Expert Cybersécurité & IAv9.0
Logo Ayi NEDJIMI Consultants
Besoin d'un accompagnement expert ?
Devis personnalisé sous 24h — audit, conformité, incident
À la une
Air Gap OT/ICS : Mythes et Réalités 2026
Isolation réseau industriel, contournements réels, stratégies défensives
Benchmark LLM Mars 2026 — État des lieux
GPT-4o, Claude 3.7, Gemini 2.0 : comparatif sécurité & performance
 Voir tous les articles →
Tous les articles

Techniques de Hacking

31 articles
ETW Tampering : Évasion et Détection sur Windows en 2026 TPM et BitLocker : Cold Boot et Bypass Chiffrement Covert Channels Réseau : Stéganographie et Exfiltration Avancée Type Confusion V8 : Exploitation Avancée Navigateurs eBPF Offensif : Rootkits, Évasion et Détection Kernel-Level DMA Attacks : Exploitation Thunderbolt, PCIe et FireWire 2026 Type Confusion V8 : Exploitation Avancée Navigateurs Vol de Mots de Passe Chrome : DPAPI, Exploits et Outils Extraction Credentials Firefox : NSS, Key4.db et Exploits Hacking Password Managers Navigateurs : Attaques Expert EvilGinx : Phishing AiTM, Bypass MFA et Défense 2026 Persistance Windows Server 2025 : Techniques Complètes Escalade de Privilèges Windows 2025 : Scénarios Réels Buffer Overflow et Corruption Mémoire : Stack, Heap et Escalade de Privilèges Linux : Techniques Offensives et Escalade de Privilèges Windows : Du User au SYSTEM Hacking WordPress Expert : Red Team, Supply Chain et Hacking WordPress : Fondamentaux, Vulnérabilités : Guide Hacking WordPress Intermédiaire : Exploitation Avancée Infostealers : La Menace Silencieuse qui Alimente le Injection SQL Avancée : De la Détection à l'Exploitation MITRE ATT&CK : Les 10 Techniques les Plus Utilisées en OSINT et Reconnaissance Offensive : Du Renseignement Password Attacks : Cracking, Spraying et Credential Stuffing Ransomware : Anatomie d'une Attaque, Kill Chain et Reverse Engineering et Analyse de Malware : Guide Pratique Red Team vs Pentest vs Bug Bounty : Comparatif Complet Bug Bounty : Créer et Gérer un Programme de Sécurité Zero Trust Architecture : Implémentation Complète et Mouvement Latéral : Techniques d'Attaque, Détection et Attack Surface Management (ASM) : Gestion Continue de la

Attaques Active Directory

43 articles
Mouvement Latéral Windows AD 2026 : Techniques Expert Impacket : Guide complet exploitation Active Directory 2026 Pentest Active Directory : Guide Méthodologique Complet 2026 BloodHound : Cartographie des Chemins d'Attaque Active NTDS.dit : Extraction, Analyse et Protection des Secrets LAPS : Gestion Sécurisée des Mots de Passe : Guide Complet Tiering Model Active Directory : Segmentation des : Guide GPO Sécurisation Active Directory : Hardening par : Guide Forum InCyber 2026 : Securite AD en Vedette : Guide Complet Conditional Access Entra ID : Nouveautes Mars 2026 ADCS 2026 : Bilan ESC1 a ESC15 et Remediation en 2026 BloodHound 5 : Nouveaux Chemins d'Attaque Detectes Audit AD Automatise PowerShell : Scripts 2026 en 2026 NTLM Relay 2026 : Techniques et Defenses Actuelles Tiering Model AD 2026 : Adapter Face aux Menaces en 2026 Passwordless AD : Bilan des Risques et Opportunites Entra ID : Fin des Service Principals Legacy : Guide Complet BadSuccessor DMSA : Compromettre Active Directory en 2026 AD FS et SAML : Methodologie et Recommandations de Securite RBCD Abuse Active Directory | Active Directory 2026 Computer Account Takeover Active : Analyse Technique Active Directory Certificate Services : Guide Complet Forest Trust Abuse Active | Defence Active Directory ACL Abuse Active Directory | Active Directory 2026 AS-REP Roasting : Exploitation : Analyse Technique Kerberoasting : Guide Complet | Active Directory 2026 Password Filter DLL : Guide Pratique Cybersecurite Pass-the-Hash (PtH) : Comprendre, : Analyse Technique AdminSDHolder : Persistance via : Analyse Technique Pass-the-Ticket Active Directory : : Guide Complet NTFS Tampering et Anti-Forensics : Analyse Technique GPO Abuse Active Directory | Active Directory 2026 SIDHistory Injection Active Directory : Guide Complet Skeleton Key Malware Active | Active Directory 2026 Silver Ticket Active Directory : Analyse Technique DCSync Attack : Exfiltration | Active Directory 2026 DCShadow : Attaque Furtive | Active Directory 2026 Golden Ticket Attack : Guide Pratique Cybersecurite Migration MFA Entra : Revoquer les Sessions Legacy Attaques AD 2025 : Bilan et Tendances Emergentes en 2026 Entra Connect SyncJacking : Bloquer l'Attaque en 2026 CVE-2025-21293 : Escalade de Privileges AD DS en 2026 Durcissement AD : Guide des Recommandations Microsoft

