identités privilégiées nécessitent des protections renforcées incluant MFA obligatoire, accès temporaire et audit strict.

Vérification :

• Inventaire de tous les comptes privilégiés
• Configuration MFA obligatoire pour comptes privilégiés
• Audit des activités des comptes privilégiés

Remédiation :

1. Identifier et inventorier tous les comptes privilégiés
2. Appliquer MFA renforcé (clés FIDO obligatoires)
3. Implémenter l’accès privilégié temporaire (JIT)

Valeur par défaut : Gestion manuelle des privilèges

S17 — RÉPONSE AUX INCIDENTS

Cette section traite de la préparation et de la réponse aux incidents de sécurité dans Google Workspace.

17.1.1 — Procédures d’investigation

Niveau : 🟠
Référence CIS : CIS Google Workspace 24.1
MITRE ATT&CK : T1005

Description : Des procédures d’investigation documentées permettent une réponse rapide et efficace aux incidents de sécurité, préservant les preuves et limitant l’impact.

Vérification :

• Documentation des procédures d’investigation
• Formation des équipes de réponse aux incidents
• Outils d’investigation configurés (Vault, logs, etc.)

Remédiation :

1. Documenter les procédures step-by-step d’investigation
2. Former les équipes IT/sécurité aux outils Google
3. Tester régulièrement les procédures avec des simulations

Valeur par défaut : Pas de procédures formalisées d’investigation

17.1.2 — Outils de réponse automatisée

Niveau : 🟡
Référence CIS : CIS Google Workspace 24.2
MITRE ATT&CK : T1562.001

Description : L’automatisation de certaines réponses (suspension de comptes, révocation de sessions) permet une réaction rapide aux incidents critiques.

Vérification :

• Configuration d’alertes automatiques
• Scripts de réponse automatisée via Admin SDK
• Intégration avec systèmes SOAR/SIEM

Remédiation :

1. Configurer la suspension automatique pour comportements à risque
2. Développer des scripts de réponse via API Admin SDK
3. Intégrer avec les outils SOAR organisationnels

Valeur par défaut : Réponse manuelle uniquement aux incidents

17.2.1 — Récupération de comptes compromis

Niveau : 🟠
Référence CIS : CIS Google Workspace 24.3
MITRE ATT&CK : T1078

Description : Les procédures de récupération de comptes compromis doivent permettre une restauration sécurisée sans laisser de backdoors aux attaquants.

Vérification :

• Procédures documentées de récupération de comptes
• Test de la récupération avec comptes de test
• Formation des équipes support

Remédiation :

1. Documenter les étapes de récupération sécurisée
2. Inclure la révocation de toutes les sessions et tokens
3. Former le support IT aux procédures de récupération

Valeur par défaut : Procédures de récupération basiques

17.3.1 — Communication de crise

Niveau : 🟡
Référence CIS : CIS Google Workspace 24.4
MITRE ATT&CK : T1566

Description : Les plans de communication de crise définissent comment informer les utilisateurs et parties prenantes lors d’incidents de sécurité majeurs.

Vérification :

• Plans de communication documentés
• Canaux de communication d’urgence configurés
• Templates de messages prêts à utiliser

Remédiation :

1. Documenter les plans de communication par type d’incident
2. Préparer des templates de messages pour différents scenarii
3. Tester les canaux de communication d’urgence

Valeur par défaut : Communication ad-hoc lors d’incidents

S18 — CONFORMITÉ & GOUVERNANCE

Cette section couvre la conformité réglementaire, la gouvernance des données et les certifications.

18.1.1 — Localisation des données

Niveau : 🟡
Référence CIS : CIS Google Workspace 25.1
MITRE ATT&CK : T1005

Description : Le contrôle de la localisation des données peut être requis pour certaines réglementations (RGPD, souveraineté numérique).

Vérification :

• Console Admin > Données > Localisation des données
• Vérification des régions de stockage configurées
• Compliance avec exigences réglementaires locales

Remédiation :

1. Configurer les régions de stockage selon les exigences
2. Valider la conformité avec les réglementations applicables
3. Documenter la stratégie de localisation des données

Valeur par défaut : Stockage dans les datacenters Google globaux

18.1.2 — Transparence de l’accès

Niveau : 🟢
Référence CIS : CIS Google Workspace 25.2
MITRE ATT&CK : T1078.003

Description : Access Transparency fournit des logs détaillés des accès Google aux données clients pour maintenance et support.