Intelligence Artificielle

166 articles
Qdrant vs Milvus vs Weaviate : Bases Vectorielles pour RAG Sécurisé Jailbreak LLM : Taxonomie et Détection Automatisée Sécuriser un Pipeline RAG : Du Vector Store à l'API Exfiltration de Données via RAG : Attaques Contextuelles AI Red Team : Auditer un Modèle IA en Production 2026 Prompt Injection Avancée : Attaques et Défenses 2026 La Puce Analogique que les États-Unis ne Peuvent Arrêter Contenu IA : Outils de Detection Proactive Multimodale Prompt Injection et Attaques Multimodales : Défenses en 2026 Stocker et Interroger des Embeddings à Grande Échelle Benchmark LLM Mars 2026 : Etat des Lieux Complet en 2026 Claude Opus 4.6 : Applications en Cybersecurite en 2026 AI Worms et Propagation Autonome : Menaces Émergentes 2026 Confidential Computing et IA : Entraîner et Inférer dans IA Générative pour le Pentest Automatisé : Méthodes et IA et Gestion des Vulnérabilités : Priorisation EPSS Long Context vs RAG : Quand Utiliser 10M Tokens au Lieu Mixture of Experts (MoE) : Architecture, Sécurité et AI Model Supply Chain : Attaques sur Hugging Face et les IA et SCADA/ICS : Détection d'Anomalies sur les Protocoles Sparse Autoencoders et Interprétabilité Mécanistique IA et Zero Trust : Micro-Segmentation Dynamique Pilotée par Red Teaming IA 2026 : Tester les LLM en Entreprise MCP Model Context Protocol : Securiser les Agents en 2026 AI Act 2026 : Implications pour les Systèmes Agentiques et Context Engineering pour Agents Multimodaux : Guide Complet Défense contre les Attaques IA Générées : Stratégies Détection Proactive de Contenu Généré par IA Multimodal Embodied AI : Agents Physiques, Robotique et Sécurité en Forensic Post-Hacking : Reconstruction et IA : Guide Complet Gouvernance Globale de l'IA 2026 : Alignement International Gouvernance du Hacking IA Offensive : Cadre et Bonnes Pra... Green Computing IA 2026 : Eco-Responsabilite et Sobriete Hacking Assisté par IA : Génération de Payloads et Human-AI Collaboration 2026 : Travailler avec des Agents Intégration d'Agents IA avec les API Externes en 2026 LLMOps pour Agents Autonomes : Monitoring et CI/CD Mémoire Augmentée Agents : Vector + Graph 2026 en 2026 Détection Multimodale d’Anomalies Réseau par IA en Multimodal RAG 2026 : Texte, Image, Audio : Guide Complet PLAM : Agents IA Personnalisés Edge et Déploiement Prompt Hacking Avancé 2026 : Techniques et Défenses Prompt Injection et Attaques Multimodales : Défenses en Red Teaming Cyber-Défense Agentique : Méthodologie Responsible Agentic AI : Contrôles, Garde-Fous et 2026 Agents RAG avec Actions : Récupération et Exécution Sécurité des Agents IA en Production : Sandboxing et Shadow Agents IA : Identification et Gouvernance 2026 Traçabilité des Décisions d'Agents Autonomes : Guide Agentic AI 2026 : Autonomie en Entreprise : Guide Complet Agents IA et Raisonnement Causal pour la Décision 2026 Agents IA Edge 2026 : Privacy, Latence et Architecture PLAM Architectures Multi-Agents et Orchestration LLM en Produc... Collaboration Multi-Agents IA 2026 : Orchestration et RAG Agentique : Pipelines IA Autonomes en Entreprise IA et Analyse Juridique des Contrats Cybersécurité Apprentissage Fédéré et Privacy-Preserving ML en 2026 IA pour la Défense et le Renseignement : Cadre Éthique Données Synthétiques : Génération, Validation et 2026 DSPy et la Programmation Déclarative de LLM : Guide IA dans la Finance : Détection de Fraude Temps Réel et Gouvernance LLM et Conformite : RGPD et AI Act 2026 Playbooks de Réponse aux Incidents IA : Modèles et IA Neuromorphique : Architecture et Securite en 2026 Pydantic AI et les Frameworks d'Agents Type-Safe en 2026 Quantum Machine Learning : Risques et Opportunités pour la RAG en Production : Architecture, Scaling et Bonnes Reinforcement Learning Appliqué à la Cybersécurité AI Safety et Alignement : Du RLHF au Constitutional AI en IA dans la Santé : Sécuriser les Modèles Diagnostiques et Sécurité LLM Adversarial : Attaques, Défenses et Bonnes Speculative Decoding et Inférence Accélérée : Techniques Voice Cloning et Audio Deepfakes : Detection en 2026 IA Agentique 2026 : Risques et Gouvernance : Guide Complet Agents IA Autonomes : Architecture, Frameworks et Cas Automatiser le DevOps avec des Agents IA : Guide Complet Agents IA pour le SOC : Triage Automatisé des Alertes AI Act et LLM : Classifier vos Systèmes IA : Guide Complet AI TRiSM : Framework Gartner Appliqué : Guide Complet IA pour l’Analyse de Logs et Détection d’Anomalies en IA et Automatisation RH : Screening CV et Compliance Chatbot Entreprise avec RAG et LangChain : Guide Pas à Pas Llama 4, Mistral Large, Gemma 3 : Comparatif LLM Open Source Computer Vision en Cybersécurité : Détection et 2026 Confidentialité des Données dans les LLM : PII et DLP IA et Conformité RGPD : Données Personnelles dans les Context Window : Gérer 1 Million de Tokens en Production Coût d'Inférence des LLM : Optimiser sa Facture Cloud CrewAI, AutoGen, LangGraph : Comparatif Frameworks Data Platform IA-Ready : Architecture de Référence 2026 Data Poisoning et Model Backdoors : Supply Chain IA Deepfakes et Social Engineering IA : Détection et 2026 Deployer des LLM en Production : GPU et Optimisation Détection de Menaces par IA : SIEM Augmenté : Guide IA pour le DFIR : Accélérer les Investigations Forensiques Évaluation de LLM : Métriques, Benchmarks et Frameworks Fine-Tuning de LLM Open Source : Guide Complet LoRA et QLoRA Function Calling et Tool Use : Intégrer les API aux LLM Fuzzing Assisté par IA : Découverte de Vulnérabilités IA pour la Génération de Code : Copilot, Cursor, Claude Gouvernance IA en Entreprise : Politiques et Audit GraphRAG et Knowledge Graphs : Architecture RAG Avancée Knowledge Management avec l’IA en Entreprise : Stratégies Kubernetes pour l’IA : GPU Scheduling, Serving et 2026 LLM en Local : Ollama, LM Studio et vLLM - Comparatif 2026 LLM On-Premise vs Cloud : Souveraineté et Performance MCP (Model Context Protocol) : Connecter les LLM à vos MLOps Open Source : MLflow, Kubeflow, ZenML : Guide Complet IA Multimodale : Texte, Image et Audio : Guide Complet IA Offensive : Comment les Attaquants Utilisent les LLM Orchestration d'Agents IA : Patterns et Anti-Patterns OWASP Top 10 pour les LLM : Guide Remédiation 2026 Phishing Généré par IA : Nouvelles Menaces : Guide Prompt Engineering Avancé : Chain-of-Thought et Techniques Quantization : GPTQ, GGUF, AWQ - Quel Format Choisir RAG vs Fine-Tuning vs Prompt Engineering : Quelle Stratégie Reconnaissance Vocale et LLM : Assistant Vocal Sécurisé Red Teaming de Modèles IA : Jailbreak et Prompt Injection ROI de l'IA Générative : Mesurer l'Impact Réel en 2026 Sécuriser un Pipeline MLOps : Bonnes Pratiques et 2026 Shadow AI : Détecter et Encadrer l'Usage Non Autorisé Small Language Models : Phi-4, Gemma et IA Embarquée Threat Intelligence Augmentée par IA : Guide Complet Vector Database en Production : Scaling et HA en 2026 CNIL Autorite AI Act : Premiers Pas Reglementaires KVortex : Offloader VRAM→RAM pour LLMs vLLM et Inférence Securiser un Pipeline RAG en Production (2026) en 2026 Codex GPT-5.2 : Generation de Code Autonome Securisee Mixture of Experts : Architecture LLM de 2026 en 2026 GPT-5.2 et Agents IA : Revolution en Cybersecurite Windows Recall : Analyse Technique Complete - Fonctionnem... L'IA dans Windows 11 : Copilot, NPU et Recall - Guide Com... Deepfake-as-a-Service : La Fraude IA Industrialisee Small Language Models : Securite a la Peripherie en 2026 RAG Poisoning : Manipuler l'IA via ses Documents en 2026 Phishing IA : Quand les Defenses Traditionnelles Echouent Superintelligence : De l'ANI à l'ASI : Guide Complet La Fin des Moteurs de Recherche : Analyse Expert 2026 Embeddings et Recherche Documentaire : Guide Complet Stratégies de Découpage de | Guide IA Complet 2026 Sécurité et Confidentialité des : Analyse Technique Vecteurs en Intelligence Artificielle : Guide Complet Embeddings vs Tokens : Guide Pratique Cybersecurite Qu'est-ce qu'un Embedding en | Guide IA Complet 2026 Cas d'Usage des Bases - Guide Pratique Cybersecurite Bases Vectorielles : Définition, : Analyse Technique La Vectorisation de Données | Guide IA Complet 2026 Tendances Futures des Embeddings : Analyse Technique Optimiser le Chunking de - Guide Pratique Cybersecurite Milvus, Qdrant, Weaviate : | Guide IA Complet 2026 Glossaire IA et Cybersécurité : 100 Termes Essentiels 2026 10 Erreurs Courantes dans - Guide Pratique Cybersecurite Benchmarks de Performance : | Guide IA Complet 2026 RAG Architecture | Guide - Guide Pratique Cybersecurite Comment Choisir sa Base - Guide Pratique Cybersecurite Indexation Vectorielle : Techniques : Guide Complet Comprendre la Similarité Cosinus : Analyse Technique Comet Browser : Architecture | Guide IA Complet 2026 Développement Intelligence Artificielle | : Guide Complet Stocker et Interroger des - Guide Pratique Cybersecurite Shadow AI en Entreprise : Detecter et Encadrer en 2026 GPT-5.1 vs Claude 4.5 vs Gemini 3 : Comparatif en 2026 OpenClaw : Crise de l'Agent IA Open Source : Guide Complet Prompt Injection : 73% des Deploiements Vulnerables AI Act Aout 2025 : Premieres Sanctions Activees en 2026 OWASP Top 10 LLM 2025 : Risques et Remediations en 2026

Forensics

31 articles
Forensique Mémoire : Guide Pratique Volatility 3 en 2026 Timeline Forensique : Reconstituer Pas à Pas une : Guide Forensique Cloud : Analyser les Logs CloudTrail, Azure Forensique Microsoft 365 : Analyse du Unified Audit Log Chaîne de Preuve Numérique : Bonnes Pratiques Juridiques Exercice de Crise Cyber : Organiser un Tabletop Efficace Forensique Disque : Acquisition d'Image et Analyse avec Mobile Forensics : Extraction et Analyse iOS/Android Ransomware Forensics : Identifier la Souche : Guide Complet Forensics Linux : Artifacts et Investigation : Guide Complet MacOS Forensics : Artifacts et Persistence : Guide Complet Malware Reverse : Analyse de Cobalt Strike 5 : Guide Complet Email Forensics : Tracer les Campagnes Phishing en 2026 Timeline Analysis : Reconstruction d'Incidents en 2026 Registry Advanced : Guide Expert Analyse Technique NTFS Forensics : Methodologie et Recommandations de Securite LNK & Jump Lists : Strategies de Detection et de Remediation Windows Forensics : Guide Expert en Analyse Securite Registry Forensics : Guide Expert Analyse Securite Windows Server 2025 - Guide Pratique Cybersecurite Memory Forensics : Strategies de Detection et de Remediation ETW & WPR : Guide Complet et Bonnes Pratiques pour Experts Modèles de Rapports - Guide Pratique Cybersecurite Comparatif Outils DFIR - Guide Pratique Cybersecurite AmCache & ShimCache - Guide Pratique Cybersecurite Telemetry Forensics - Guide Pratique Cybersecurite Anti-Forensics : Methodologie et Recommandations de Securite NTFS Advanced : Methodologie et Recommandations de Securite Network Forensics : Analyse PCAP Avancee : Guide Complet DFIR Cloud : Investigation Logs AWS CloudTrail en 2026 Memory Forensics 2026 : Volatility 3 Avance : Guide Complet

Microsoft 365

24 articles
Chronologie des Attaques Active Directory : 2014-2026 Audit Avancé Microsoft 365 : Corréler Journaux et Logs Azure Automatiser l'Audit Sécurité Microsoft 365 : Guide Expert API Microsoft Graph : Audit et Monitoring M365 en 2026 Meilleures Pratiques Sécurité Microsoft 365 en 2026 PIM Entra ID : Gestion des Accès Privilégiés Just-in-Time Sécuriser Microsoft Teams : Gouvernance, DLP et Contrôle SharePoint et OneDrive : Maîtriser le Partage Externe et Microsoft Defender for Office 365 : Configuration : Guide Microsoft Secure Score : Guide d'Optimisation de votre Sécuriser Microsoft Entra ID : Conditional Access, MFA Durcissement Exchange Online : Bloquer Basic Auth et Microsoft Intune : Politiques de Conformité et : Guide Zero Trust M365 : Strategies de Detection et de Remediation API Microsoft Graph M365 - Guide Pratique Cybersecurite Microsoft 365 et Conformité - Guide Pratique Cybersecurite Audit Sécurité Microsoft 365 | Guide Microsoft 365 Audit Avancé Microsoft 365 - Guide Pratique Cybersecurite Pratiques Sécurité M365 2025 | Guide Microsoft 365 Microsoft 365 et Azure - Guide Pratique Cybersecurite Threat Hunting Microsoft 365 | Guide Microsoft 365 Top 10 Outils Analyse Securite Microsoft 365 — Guide Automatiser l'Audit de Sécurité : Analyse Technique Sécuriser les Accès Microsoft | Guide Microsoft 365

Virtualisation

25 articles
SDN Proxmox VE 9 : Zones, VNets, IPAM et Firewalls Architecture Proxmox VE 9.1 : Cluster 3 Nœuds + HA Réplication Proxmox VE : ZFS, Snapshots et Checklist Administration CLI Proxmox VE : Diagnostic Cluster Déploiement Automatisé Proxmox : Terraform et Ansible Proxmox VE 9.1 : Paramètres Avancés VM et Nested Virt Outils Proxmox VE : Monitoring, IaC et Écosystème 2026 Optimisation Proxmox VE 9 : CPU, RAM, ZFS, Ceph et HA Dimensionnement Proxmox VE 9 : CPU, RAM, Stockage, HA Proxmox VE : Cluster HA, Live Migration et Ceph 2026 Proxmox vs VMware vs Hyper-V : Comparatif Sécurité et Durcissement VMware ESXi : Guide Complet de Sécurisation ESXi Hardening : Guide Complet de Sécurisation Avancée Migration VMware vers Proxmox VE : Guide Complet : Guide Hyper-V Shielded VMs : Sécurisation Avancée du : Guide Proxmox Backup Server : Stratégie de Sauvegarde et Optimisation Proxmox - Guide Pratique Cybersecurite Évolutions Proxmox : Guide Expert Bonnes Pratiques Calculateur Sizing : Guide Expert Bonnes Pratiques NTP Proxmox : Guide Complet et Bonnes Pratiques pour Experts Dimensionnement : Strategies de Detection et de Remediation Guide Complet Proxmox - Guide Pratique Cybersecurite Migration VMware : Strategies de Detection et de Remediation Securite Proxmox VE : Guide Complet Hardening 2026 Hyper-V 2025 : Analyse Technique Approfondie et Securisation

Cybersécurité Générale

44 articles
Débuter en Pentest : Parcours et Ressources 2026 Carte des Menaces Cyber 2025-2026 : Threat Landscape 20 Erreurs Fatales en Cybersécurité : AD, Cloud et IA Certifications Cybersécurité 2026 : Guide Complet OSCP à CISSP 15 Mythes en Cybersécurité Démystifiés par un Pentester CrowdStrike vs Defender vs SentinelOne : Quel EDR en 2026 ? L'ingénierie sociale a gagné : vos firewalls ne servent plus à rien Quatre zero-days Chrome en 2026 : le navigateur est devenu la cible Zero-days exploités avant le patch : la nouvelle norme en 2026 Le délai d'exploitation se réduit à néant : ce que ça Deepfakes et Social Engineering : Menaces IA en 2026 Culture Sécurité en Entreprise : Changer les Comportements Programme Sensibilisation Cyber : Méthode et KPI 2026 Exercices Phishing Interne : Outils et Bonnes Pratiques Quand les défenseurs passent à l'attaque : leçons de Patch Tuesday ne suffit plus : repenser la gestion des Data brokers : les coffres-forts que tout le monde veut Vos outils d automatisation sont devenus des cibles Équipements en fin de vie : maillon faible sécurité quand vos défenseurs travaillent pour l adversaire Pipelines IA en production : vos agents LLM sont des cibles Time-to-exploit : quand les 0-day brûlent en quelques heures OWASP Top 10 : Guide Complet Vulnérabilités Web 2026 Nessus et Greenbone : Guide Scanners Vulnérabilités ANSSI ReCyF : NIS2 en pratique, ce qui change pour vous Pipelines IA : vos clés API sont les nouvelles clés du SI Ransomwares : Pourquoi Vos Sauvegardes Ne Sauvent Plus CI/CD : L'Angle Mort de la Sécurité DevOps en 2026 Vos Outils IA : la Nouvelle Surface d'Attaque Ignorée Ransomware Trends Q1 2026 : Analyse des Groupes en 2026 IOC Management : Automatiser la Threat Intel : Guide Complet Cyber Threat Landscape France 2026 : Bilan ANSSI en 2026 Darkweb Monitoring : Outils et Techniques 2026 en 2026 InfoStealers 2026 : Lumma, Raccoon et RedLine en 2026 Supply Chain APT : Comprendre les Attaques Etatiques Top 10 des Attaques - Guide Pratique Cybersecurite Top 10 Outils Securite Kubernetes 2025 — Guide Pratique Livre Blanc : Sécurisation | Threat Intelligence 2026 Guide Complet Sécurité Active | Guide Cyberdefense Top 5 des Outils : Strategies de Detection et de Remediation Top 10 Solutions EDR/XDR | Threat Intelligence 2026 Top 10 Outils Audit - Guide Pratique Cybersecurite Threat Hunting : Detection Proactive avec MITRE en 2026 APT29 2026 : Nouvelles TTP et Campagnes Cloud en 2026

Articles Techniques

105 articles
Retours d’Expérience Pentest : 5 Missions Terrain Anonymisées BloodHound vs SharpHound vs BloodyAD : Guide Comparatif 2026 Burp Suite vs OWASP ZAP : Quel Scanner Web Choisir en 2026 ? Nuclei vs Nessus vs Qualys : Scanners de Vulnérabilités Comparés Format String Exploitation Moderne : Du Crash au RCE en 2026 Race Conditions Kernel : Double-Fetch, TOCTOU et Exploitation BGP Hijacking et OSPF Exploitation : Attaques Routage Internet GPU Side-Channels : Attaques sur CUDA, OpenCL et WebGPU Intel ME et AMD PSP : Exploitation des Coprocesseurs Cryptanalyse Pratique : Attaques sur AES, RSA et ECC SGX, TDX et TEE : Attaques sur les Enclaves Sécurisées 2026 Hypervisor Escape : Techniques d'Évasion VMware, KVM et QEMU Linux Kernel Exploitation : Escalade de Privilèges Side-Channel Attacks : Spectre, Meltdown et Rowhammer ROP/JOP Chains : Exploitation Moderne des Binaires Protégés Heap Exploitation : Use-After-Free et Tcache Poisoning SGX, TDX et TEE : Attaques sur les Enclaves Sécurisées Hack The Box : Méthodologie pour Progresser en 2026 DVWA vs Juice Shop vs WebGoat : Comparatif Labs Web Lab Pentest Proxmox : Guide Complet d'Installation 2026 Top 5 Plateformes CTF et Entraînement Cyber en 2026 Architecture de Sécurité Matérielle Windows 11 & Server 2025 Windows Scheduler Internals : Architecture, Performance Architecture Windows Server 2025 : Noyau NT Expert Architecture Vertical Slice + Clean Lite : Guide 2026 Cryptographie Post-Quantique : Migration Pratique en 2026 Zero Trust Network : Implementation Pratique 2026 en 2026 C2 Frameworks Modernes : Mythic, Havoc, Sliver et Détection DNS Attacks : Tunneling, Hijacking et Cache Poisoning Exploitation de l’Infrastructure as Code Terraform et Exploitation des Protocoles Email : SMTP Smuggling et Att... GCP Offensive Security : Exploitation des Services Google Purple Team : Méthodologie et Exercices Collaboratifs Race Conditions et TOCTOU : Exploitation des Bugs de Windows Kernel Exploitation : Drivers, Tokens et KASLR Threat Intelligence : Automatiser la Veille Cyber en 2026 Attaques sur les Identity Providers Okta, Entra et Keycloak Attaques sur les Pipelines ML/AI et Empoisonnement de Mod... SSRF Avance : Bypass des Protections Cloud 2026 en 2026 Windows Kernel : Exploitation de Drivers Vulnerables Agents IA pour la Cyber-Défense et le Threat Hunting Cyber-Défense Agentique contre les APTs : Guide Complet Red Teaming des Agents Autonomes : Méthodologie et Shadow Hacking et Outils IA Non-Autorisés en Entreprise Container Escape : Techniques d'Évasion Docker et 2026 Exploitation Active Directory Certificate Services (ADCS) Hardware Hacking : JTAG, SWD, UART et Extraction de Firmware Post-Exploitation : Pillage, Pivoting et Persistance Sécurité Mobile Offensive : Android et iOS en 2026 Service Mesh Exploitation : Attaques sur Istio, Linkerd et SIM Swapping et Attaques Telecom : SS7, Diameter et 5G UEFI Bootkits et Attaques sur le Firmware : Persistance A... Attaques sur les Bases de Données SQL, NoSQL et GraphQL Attaques CI/CD Avancées : GitOps, ArgoCD et Flux en Attaques Serverless : Exploitation de Lambda, Azure Attaques sur les Smart Contracts et la Sécurité Web3 Attaques Wireless Avancées : Wi-Fi 7, BLE 5.4 et Zigbee Browser Exploitation Moderne : V8, Blink et les Sandbox Bypass FIDO2 et Passkeys : Attaques sur l'Authentification ICS/SCADA : Pentest d'Environnements Industriels en 2026 Supply Chain : Detecter les Dependances Malveillantes Incident Response : Playbook Ransomware 2026 : Guide Complet Reverse Engineering : Analyse de Firmware IoT en 2026 GraphQL Injection : Techniques d'Exploitation 2026 API Security : Fuzzing Avance avec Burp et Nuclei en 2026 Cloud Forensics : Investigation AWS et Azure : Guide Complet OAuth 2.1 : Nouvelles Protections et Migration en 2026 Pentest Wi-Fi 7 : Nouvelles Surfaces d'Attaque en 2026 C2 Frameworks 2026 : Mythic vs Havoc vs Sliver en 2026 DNS Tunneling Detection : Guide SOC Analyst : Guide Complet Phishing 2026 : Techniques Avancees de Spear-Phishing Web3 Security : Audit de Smart Contracts Solidity en 2026 Attaques sur CI/CD (GitHub - Guide Pratique Cybersecurite Azure AD : attaques - Guide Pratique Cybersecurite Supply-chain applicative (typosquatting, dependency Secrets sprawl : collecte - Guide Pratique Cybersecurite SSRF moderne (IMDSv2, gopher/file, : Guide Complet NTLM Relay moderne (SMB/HTTP, | Guide Technique 2026 Evasion d’EDR/XDR : techniques : Analyse Technique Phishing sans pièce jointe - Guide Pratique Cybersecurite Persistence sur macOS & - Guide Pratique Cybersecurite WebCache Deception & cache - Guide Pratique Cybersecurite Abus OAuth/OIDC : Consent - Guide Pratique Cybersecurite Sécurité des LLM et - Guide Pratique Cybersecurite Chaîne d'exploitation Kerberos en : Analyse Technique Living-off-the-Land (LOL-Bins/LOLBAS) à l’échelle en Exfiltration furtive (DNS, DoH, : Analyse Technique Kubernetes offensif (RBAC abuse, : Analyse Technique Désérialisation et gadgets en | Guide Technique 2026 Attaques sur API GraphQL - Guide Pratique Cybersecurite Escalades de privilèges AWS | Guide Technique 2026 OT/ICS : passerelles, protocoles : Analyse Technique Cloud IAM : Escalade de Privileges Multi-Cloud en 2026 AWS Lambda Security : Attaques et Defenses : Guide Complet Terraform Security : Audit et Durcissement IaC en 2026 SIEM : Correlations Avancees pour Threat Hunting en 2026 Mobile Pentest : Bypass SSL Pinning Android 15 en 2026 Container Escape 2026 : Nouvelles Techniques Docker Bug Bounty 2026 : Strategies et Plateformes : Guide Complet EDR Bypass 2026 : Techniques et Contre-Mesures en 2026 ZED de PRIM’X : Conteneurs Chiffrés et Sécurité des Malware Analysis : Sandbox Evasion Techniques en 2026 Purple Team : Exercices Pratiques AD et Cloud en 2026 OSINT 2026 : Outils et Techniques de Reconnaissance Kubernetes RBAC : 10 Erreurs de Configuration Critiques