Vérification :

• Console Admin > Sécurité > Access Transparency
• Configuration des notifications d’accès Google
• Analyse des logs de transparence

Remédiation :

1. Activer Access Transparency si disponible dans l’édition
2. Configurer les alertes pour accès Google aux données
3. Réviser régulièrement les logs de transparence

Valeur par défaut : Access Transparency selon édition Workspace

18.2.1 — Certifications de conformité

Niveau : 🟢
Référence CIS : CIS Google Workspace 25.3
MITRE ATT&CK : N/A

Description : La validation des certifications Google Workspace pertinentes (SOC2, ISO27001, etc.) assure l’alignement avec les standards de sécurité organisationnels.

Vérification :

• Documentation des certifications Google applicables
• Mapping avec les exigences organisationnelles
• Validation périodique du maintien des certifications

Remédiation :

1. Identifier les certifications requises par l’organisation
2. Valider la couverture par les certifications Google
3. Maintenir une veille sur les certifications Google

Valeur par défaut : Certifications Google disponibles selon l’édition

18.3.1 — Gouvernance des données

Niveau : 🟡
Référence CIS : CIS Google Workspace 25.4
MITRE ATT&CK : T1005

Description : Une gouvernance des données structurée définit les responsabilités, processus et contrôles pour la gestion du cycle de vie des données.

Vérification :

• Documentation de la gouvernance des données
• Rôles et responsabilités définis
• Processus de classification et gestion des données

Remédiation :

1. Documenter la stratégie de gouvernance des données
2. Définir les rôles de Data Owner/Data Steward
3. Implémenter les processus de gestion du cycle de vie

Valeur par défaut : Pas de gouvernance formalisée des données

---

RÉCAPITULATIF DES CONTRÔLES

Synthèse par Section

Section	Contrôles	🔴 Critiques	🟠 Élevés	🟡 Moyens	🟢 Faibles
S1 - Comptes & Identités	25	3	5	15	2
S2 - Authentification	25	2	8	14	1
S3 - Gmail Sécurité	30	4	12	13	1
S4 - Drive & Partage	25	1	8	15	1
S5 - Google Meet	10	0	3	7	0
S6 - Google Chat	10	0	1	9	0
S7 - Google Calendar	10	0	0	10	0
S8 - Appareils	20	2	8	9	1
S9 - Apps Tierces	20	1	4	14	1
S10 - Règles DLP	20	0	6	13	1
S11 - Vault & Rétention	15	0	3	11	1
S12 - Sécurité Domaine	15	2	3	9	1
S13 - Journalisation	20	0	6	13	1
S14 - Groupes Google	15	0	1	14	0
S15 - Chrome Enterprise	15	0	1	13	1
S16 - Cloud Identity	15	0	3	11	1
S17 - Réponse Incidents	10	0	3	7	0
S18 - Conformité	10	0	0	7	3

TOTAL : 280 contrôles

• 🔴 Critiques : 15 contrôles (5%)
• 🟠 Élevés : 75 contrôles (27%)
• 🟡 Moyens : 177 contrôles (63%)
• 🟢 Faibles : 13 contrôles (5%)

---

RÉSUMÉ EXÉCUTIF

Score de Maturité Sécuritaire

Méthode d’évaluation : Chaque contrôle est évalué et pondéré selon sa criticité :

• 🔴 Critiques : 4 points
• 🟠 Élevés : 3 points
• 🟡 Moyens : 2 points
• 🟢 Faibles : 1 point

Score Maximum Possible : 645 points

Échelle de Maturité

• 0-25% : Niveau Initial - Sécurité ad-hoc, risques élevés
• 26-50% : Niveau Géré - Processus de base, contrôles partiels
• 51-75% : Niveau Défini - Approche structurée, bonnes pratiques
• 76-90% : Niveau Quantifié - Métriques et optimisation continue
• 91-100% : Niveau Optimisé - Excellence sécuritaire, innovation

Top 3 des Risques Identifiés

1. 🔴 Gestion des Identités et Accès Privilégiés

Impact : Très élevé - Probabilité : Élevée

• Comptes super-administrateurs insuffisamment protégés
• MFA non obligatoire pour tous les utilisateurs
• Absence de gestion des comptes de service

Actions Prioritaires :

1. Imposer MFA avec clés FIDO pour tous les administrateurs
2. Limiter le nombre de super-administrateurs à 2-4 maximum
3. Auditer et sécuriser tous les comptes de service

2. 🔴 Protection Anti-Phishing et Email

Impact : Très élevé - Probabilité : Très élevée

• DMARC non configuré ou en mode permissif
• Protection anti-phishing insuffisante
• Absence de règles DLP pour emails sensibles

Actions Prioritaires :

1. Configurer DMARC en mode ‘reject’ pour tous les domaines
2. Activer la protection anti-phishing avancée
3. Implémenter des règles DLP pour données sensibles

3. 🟠 Contrôle du Partage Externe et Fuites de Données

Impact : Élevé - Probabilité : Élevée

• Partage externe Drive non restreint
• Applications OAuth tierces non contrôlées
• Absence de classification automatique des données