Conformité

54 articles
SOA ISO 27001 : Statement of Applicability Complet Feuille de Route ISO 27001 : Certification en 12 Étapes Checklist Audit ISO 27001 : 93 Contrôles Annexe A 2022 Charte Informatique Entreprise : Guide et Modèle Word Analyse de Risques ISO 27005 : Méthodologie Complète PSSI ISO 27001 : Guide Rédaction et Modèle Complet Aspects Juridiques et Éthiques de l’IA : Cadre Réglementaire Classification des données : méthodes et outils pratiques Analyse d'impact AIPD : méthodologie CNIL pas à pas NIS 2 et DORA : double conformité du secteur financier Maturité cybersécurité : modèles CMMC et NIST CSF 2.0 Cartographie des risques cyber avec EBIOS RM en 2026 SMSI ISO 27001 version 2022 : guide complet pas à pas Audit de conformité RGPD : checklist complète pour DPO NIS2, DORA et RGPD : Cartographie des Exigences Croisées IEC 62443 : Cybersécurité Industrielle OT - Guide : Guide Audit de Sécurité du SI : Méthodologie Complète et PRA/PCA Cyber : Plan de Reprise et Continuité d'Activité Qualification PASSI ANSSI : Devenir Prestataire d'Audit Audit de Securite Cloud : Checklist Conformite 2026 PCI DSS 4.0.1 : Nouvelles Exigences Mars 2026 en 2026 Conformite Multi-Referentiels : Approche Unifiee 2026 NIS 2 Phase Operationnelle : Bilan 6 Mois Apres en 2026 Aspects Juridiques et Ethiques de l'IA en Entreprise ISO/IEC 42001 Foundation : Système de Management IA ISO 42001 Lead Auditor : Auditer un Systeme de Management ISO 42001 Lead Implementer : Management de l’IA et RGPD et AI Act : Guide Complet pour les Organisations en ... Développement Sécurisé ISO 27001 : Cycle S-SDLC en 6 Cyber Assurance 2026 : Exigences et Marche Durci en 2026 SOC 2 Type II : Retour d'Experience Implementation DORA 2026 : Impact sur le Secteur Financier Francais Cyber-assurance 2026 : Nouvelles Exigences et Guide Complet AI Act 2026 : Guide Conformité Systèmes IA à Haut Risque Cyber Resilience Act 2026 : Guide Anticipation Produits C... DORA 2026 : Premier Bilan et Contrôles ACPR - Guide Complet NIS 2 Phase Opérationnelle 2026 : Guide Complet de Mise RGPD 2026 : Securite des Donnees et Enforcement CNIL - Gu... HDS 2026 : Certification Hébergeur de Données de Santé - PCI DSS 4.0.1 en 2026 : Retour d'Expérience et Guide SBOM 2026 : Obligation de Sécurité et Guide Complet SecNumCloud 2026 et EUCS : Guide Complet Qualification Cryptographie Post-Quantique : Guide Complet pour les SI ... ISO 27001:2022 Guide Complet Certification Expert 2026 NIS 2 : Guide Complet de la Directive Européenne sur la SOC 2 : Guide Complet Conformite pour Organisations RGPD 2026 : Durcissement des Sanctions par la CNIL HDS 2026 : Certification Hebergement de Donnees Sante Cyber Resilience Act : Guide de Conformite Produits RGPD et IA Generative : Guide de Conformite CNIL en 2026 SecNumCloud 2026 : Migration et Certification EUCS AI Act Classification : Systemes a Haut Risque en 2026 SBOM 2026 : Obligation de Transparence Logicielle en 2026 ISO 27001:2022 vs ISO 27001:2013 : Differences Cles

SOC et Detection

25 articles
Incident Triage : Classification et Priorisation SOC 2026 Threat Hunting Proactif : Techniques et Outils SOC 2026 Sigma Rules : Standard de Détection Universel Guide Complet SOC as a Service : Externaliser la Détection Guide 2026 XDR vs SIEM vs EDR : Comprendre les Différences en 2026 Purple Team : Collaboration entre SOC et Red Team Guide Détection du Mouvement Latéral : Guide Complet SOC 2026 Triage des Alertes SOC : Méthodologie Complète pour Analyste NDR : Détection Réseau et Réponse aux Menaces Guide 2026 SIEM Cloud-Native vs On-Premise : Comparatif Complet 2026 Log Management : Architecture et Rétention SOC : Guide Use Cases SIEM : 50 Règles Détection Essentielles : Gui SOC Metrics et KPIs : Mesurer la Performance : Guide Co SOAR : Automatisation Réponse Incident Guide : Guide Co Threat Intelligence Platforms : Comparatif 2026 : Guide Microsoft Sentinel : Déploiement et Règles KQL : Guide Splunk Enterprise Security : Configuration SOC : Guide Elastic SIEM : Stack Détection Open Source 2026 : Guide SOC Moderne : Architecture et Outils Guide 2026 : Guide Analyste SOC : Niveaux, Parcours et Compétences : Guide Threat Hunting : Méthodologie, Outils et Pratique pour Detection Engineering : Construire des Règles de : Guide Detection-as-Code : Pipeline CI/CD pour Règles SIEM et Sigma Rules : Guide Complet d'Écriture et Déploiement de Wazuh SIEM/XDR Open Source : Déploiement, Configuration

Cloud Security

45 articles
Cloud Forensics Avancée Post-Compromission sur AWS Cloud Pentest : Méthodologie Complète Audit AWS et Azure Cloud Logging : Guide Centralisation et Monitoring Sécurité Cloud Network Security : Guide Complet VPC, WAF et DDoS DevSecOps Cloud : Guide Pipeline CI/CD Sécurisé Complet Cloud Disaster Recovery : Guide PRA et Résilience Cloud Cloud Compliance : Guide RGPD, HDS et SecNumCloud 2026 Cloud Forensics : Guide Investigation Incident Cloud 2026 Infrastructure as Code Security : Guide Terraform Complet Cloud Encryption : Guide Chiffrement Données et Clés KMS CASB : Guide Comparatif Cloud Access Security Broker 2026 Container Security : Docker et Runtime Protection Avancée Serverless Security : Sécuriser Lambda et Functions Cloud Multi-Cloud Security : Guide Stratégie Sécurité Unifiée Cloud IAM : Guide Gestion Identités et Accès Cloud 2026 Kubernetes Security : Guide Durcissement Cluster K8s 2026 Sécurité AWS : Guide Complet Hardening Compte et Services Azure Security Center : Guide Configuration Complète 2026 GCP Security : Bonnes Pratiques et Guide Audit Cloud 2026 CSPM : Guide Cloud Security Posture Management Complet CNAPP : Guide Protection Cloud-Native Applications 2026 ZTNA Zero Trust Network Access Cloud : Guide Complet Disaster Recovery Cloud : PRA Multi-Région en 2026 Attaques sur Metadata Services Cloud : SSRF et IMDS FinOps Sécurité : Cryptomining Ressources Fantômes Secrets Management Cloud : Vault et Key Vault 2026 Cloud Compliance NIS 2 SecNumCloud ISO 27017 Guide Sécurité Multi-Cloud : Stratégie Unifiée AWS, Azure et GCP Cloud Misconfiguration : Top des Erreurs de Sécurité et Cloud IAM : Sécurisation des Identités et Accès AWS, CSPM : Cloud Security Posture Management - Guide Complet Souveraineté Cloud : Protéger les Données Sensibles en Container Registry : Guide Sécurité Images Docker 2026 Cloud Logging Monitoring : Visibilité Complète 2026 Service Mesh Security : Sécuriser Istio et Linkerd Cloud Pentest Azure : Exploitation Misconfiguration Terraform IaC Sécurisé : Checklist de Durcissement Cloud Pentest AWS avec Pacu et CloudFox : Le Guide Sécurité Serverless : Lambda Functions et Protection CNAPP Cloud-Native Application Protection Platform Kubernetes Security : RBAC et Network Policies 2026 GCP Security Command Center : Audit et Durcissement Azure Defender for Cloud : Guide Configuration 2026 AWS Security : Les 20 Services Sécurité Essentiels Sécuriser une Architecture Multi-Cloud AWS et Azure

Retro-Ingenierie

18 articles
Frida et DynamoRIO : Instrumentation Binaire Avancée 2026 Symbolic Execution : Angr, Triton et Découverte d'Exploits Analyse Mémoire Forensique : Volatility pour Malware Analyse de Shellcode : Techniques de Rétro-Ingénierie Rétro-Ingénierie de C2 : Cobalt Strike et Brute Ratel Anti-Analyse Malware : Techniques et Contournements Analyse de Stealers : RedLine, Raccoon, Lumma 2026 Unpacking Malware Avancé : Techniques et Outils 2026 Rétro-Ingénierie de Ransomware : Analyse Technique Analyse Dynamique de Malware Avancée : Sandbox Expert Anti-Rétro-Ingénierie APT - Techniques d'Évasion Avancées Disséquer l'Obscurité : Techniques Avancées de Déobfuscation IA Frameworks pour l'Analyse de Malwares - Deep Learning Malwares Mobiles & IA - Rétro-Ingénierie Cross-Platform Chasse aux Fantômes : Rétro-Ingénierie Ghidra : Guide de Reverse Engineering pour Débutants Fileless Malware : Analyse, Détection et Investigation Reverse Engineering .NET : Décompilation, Analyse et