Actions Prioritaires :

1. Restreindre le partage externe aux domaines approuvés
2. Implémenter une liste blanche d’applications OAuth
3. Configurer la classification automatique des contenus

Feuille de Route Recommandée

Phase 1 - Sécurisation Immédiate (0-30 jours)

• ✅ Activation MFA obligatoire tous utilisateurs
• ✅ Configuration DMARC strict tous domaines
• ✅ Restriction partage externe Drive
• ✅ Audit et sécurisation comptes administrateurs
• ✅ Activation protection anti-phishing avancée

Phase 2 - Renforcement (30-90 jours)

• ✅ Déploiement règles DLP multi-services
• ✅ Configuration Context-Aware Access
• ✅ Mise en place MDM obligatoire
• ✅ Audit et contrôle applications OAuth
• ✅ Centralisation logs sécurité (SIEM)

Phase 3 - Optimisation (90-180 jours)

• ✅ Déploiement chiffrement côté client (CSE)
• ✅ Implémentation BeyondCorp Enterprise
• ✅ Automatisation réponse incidents
• ✅ Optimisation gouvernance données
• ✅ Formation utilisateurs sécurité avancée

Phase 4 - Excellence (180+ jours)

• ✅ Intégration écosystème sécurité complet
• ✅ Analyse comportementale avancée
• ✅ Zero Trust complet
• ✅ Amélioration continue basée métriques
• ✅ Certification sécurité organisationnelle

---

MAPPINGS RÉGLEMENTAIRES ET NORMATIFS

Correspondance NIST Cybersecurity Framework

Fonction NIST	Contrôles Applicables	Sections Principales
Identify (ID)	45 contrôles	S1-Identités, S8-Appareils, S14-Groupes
Protect (PR)	167 contrôles	S2-Auth, S3-Gmail, S4-Drive, S9-Apps, S10-DLP
Detect (DE)	38 contrôles	S13-Audit, S17-Incidents, Centre d’alertes
Respond (RS)	20 contrôles	S17-Incidents, Vault investigations
Recover (RC)	10 contrôles	S11-Vault, Procédures récupération

Alignement ISO 27001:2022

Annexe A	Domaine	Contrôles Couverts
A.5	Politiques sécurité information	15 contrôles
A.6	Organisation sécurité information	25 contrôles
A.7	Sécurité ressources humaines	18 contrôles
A.8	Gestion des actifs	32 contrôles
A.9	Contrôle d’accès	45 contrôles
A.10	Cryptographie	12 contrôles
A.11	Sécurité physique environnementale	8 contrôles
A.12	Sécurité exploitation	38 contrôles
A.13	Sécurité communications réseau	28 contrôles
A.14	Acquisition, développement, maintenance	15 contrôles
A.15	Relations avec fournisseurs	12 contrôles
A.16	Gestion incidents sécurité information	18 contrôles
A.17	Aspects sécurité continuité activité	8 contrôles
A.18	Conformité	6 contrôles

Couverture MITRE ATT&CK for Cloud

Tactique	Techniques Couvertes	Contrôles Préventifs
Initial Access	T1078, T1566	45 contrôles auth/phishing
Execution	T1059, T1204	25 contrôles applications
Persistence	T1098, T1136	35 contrôles gestion comptes
Privilege Escalation	T1078.004	20 contrôles admin/privilèges
Defense Evasion	T1562	30 contrôles monitoring/logs
Credential Access	T1110, T1552	28 contrôles MFA/secrets
Discovery	T1069, T1087	22 contrôles enumeration
Collection	T1005, T1114	38 contrôles DLP/protection
Exfiltration	T1041, T1567	42 contrôles partage/transfert
Impact	T1485, T1498	15 contrôles backup/DoS

Conformité RGPD/NIS2

Articles RGPD Couverts

• Art. 25 - Protection données dès conception : S10-DLP, S4-Classification
• Art. 28 - Sous-traitants : S18-Conformité, Certifications Google
• Art. 30 - Registre traitements : S11-Vault, S13-Journalisation
• Art. 32 - Sécurité traitement : Ensemble des 18 sections
• Art. 33-34 - Notifications violations : S17-Réponse incidents
• Art. 35 - Analyse impact : S18-Gouvernance données

Exigences NIS2 Couvertes

• Cybersécurité entreprise : S1-S18 complètes
• Gestion risques : S17-Incidents, S13-Monitoring
• Continuité activité : S11-Vault, Procédures récupération
• Gestion crise : S17-Communication crise
• Sécurité chaîne approvisionnement : S9-Apps tierces
• Formation sensibilisation : Incluse dans procédures