News

202 articles
Microsoft force la mise à jour vers Windows 11 25H2 sur les PC non gérés Affinity : une fuite de données expose 175 000 utilisateurs du forum Axios npm piraté : la Corée du Nord derrière l attaque supply chain React2Shell : 766 serveurs Next.js compromis, credentials volés Drift Protocol : hack à 285 M$ attribué à la Corée du Nord Cisco IMC : faille critique CVSS 9.8 permet un accès admin NoVoice : un rootkit Android caché dans 50 apps du Play Store Apple étend iOS 18.7.7 pour contrer l'exploit DarkSword Fortinet : faille critique FortiClient EMS exploitée activement Slack déploie 30 fonctionnalités IA et devient un agent autonome Commission européenne hackée via Trivy : 30 entités UE exposées BrowserGate : LinkedIn scanne vos extensions de navigateur en secret CVE-2026-0625 : zero-day critique dans les routeurs D-Link EOL GlassWorm : 72 extensions Open VSX piégées ciblent les développeurs CVE-2026-5281 : zero-day Chrome WebGPU exploité activement Le CMA britannique lance une enquête sur les licences cloud Microsoft Google NotebookLM passe à Gemini 2.5 Flash pour le raisonnement OpenAI teste des Skills pour ChatGPT, inspirées de Claude Faille critique Fortinet CVE-2026-32756 : exploitation active Akira Ransomware cible les ESXi via une faille vCenter inédite Microsoft lance Copilot Security Agents pour automatiser le SOC Claude 4 Opus d Anthropic : benchmark et implications sécurité NIS 2 : Premières Sanctions ANSSI en France 2026 Rebellions lève 400 M$ pour défier Nvidia sur les puces IA Exchange Online : Microsoft peine à résoudre des pannes persistantes TridentLocker frappe Sedgwick, sous-traitant du gouvernement US Hims & Hers : ShinyHunters vole des millions de tickets Zendesk Qilin revendique le vol de données du parti allemand Die Linke Interlock exploite un zero-day Cisco FMC CVSS 10 depuis janvier SparkCat : un malware vole les cryptos depuis les stores mobiles Microsoft lance ses propres modèles IA pour défier OpenAI Fuite Claude Code : des dépôts GitHub piégés diffusent Vidar PTC Windchill : la police allemande réveille les admins GitHub Copilot entraîne ses IA sur vos données dès le 24 285 M$ volés en 12 minutes par des hackers nord-coréens 766 serveurs Next.js compromis par vol de credentials une faille CVSS 9.8 permet le reset des mots de passe admin Cisco corrige deux failles critiques CVSS 9.8 dans IMC et Le FBI alerte sur les risques des applications mobiles ShareFile : deux failles chaînées permettent une RCE sans NoVoice : un malware Android sur Google Play vole les un exploit kit iOS cible WebKit et le kernel Apple Microsoft alerte sur une campagne VBS avec bypass UAC TrueChaos : un APT chinois exploite TrueConf pour cibler Microsoft lance Copilot Wave 3 et Agent 365 pour l'ère UAC-0255 usurpe le CERT-UA et diffuse le RAT AGEWHEEZE Chrome : Google corrige un 4e zero-day exploité en 2026 L'Iran relance Pay2Key avec des pseudo-ransomwares TeamPCP compromet des environnements cloud via des Le CMA ouvre une enquête sur Microsoft pour ses licences VMware Aria Operations : RCE critique exploitée activement Cisco SD-WAN : un zero-day CVSS 10 exploité depuis trois ans Citrix NetScaler : faille critique CVSS 9.3 exploitée Databricks lance Lakewatch, un SIEM dopé à l'IA générative Microsoft enchaîne les correctifs d'urgence Windows en 2026 Axios piraté : un RAT distribué via npm à 100 millions CareCloud Breach : Dossiers Patients Exposés en 2026 le malware IA qui vole vos identifiants navigateur ChatGPT : une faille permettait l'exfiltration de données LexisNexis piraté : 400 000 profils cloud exposés via ShinyHunters vole 350 Go de données à la Commission Aflac notifie 22 millions de clients après une cyberattaque CTRL : toolkit RAT russe ciblant les entreprises via RDP macOS Tahoe 26.4 : Apple bloque les attaques ClickFix 10 561 failles détectées dans 1,2 million de commits GitHub : de fausses alertes VS Code propagent un malware Microsoft retire la mise à jour KB5079391 après des Le DoJ démantèle des botnets IoT derrière le DDoS record FortiGate : campagne active de vol de credentials ciblant CISA alerte sur une RCE exploitée, 24 700 instances exposées CVE-2026-20131 : Interlock exploite un zero-day Cisco FMC NIST renouvelle son guide de sécurité DNS après douze ans Handala pirate la messagerie du directeur du FBI Kash Patel Infinity Stealer : un nouveau malware cible macOS via Windows 11 : Microsoft publie un correctif d'urgence le fossé des compétences se creuse entre experts et novices Ubiquiti UniFi : faille CVSS 10 expose 29 000 équipements CVE-2026-21385 : Qualcomm corrige un zero-day Android CVE-2026-0625 : zero-day exploité sur routeurs D-Link Google corrige deux zero-days Skia et V8 exploités Mistral lance Voxtral TTS, modèle vocal open source à 4B GitHub lance la détection IA pour sécuriser le code source CVE-2026-3055 : Citrix NetScaler sous reconnaissance active Crunchyroll piraté : 6,8 millions de comptes compromis TeamPCP piège le SDK Telnyx sur PyPI via stéganographie WAV CVE-2025-53521 : F5 BIG-IP exploité, CISA exige un patch BlackCat : deux experts cybersécurité plaident coupable CVE-2026-32746 : RCE root non authentifié dans Telnetd APT28 exploite un 0-day MSHTML avant le Patch Tuesday Red Menshen : BPFDoor espionne les télécoms depuis 2021 Anthropic : la justice américaine bloque le ban de Trump Commission européenne : 350 Go volés via un cloud AWS Bearlyfy frappe 70 entreprises russes avec GenieLocker LangChain et LangGraph : trois failles critiques révélées PolyShell : 57 % des boutiques Magento vulnérables attaquées CVE-2026-33017 Langflow : RCE non authentifié exploité Qilin cible Malaysia Airlines : données passagers volées Conduent : brèche SafePay expose 25 millions d'Américains Mistral Small 4 : un seul modèle MoE remplace trois IA PolyShell : skimmer WebRTC vole 56 % des boutiques Magento CanisterWorm : TeamPCP infecte Trivy et 66 packages npm GlassWorm utilise Solana comme C2 pour son RAT furtif Medusa Ransomware : 9 jours hors-ligne pour un hôpital US Mandiant M-Trends 2026 : accès initial cédé en 22 secondes CVE-2026-20131 Cisco FMC : CVSS 10.0, hôpitaux visés CERTFR-2026-ALE-003 : ANSSI alerte sur les messageries Opération Checkmate : BlackSuit ransomware démantélé LiteLLM piraté : attaque supply chain PyPI TeamPCP EvilTokens PhaaS : 340 organisations M365 touchées Slopoly : Hive0163 déploie un malware généré par IA FCC interdit l'import de routeurs étrangers aux USA Silver Fox APT : espionnage et cybercrime ciblant l Asie Firefox 149 intègre un VPN gratuit et le Split View CVE-2026-32746 : RCE root non authentifié, GNU Telnetd CVE-2026-22557 Ubiquiti UniFi CVSS 10.0, 87 000 exposés TELUS Digital : ShinyHunters et le Vol de 1 PO de Data CVE-2025-32975 : Quest KACE SMA CVSS 10.0 exploité NVIDIA Agent Toolkit : IA autonome sécurisée en prod CVE-2026-3055 Citrix NetScaler : fuite de tokens SAML Crunchyroll confirme une fuite touchant 6,8 M d'utilisateurs Tycoon 2FA démantelé : Europol met fin au PhaaS MFA bypass TeamPCP étend son attaque supply chain à Checkmarx KICS CVE-2026-33017 Langflow : RCE exploité 20h après disclosure Stryker : le wiper iranien Handala détruit 80 000 terminaux Zero-Day CVSS 10.0 PTC Windchill : webshells en production Un hacker russe condamné à 81 mois pour ransomware La Corée du Nord piège les devs crypto via VS Code CMA UK : décision imminente contre AWS et Microsoft Moscou Usurpe Signal pour Cibler Officiels et Journalistes Microsoft Corrige en Urgence son Patch Tuesday Cassé GlassWorm Piège 72 Extensions VSCode pour Voler des Secrets PhantomRaven : Campagne npm Cible les Secrets CI/CD VMware Aria Operations CVE-2026-22719 : CISA KEV RCE Cisco FMC CVE-2026-20131 : Interlock RCE Root Actif DarkSword : exploit iOS zero-day ciblant les iPhones Le DoJ démantèle 4 botnets IoT au record de 31 Tbps n8n : 4 Failles RCE Critiques, 24 700 Serveurs Exposés Trivy : Attaque Supply Chain via GitHub Actions 2026 Meta : Agent IA Autonome Déclenche un Incident Critique Mistral Small 4 : Le Modèle Open Source 119B Tout-en-Un CVE-2026-21992 : Oracle Identity Manager RCE CVSS 9.8 Malaysia Airlines : le Groupe Quilin Exfiltre les Données Marquis Financial : 672 000 Victimes et Données Bancaires CVE-2025-68613 n8n : CISA KEV, 24 700 instances RCE exposées Navia Benefit Solutions : 2,7M dossiers santé exposés Opération Alice : 373 000 sites dark web démantelés CVE-2026-32746 : RCE Root dans GNU Telnetd CVSS 9.8 APT28 BadPaw et MeowMeow : Nouvelles Armes Contre l'Ukraine APT41 Silver Dragon : Espionnage via Google Drive C2 CVE-2026-20131 : Cisco FMC Zero-Day CVSS 10 Exploité CVE-2026-20963 SharePoint RCE Exploité : Alerte CISA KEV CVE-2026-33017 Langflow RCE : Exploité en Moins de 20h Iran-Handala : Wiper sur Stryker, FBI Saisit les Domaines CERT-FR : Messageries Instantanées Détournées Sans Malware TELUS Digital : ShinyHunters Vole 1 Pétaoctet de Données GLM-5 : Zhipu AI Lance un Modele 744B Parametres en 2026 Kali Linux 2025.4 : Passage a Wayland par Defaut en 2026 RSAC 2026 : Les Tendances Cybersecurite de l'Annee Patch Tuesday Fevrier 2026 : 4 Zero-Days Critiques Google Finalise l'Acquisition de Wiz pour 32 Milliards Gemini 3.1 Pro : 1 Million de Tokens en Contexte en 2026 Entra ID : Jailbreak de l'Authenticator Decouvert en 2026 FIRST Prevoit 50 000 CVE Publiees en 2026 : Guide Complet Entra ID : Migration Obligatoire vers DigiCert G2 en 2026 Anthropic Lance Cowork : Claude Sans Code pour Tous FCC Alerte : Ransomware Quadruple Depuis 2021 en 2026 Qilin Ransomware Domine le Paysage des Menaces Q1 2026 McDonald's India : Everest Ransomware Frappe Fort en 2026 CNIL France Travail : Sanction de 5 Millions EUR en 2026 CNIL : Free Mobile Sanctionne a 42 Millions EUR en 2026 Patch Tuesday Janvier 2026 : 112 CVE Corrigees en 2026 Microsoft Publie un Guide de Durcissement AD Complet Kali Linux 2025.3 : 15 Nouveaux Outils de Pentest en 2026 Cegedim Sante : 15 Millions de Patients Exposes en 2026 Kubernetes 1.35 : User Namespaces en Production en 2026 CNIL : Amende de 3,5M EUR pour Partage Illegal de Donnees SoundCloud et Inotiv : Double Fuite de Donnees en 2026 Leroy Merlin : Fuite de Donnees de 2 Millions de Clients GPT-5.2 : OpenAI Repousse les Limites a 400K Tokens React2Shell : RCE Critique CVSS 10 dans React Native BadSuccessor : Nouvelle Faille Critique Windows AD NIS 2 : l'Allemagne Adopte sa Loi de Transposition Shai-Hulud 2 : Supply Chain NPM Compromis a Grande Echelle Llama 4 Scout et Maverick : Meta Passe au Multimodal Microsoft Renforce la Protection CSP dans Entra ID Attaques Active Directory en Hausse de 42% en 2025 CVE-2025-20337 : RCE Critique dans Cisco ISE : Guide Complet Claude 4.5 : Anthropic Mise sur les Agents IA en 2026 Gemini 3 : Google Bat Tous les Benchmarks LLM en 2026 GPT-5.1 : OpenAI Lance son Modele le Plus Puissant ISO 27001:2022 : Fin de Transition en Octobre 2025 DoorDash : Fuite Massive via Social Engineering en 2026 OpenAI Renonce a l'Open Source pour ses Modeles IA SimonMed : Medusa Ransomware Expose 500K Patients en 2026 Ingénierie Sociale par IA : Menace Cyber n°1 en 2025 Failles de Sécurité Critiques Découvertes dans l'App Cisco Lance un Outil pour Sécuriser les Déploiements Faille Microsoft 365 Copilot Permet l'Exfiltration de Microsoft Déploie un Fix d'Urgence pour le Bug en 2026 Crimson Collective Exfiltre 12 To via F5 BIG-IP en 2026 Oracle EBS : Zero-Day RCE Exploite en Production en 2026 CVE-2025-64446 : Faille Critique FortiWeb CVSS 9.8

Livres Blancs

14 articles
Livres Blancs Gratuits
Voir tous →
DFIR : Réponse à Incident et Forensics | Guide Expert

DFIR : Réponse à Incident et Forensics | Guide Expert
Zero Trust : Architecture et Déploiement Entreprise

Zero Trust : Architecture et Déploiement Entreprise
Red Team vs Blue Team : Méthodologies et Outils Expert

Red Team vs Blue Team : Méthodologies et Outils Expert
Sécurité Microsoft 365 : Audit et Durcissement Complet

Sécurité Microsoft 365 : Audit et Durcissement Complet
Guide Complet du Pentest Cloud : AWS, Azure et GCP

Guide Complet du Pentest Cloud : AWS, Azure et GCP
Sécurité DevSecOps : Intégrer la Sécurité dans le CI/CD

Sécurité DevSecOps : Intégrer la Sécurité dans le CI/CD
IA Offensive et Défensive en Cybersécurité | Guide 2025

IA Offensive et Défensive en Cybersécurité | Guide 2025
Conformité ISO 27001 : Guide Pratique d'Implémentation

Conformité ISO 27001 : Guide Pratique d'Implémentation
Livre Blanc : Securite Active Directory — Guide Pratique
PDF

Livre Blanc : Securite Active Directory — Guide Pratique
Livre Blanc : Anatomie Attaque Ransomware — Guide Pratique

Livre Blanc : Anatomie Attaque Ransomware — Guide Pratique
Livre Blanc : Pentest Cloud AWS Azure GCP — Guide Pratique

Livre Blanc : Pentest Cloud AWS Azure GCP — Guide Pratique
Livre Blanc : Securite Kubernetes — Guide Pratique

Livre Blanc : Securite Kubernetes — Guide Pratique

Téléchargement gratuit · Aucune inscription requise

Tous les livres blancs
Checklists Sécurité — Audit & Durcissement
Formats disponibles
📄 PDF 📊 Excel 🌐 Web

11 checklists professionnelles couvrant 2 200+ points de contrôle. Téléchargement gratuit, aucune inscription.

Toutes les checklists Demander un audit
Guides Conformité & Réglementations 2026
Audit & Pentest
Pentest Active Directory Pentest Cloud Pentest Kubernetes Pentest Virtualisation Pentest Microsoft 365 Audit Infrastructure Audit Kubernetes Audit Microsoft 365
Conformité & Gouvernance
ISO 27001 EBIOS RM AirCyber — Boost Aerospace
Forensics & Incident
Investigation numérique Réponse à incident Rétro-ingénierie Analyse données chiffrées
Tous les articles Articles IA Livres Blancs Grands Guides Checklists Sécurité Blog Actualités Tech Alertes CVE Recherche avancée
Formations
Normes
ISO 27001 SOC 2 PCI DSS 4.0.1
Certifications France
HDS 2026 SecNumCloud 2026
Réglementations 2026
DORA 2026 NIS 2 AI Act 2026 CRA RGPD 2026
IA & Certifications
ISO 42001 Foundation ISO 42001 Lead Implementer ISO 42001 Lead Auditor
Contact
Checklist Sécurité ANC

📧 Checklist Sécurité Google Workspace

Sécurisation Workspace : 2FA, DLP, OAuth apps, Drive sharing, Gmail SPF/DKIM/DMARC, alertes et journaux d'audit.

34 sections 41 contrôles 20950 mots PDF + Excel

Référentiel complet de sécurisation Google Workspace avec 280 contrôles sur 18 domaines : MFA et authentification, DLP, applications OAuth, partage Drive, protection Gmail (SPF/DKIM/DMARC), configuration des alertes et exploitation des journaux d'audit pour la détection d'incidents.

PDF Excel
📑 Table des matières

CHECKLIST SÉCURITÉ GOOGLE WORKSPACE

AYI NEDJIMI CONSULTANTS (ANC)

Version : 1.0
Date : 2026-04-04
Classification : CONFIDENTIEL
Auteur : AYI NEDJIMI CONSULTANTS
Contact : info@ayi-nedjimi.com

LÉGENDE DES STATUTS

Symbole Statut Description
Conforme Le contrôle est correctement configuré
Non-conforme Le contrôle nécessite une correction immédiate
⚠️ Avertissement Configuration partiellement conforme
N/A Non applicable Le contrôle ne s’applique pas à cet environnement

NIVEAUX DE CRITICITÉ

Couleur Niveau Priorité Description
🔴 Critique P1 Risque sécuritaire majeur, correction immédiate
🟠 Élevé P2 Risque important, correction sous 30 jours
🟡 Moyen P3 Risque modéré, correction sous 90 jours
🟢 Faible P4 Bonnes pratiques, amélioration continue

MODE DÉCOUVERTE RAPIDE — 15 QUESTIONS CLÉS

Évaluation Express (15 minutes)

  1. MFA obligatoire ? ✅❌ Authentification multifacteur activée pour tous les utilisateurs ?
  2. Comptes admin sécurisés ? ✅❌ Comptes super-administrateurs avec MFA et clés de sécurité ?
  3. Partage externe contrôlé ? ✅❌ Partage externe Google Drive restreint ?
  4. DLP configuré ? ✅❌ Règles de prévention des fuites de données en place ?
  5. DMARC renforcé ? ✅❌ Politique DMARC configurée en mode “reject” ?
  6. Applications tierces auditées ? ✅❌ Applications OAuth tierces contrôlées et approuvées ?
  7. Journalisation activée ? ✅❌ Logs d’audit admin et utilisateur activés ?
  8. Gestion des appareils ? ✅❌ MDM configuré pour les appareils mobiles ?
  9. Domaines vérifiés ? ✅❌ Tous les domaines correctement vérifiés ?
  10. Règles de rétention ? ✅❌ Politiques de rétention Gmail/Drive configurées ?
  11. Accès conditionnel ? ✅❌ Context-aware access configuré ?
  12. Alertes sécurite ? ✅❌ Alert Center configuré et monitore ?
  13. Comptes de service ? ✅❌ Comptes de service auditées régulièrement ?
  14. Chiffrement avancé ? ✅❌ Client-side encryption activé si nécessaire ?
  15. Plan incident ? ✅❌ Procédures de réponse aux incidents documentées ?

INFORMATIONS CLIENT

Détails Organisationnels

  • Nom organisation : ________________
  • Domaine principal : ________________
  • Domaines secondaires : ________________
  • Nombre d’utilisateurs : ________________
  • Type licence : ☐ Workspace Business ☐ Enterprise ☐ Education ☐ Autres: ________________
  • Nombre super-admins : ________________
  • Date audit : ________________
  • Auditeur : ________________

Informations Techniques

  • Unités organisationnelles : ________________
  • Intégration SSO/SAML : ☐ Oui ☐ Non - Fournisseur: ________________
  • LDAP Sync : ☐ Oui ☐ Non - Source: ________________
  • Applications tierces critiques : ________________
  • Localisation données : ________________

SECTIONS DE CONTRÔLE

S1 — GESTION DES COMPTES & IDENTITÉS

Cette section couvre la gestion des comptes utilisateurs, rôles administratifs, provisionnement et désactivation des comptes dans Google Workspace.