---

PLAN DE REMÉDIATION TYPE

Template de Projet Sécurisation

Phase de Planification (Semaines 1-2)

Objectifs :

• Évaluation état actuel avec cette checklist
• Priorisation des actions selon les risques
• Allocation ressources et définition timeline

Livrables :

1. Rapport d’audit initial (utiliser cette checklist)
2. Matrice de risques avec scores de criticité
3. Plan de projet détaillé avec jalons
4. Budget et ressources nécessaires
5. Communication plan vers direction/utilisateurs

Phase 1 - Sécurisation Critique (Semaines 3-6)

Actions P1 (🔴 Critiques) :

Action	Responsable	Durée	Prérequis
MFA obligatoire tous utilisateurs	Admin IT	1 semaine	Formation utilisateurs
DMARC strict tous domaines	Admin DNS/Email	2 semaines	Validation SPF/DKIM
Audit comptes super-admin	RSSI	1 semaine	Inventaire accès
Restriction partage externe	Admin Workspace	1 semaine	Validation besoins métier
Configuration anti-phishing	Admin Email	1 semaine	Test environnement

Métriques de succès :

• 100% utilisateurs avec MFA actif
• DMARC p=reject sur tous domaines
• ≤4 comptes super-administrateurs
• 0 partage public Drive non justifié
• Protection anti-phishing activée toutes OU

Phase 2 - Renforcement (Semaines 7-14)

Actions P2 (🟠 Élevées) :

Domaine	Actions Clés	Timeline	KPI
DLP	Règles multi-services PII/Financier	3 semaines	>95% documents classifiés
Appareils	MDM obligatoire, politiques sécurité	4 semaines	100% appareils gérés
Applications	Liste blanche OAuth, audit permissions	2 semaines	0 apps non autorisées
Monitoring	SIEM intégration, alertes automatiques	3 semaines	<15min temps réponse
Accès	Context-Aware Access, niveaux de confiance	4 semaines	Politiques par contexte

Phase 3 - Optimisation (Semaines 15-26)

Actions P3 (🟡 Moyennes) :

• Gouvernance données complète
• Chiffrement côté client documents sensibles
• Automatisation réponse incidents
• Formation utilisateurs avancée
• Procédures investigation documentées

Actions P4 (🟢 Faibles) :

• BeyondCorp Enterprise évaluation
• Intégrations sécurité avancées
• Certifications organisationnelles
• Analyse comportementale

Phase 4 - Maintien et Amélioration Continue

Processus récurrents :

• Hebdomadaire : Revue alertes sécurité, incidents
• Mensuel : Audit accès privilégiés, apps OAuth
• Trimestriel : Revue complète avec cette checklist
• Annuel : Évaluation maturité, mise à jour stratégie

Métriques de performance :

• Temps de détection incidents : <30 minutes
• Temps de réponse incidents : <2 heures
• Score conformité checklist : >90%
• Formation utilisateurs : 100% annuel
• Tests de sécurité : Trimestriels

Gestion du Changement

Communication :

1. Direction : Réunions hebdomadaires, dashboards exécutifs
2. Utilisateurs : Formations, newsletters sécurité, support
3. IT : Documentation technique, procédures, formations

Formation :

• Administrateurs : 16h formation Google Workspace sécurité
• Utilisateurs finaux : 2h sensibilisation + tests trimestriels
• Support : 8h procédures incidents et récupération

Résistance au changement :

• Identifier champions sécurité par département
• Démontrer valeur métier des contrôles
• Implémenter progressivement avec support renforcé
• Mesurer et communiquer les améliorations

---

CONCLUSION

Ce checklist de sécurité Google Workspace constitue un référentiel complet pour évaluer et améliorer la posture sécuritaire de votre organisation. Avec 280 contrôles détaillés couvrant 18 domaines critiques, il offre une approche structurée et progressive de la sécurisation.

Points clés à retenir :

1. Priorisation : Commencer par les contrôles 🔴 critiques (5%) puis 🟠 élevés (27%)
2. Approche progressive : Implémenter par phases selon la feuille de route recommandée
3. Surveillance continue : Utiliser ce checklist trimestriellement pour maintenir la conformité
4. Adaptation : Ajuster selon vos exigences réglementaires et besoins métier spécifiques

Support AYI NEDJIMI CONSULTANTS :

• Audit sécurité Google Workspace complet
• Accompagnement implémentation contrôles
• Formation équipes techniques et utilisateurs
• Support continu et monitoring sécuritaire

Pour toute question ou accompagnement personnalisé : info@ayi-nedjimi.com

---

© 2026 AYI NEDJIMI CONSULTANTS - Tous droits réservés
Classification : CONFIDENTIEL - Usage interne client uniquement
Version : 1.0 - Dernière mise à jour : 04/04/2026