1.1.1 — Configuration des rôles super-administrateur

Niveau : 🔴
Référence CIS : CIS Google Workspace 1.1
MITRE ATT&CK : T1078.004

Description : Les comptes super-administrateur disposent d’un accès complet à tous les services Google Workspace. Une gestion stricte de ces comptes est essentielle pour prévenir les compromissions et maintenir la sécurité organisationnelle. Le principe du moindre privilège doit être appliqué.

Vérification :

Remédiation :

  1. Limiter le nombre de super-administrateurs à 2-4 maximum
  2. Utiliser des comptes dédiés uniquement pour l’administration
  3. Séparer les comptes d’administration des comptes utilisateurs standards

Valeur par défaut : Un super-administrateur est créé lors de l’inscription

1.1.2 — Authentification multifacteur pour super-administrateurs

Niveau : 🔴
Référence CIS : CIS Google Workspace 1.2
MITRE ATT&CK : T1078.004

Description : L’authentification multifacteur est cruciale pour les comptes à privilèges élevés. Les super-administrateurs doivent utiliser des méthodes MFA robustes comme les clés de sécurité FIDO pour résister aux attaques de phishing avancées.

Vérification :

Remédiation :

  1. Console Admin > Sécurité > Authentification à 2 facteurs
  2. Activer “Appliquer la validation en 2 étapes”
  3. Configurer des clés de sécurité comme méthode principale

Valeur par défaut : MFA optionnel pour tous les utilisateurs

1.1.3 — Comptes de récupération configurés

Niveau : 🟠
Référence CIS : CIS Google Workspace 1.3
MITRE ATT&CK : T1098

Description : Les comptes de récupération permettent de retrouver l’accès administratif en cas de compromission ou perte d’accès des comptes principaux. Ces comptes doivent être sécurisés et utilisés uniquement en cas d’urgence.

Vérification :

Remédiation :

  1. Configurer 1-2 comptes de récupération
  2. Utiliser des adresses email externes sécurisées
  3. Documenter la procédure de récupération

Valeur par défaut : Aucun compte de récupération configuré

1.1.4 — Délégation d’administration limitée

Niveau : 🟡
Référence CIS : CIS Google Workspace 1.4
MITRE ATT&CK : T1098.003

Description : La délégation permet d’accorder des privilèges administratifs granulaires sans donner l’accès super-administrateur complet. Cette approche réduit la surface d’attaque et respecte le principe du moindre privilège.

Vérification :

Remédiation :

  1. Créer des rôles administratifs granulaires
  2. Assigner les privilèges minimum nécessaires
  3. Réviser régulièrement les attributions de rôles

Valeur par défaut : Rôles prédéfinis uniquement disponibles

1.1.5 — Audit des connexions administratives

Niveau : 🟡
Référence CIS : CIS Google Workspace 1.5
MITRE ATT&CK : T1078

Description : Le monitoring des connexions administratives permet de détecter les accès suspects ou non autorisés. Les logs d’audit doivent être configurés pour tracer toutes les activités administratives critiques.

Vérification :

Remédiation :

  1. Activer les rapports d’audit administrateur
  2. Configurer des alertes pour les connexions suspectes
  3. Réviser mensuellement les logs d’accès

Valeur par défaut : Rapports d’audit activés par défaut

1.2.1 — Provisionnement automatique des utilisateurs

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.1
MITRE ATT&CK : T1136

Description : Le provisionnement automatique via LDAP, SAML ou API assure la cohérence entre les systèmes d’identité et réduit les erreurs manuelles. Cette approche améliore la sécurité et l’efficacité opérationnelle.

Vérification :

Remédiation :

  1. Configurer Google Cloud Directory Sync (GCDS) si LDAP
  2. Implémenter SAML provisioning si SSO
  3. Automatiser via Admin SDK API

Valeur par défaut : Création manuelle uniquement

1.2.2 — Désactivation automatique des comptes inactifs

Niveau : 🟠
Référence CIS : CIS Google Workspace 2.2
MITRE ATT&CK : T1078.002

Description : Les comptes inactifs représentent un risque de sécurité car ils peuvent être compromis sans détection. Une politique de désactivation automatique après une période d’inactivité définie renforce la posture sécuritaire.

Vérification :

Remédiation :

  1. Définir une période d’inactivité (ex: 90 jours)
  2. Configurer la suspension automatique
  3. Implémenter un processus de révision avant suppression

Valeur par défaut : Aucune suspension automatique

1.2.3 — Gestion du cycle de vie des comptes

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.3
MITRE ATT&CK : T1098

Description : Un processus formalisé de gestion du cycle de vie (création, modification, suspension, suppression) garantit la traçabilité et la cohérence des opérations sur les comptes utilisateurs.

Vérification :

Remédiation :

  1. Documenter les procédures de cycle de vie
  2. Implémenter des workflows d’approbation
  3. Auditer régulièrement les changements de comptes

Valeur par défaut : Gestion manuelle sans workflow

1.2.4 — Attribution des licences par unité organisationnelle

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.4
MITRE ATT&CK : T1069.003

Description : L’attribution granulaire des licences selon l’unité organisationnelle permet un contrôle précis des fonctionnalités disponibles et optimise les coûts tout en maintenant la sécurité.

Vérification :

Remédiation :

  1. Créer des unités organisationnelles par fonction/département
  2. Attribuer les licences selon les besoins métier
  3. Réviser trimestriellement l’utilisation des licences

Valeur par défaut : Attribution manuelle des licences

1.3.1 — Structure des unités organisationnelles

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.5
MITRE ATT&CK : T1069.003

Description : Une structure d’unités organisationnelles bien conçue facilite l’application de politiques de sécurité granulaires et simplifie la gestion des utilisateurs et des ressources.

Vérification :

Remédiation :

  1. Concevoir une hiérarchie logique (département/fonction)
  2. Limiter la profondeur à 3-4 niveaux maximum
  3. Documenter la structure et les responsabilités

Valeur par défaut : Unité organisationnelle racine uniquement

1.3.2 — Héritage des politiques par OU

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.6
MITRE ATT&CK : T1069.003

Description : L’héritage des politiques permet d’appliquer des configurations de sécurité cohérentes à travers l’organisation tout en permettant des exceptions justifiées pour des unités spécifiques.

Vérification :

Remédiation :

  1. Configurer l’héritage par défaut des politiques
  2. Justifier et documenter les exceptions
  3. Réviser régulièrement les surcharges de politiques

Valeur par défaut : Héritage activé par défaut

1.3.3 — Séparation des environnements par OU

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.7
MITRE ATT&CK : T1078.002

Description : La séparation des environnements (production, test, développement) via les unités organisationnelles renforce l’isolation et permet l’application de politiques de sécurité différenciées.

Vérification :

Remédiation :

  1. Créer des OU distinctes par environnement
  2. Appliquer des politiques restrictives à la production
  3. Limiter les permissions inter-environnements

Valeur par défaut : Aucune séparation d’environnements

1.4.1 — Politique de mots de passe renforcée

Niveau : 🟠
Référence CIS : CIS Google Workspace 3.1
MITRE ATT&CK : T1110.001

Description : Des politiques de mots de passe robustes constituent la première ligne de défense contre les attaques par force brute et les compromissions de comptes. La complexité doit être équilibrée avec l’utilisabilité.

Vérification :

Remédiation :

  1. Longueur minimum 12 caractères
  2. Expiration tous les 180 jours maximum
  3. Interdire la réutilisation des 12 derniers mots de passe

Valeur par défaut : 8 caractères minimum, pas d’expiration

1.4.2 — Historique et réutilisation des mots de passe

Niveau : 🟡
Référence CIS : CIS Google Workspace 3.2
MITRE ATT&CK : T1110.001

Description : L’historique des mots de passe empêche la réutilisation de mots de passe précédents, réduisant les risques liés aux mots de passe compromis ou devinés.

Vérification :

Remédiation :

  1. Conserver l’historique des 12 derniers mots de passe
  2. Empêcher la réutilisation immédiate
  3. Éduquer les utilisateurs sur la création de mots de passe forts

Valeur par défaut : Historique de 1 mot de passe

1.4.3 — Verrouillage de compte après échecs

Niveau : 🟠
Référence CIS : CIS Google Workspace 3.3
MITRE ATT&CK : T1110

Description : Le verrouillage automatique des comptes après plusieurs tentatives de connexion infructueuses protège contre les attaques par force brute et les tentatives de compromission automatisées.

Vérification :

Remédiation :

  1. Verrouiller après 5 tentatives échouées
  2. Durée de verrouillage: 15-30 minutes
  3. Alerter l’administrateur en cas de verrouillages répétés

Valeur par défaut : Verrouillage après 100 tentatives

1.5.1 — Révision périodique des comptes utilisateurs

Niveau : 🟡
Référence CIS : CIS Google Workspace 4.1
MITRE ATT&CK : T1078.002

Description : La révision régulière des comptes utilisateurs permet d’identifier les comptes orphelins, inactifs ou surdimensionnés en termes de privilèges, contribuant à maintenir une posture sécuritaire optimale.

Vérification :

Remédiation :

  1. Planifier des révisions trimestrielles
  2. Identifier les comptes inactifs >90 jours
  3. Valider la nécessité métier de chaque compte

Valeur par défaut : Aucune révision automatique

1.5.2 — Audit des attributions de groupes

Niveau : 🟡
Référence CIS : CIS Google Workspace 4.2
MITRE ATT&CK : T1069.003

Description : L’appartenance aux groupes détermine les accès et privilèges des utilisateurs. Un audit régulier garantit que les permissions restent alignées avec les responsabilités actuelles des utilisateurs.

Vérification :

Remédiation :

  1. Auditer mensuellement les groupes à privilèges
  2. Valider l’appartenance avec les responsables métier
  3. Supprimer les membres non autorisés

Valeur par défaut : Aucun audit automatique des groupes

1.5.3 — Monitoring des changements de privilèges

Niveau : 🟠
Référence CIS : CIS Google Workspace 4.3
MITRE ATT&CK : T1098.003

Description : La surveillance en temps réel des modifications de privilèges permet de détecter les élévations suspectes de droits et de réagir rapidement aux compromissions potentielles.

Vérification :

Remédiation :

  1. Configurer des alertes pour les changements de privilèges
  2. Réviser immédiatement toute élévation non planifiée
  3. Maintenir un log d’approbation des changements

Valeur par défaut : Aucune alerte automatique

1.6.1 — Comptes de service sécurisés

Niveau : 🟠
Référence CIS : CIS Google Workspace 5.1
MITRE ATT&CK : T1078.003

Description : Les comptes de service automatisent les tâches mais représentent un risque s’ils sont mal sécurisés. Ils nécessitent une gestion stricte avec des privilèges minimaux et une rotation régulière des clés.

Vérification :

Remédiation :

  1. Créer des comptes de service dédiés par application
  2. Appliquer le principe du moindre privilège
  3. Rotation des clés tous les 90 jours

Valeur par défaut : Gestion manuelle des comptes de service

1.6.2 — Authentification par clés API sécurisées

Niveau : 🟠
Référence CIS : CIS Google Workspace 5.2
MITRE ATT&CK : T1552.001

Description : Les clés API permettent l’accès programmatique aux services Google Workspace. Leur compromission peut entraîner un accès non autorisé étendu. Une gestion sécurisée est critique.

Vérification :

Remédiation :

  1. Restreindre l’utilisation des clés API par IP/domaine
  2. Rotation automatique tous les 60 jours
  3. Auditer régulièrement l’utilisation des clés

Valeur par défaut : Clés API sans restriction d’usage

1.6.3 — Monitoring de l’utilisation des comptes de service

Niveau : 🟡
Référence CIS : CIS Google Workspace 5.3
MITRE ATT&CK : T1078.003

Description : Le monitoring de l’activité des comptes de service permet de détecter les utilisations anormales ou non autorisées et de maintenir une visibilité sur les accès automatisés.

Vérification :

Remédiation :

  1. Configurer des alertes pour l’usage inhabituel
  2. Réviser mensuellement les logs d’accès
  3. Corréler avec les déploiements d’applications

Valeur par défaut : Aucun monitoring spécifique des comptes de service

1.7.1 — Processus d’offboarding formalisé

Niveau : 🟠
Référence CIS : CIS Google Workspace 6.1
MITRE ATT&CK : T1078.002

Description : Un processus d’offboarding structuré garantit la révocation complète des accès lors des départs d’employés et la sécurisation des données, réduisant les risques de fuite ou d’accès malveillant post-départ.

Vérification :

Remédiation :

  1. Checklist d’offboarding standardisée
  2. Suspension immédiate à la notification de départ
  3. Transfert des données vers le manager sous 48h

Valeur par défaut : Processus manuel non formalisé

1.7.2 — Transfert sécurisé des données utilisateur

Niveau : 🟡
Référence CIS : CIS Google Workspace 6.2
MITRE ATT&CK : T1005

Description : Le transfert des données utilisateur lors des départs doit être sécurisé et audité pour préserver la continuité métier tout en empêchant les fuites de données sensibles.

Vérification :

Remédiation :

  1. Utiliser l’outil de transfert natif Google
  2. Approuver les transferts par le management
  3. Auditer le contenu transféré

Valeur par défaut : Aucun transfert automatique configuré

S1 — GESTION DES COMPTES & IDENTITÉS

Cette section couvre la gestion des comptes utilisateurs, rôles administratifs, provisionnement et désactivation des comptes dans Google Workspace.

1.1.1 — Configuration des rôles super-administrateur

Niveau : 🔴
Référence CIS : CIS Google Workspace 1.1
MITRE ATT&CK : T1078.004

Description : Les comptes super-administrateur disposent d’un accès complet à tous les services Google Workspace. Une gestion stricte de ces comptes est essentielle pour prévenir les compromissions et maintenir la sécurité organisationnelle. Le principe du moindre privilège doit être appliqué.

Vérification :

Remédiation :

  1. Limiter le nombre de super-administrateurs à 2-4 maximum
  2. Utiliser des comptes dédiés uniquement pour l’administration
  3. Séparer les comptes d’administration des comptes utilisateurs standards

Valeur par défaut : Un super-administrateur est créé lors de l’inscription

1.1.2 — Authentification multifacteur pour super-administrateurs

Niveau : 🔴
Référence CIS : CIS Google Workspace 1.2
MITRE ATT&CK : T1078.004

Description : L’authentification multifacteur est cruciale pour les comptes à privilèges élevés. Les super-administrateurs doivent utiliser des méthodes MFA robustes comme les clés de sécurité FIDO pour résister aux attaques de phishing avancées.

Vérification :

Remédiation :

  1. Console Admin > Sécurité > Authentification à 2 facteurs
  2. Activer “Appliquer la validation en 2 étapes”
  3. Configurer des clés de sécurité comme méthode principale

Valeur par défaut : MFA optionnel pour tous les utilisateurs

1.1.3 — Comptes de récupération configurés

Niveau : 🟠
Référence CIS : CIS Google Workspace 1.3
MITRE ATT&CK : T1098

Description : Les comptes de récupération permettent de retrouver l’accès administratif en cas de compromission ou perte d’accès des comptes principaux. Ces comptes doivent être sécurisés et utilisés uniquement en cas d’urgence.

Vérification :

Remédiation :

  1. Configurer 1-2 comptes de récupération
  2. Utiliser des adresses email externes sécurisées
  3. Documenter la procédure de récupération

Valeur par défaut : Aucun compte de récupération configuré

1.1.4 — Délégation d’administration limitée

Niveau : 🟡
Référence CIS : CIS Google Workspace 1.4
MITRE ATT&CK : T1098.003

Description : La délégation permet d’accorder des privilèges administratifs granulaires sans donner l’accès super-administrateur complet. Cette approche réduit la surface d’attaque et respecte le principe du moindre privilège.

Vérification :

Remédiation :

  1. Créer des rôles administratifs granulaires
  2. Assigner les privilèges minimum nécessaires
  3. Réviser régulièrement les attributions de rôles

Valeur par défaut : Rôles prédéfinis uniquement disponibles

1.1.5 — Audit des connexions administratives

Niveau : ��
Référence CIS : CIS Google Workspace 1.5
MITRE ATT&CK : T1078

Description : Le monitoring des connexions administratives permet de détecter les accès suspects ou non autorisés. Les logs d’audit doivent être configurés pour tracer toutes les activités administratives critiques.

Vérification :

Remédiation :

  1. Activer les rapports d’audit administrateur
  2. Configurer des alertes pour les connexions suspectes
  3. Réviser mensuellement les logs d’accès

Valeur par défaut : Rapports d’audit activés par défaut

1.2.1 — Provisionnement automatique des utilisateurs

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.1
MITRE ATT&CK : T1136

Description : Le provisionnement automatique via LDAP, SAML ou API assure la cohérence entre les systèmes d’identité et réduit les erreurs manuelles. Cette approche améliore la sécurité et l’efficacité opérationnelle.

Vérification :

Remédiation :

  1. Configurer Google Cloud Directory Sync (GCDS) si LDAP
  2. Implémenter SAML provisioning si SSO
  3. Automatiser via Admin SDK API

Valeur par défaut : Création manuelle uniquement

1.2.2 — Désactivation automatique des comptes inactifs

Niveau : 🟠
Référence CIS : CIS Google Workspace 2.2
MITRE ATT&CK : T1078.002

Description : Les comptes inactifs représentent un risque de sécurité car ils peuvent être compromis sans détection. Une politique de désactivation automatique après une période d’inactivité définie renforce la posture sécuritaire.

Vérification :

Remédiation :

  1. Définir une période d’inactivité (ex: 90 jours)
  2. Configurer la suspension automatique
  3. Implémenter un processus de révision avant suppression

Valeur par défaut : Aucune suspension automatique

1.2.3 — Gestion du cycle de vie des comptes

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.3
MITRE ATT&CK : T1098

Description : Un processus formalisé de gestion du cycle de vie (création, modification, suspension, suppression) garantit la traçabilité et la cohérence des opérations sur les comptes utilisateurs.

Vérification :

Remédiation :

  1. Documenter les procédures de cycle de vie
  2. Implémenter des workflows d’approbation
  3. Auditer régulièrement les changements de comptes

Valeur par défaut : Gestion manuelle sans workflow

1.2.4 — Attribution des licences par unité organisationnelle

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.4
MITRE ATT&CK : T1069.003

Description : L’attribution granulaire des licences selon l’unité organisationnelle permet un contrôle précis des fonctionnalités disponibles et optimise les coûts tout en maintenant la sécurité.

Vérification :

Remédiation :

  1. Créer des unités organisationnelles par fonction/département
  2. Attribuer les licences selon les besoins métier
  3. Réviser trimestriellement l’utilisation des licences

Valeur par défaut : Attribution manuelle des licences

1.3.1 — Structure des unités organisationnelles

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.5
MITRE ATT&CK : T1069.003

Description : Une structure d’unités organisationnelles bien conçue facilite l’application de politiques de sécurité granulaires et simplifie la gestion des utilisateurs et des ressources.

Vérification :

Remédiation :

  1. Concevoir une hiérarchie logique (département/fonction)
  2. Limiter la profondeur à 3-4 niveaux maximum
  3. Documenter la structure et les responsabilités

Valeur par défaut : Unité organisationnelle racine uniquement

1.3.2 — Héritage des politiques par OU

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.6
MITRE ATT&CK : T1069.003

Description : L’héritage des politiques permet d’appliquer des configurations de sécurité cohérentes à travers l’organisation tout en permettant des exceptions justifiées pour des unités spécifiques.

Vérification :

Remédiation :

  1. Configurer l’héritage par défaut des politiques
  2. Justifier et documenter les exceptions
  3. Réviser régulièrement les surcharges de politiques

Valeur par défaut : Héritage activé par défaut

1.4.1 — Politique de mots de passe renforcée

Niveau : 🟠
Référence CIS : CIS Google Workspace 3.1
MITRE ATT&CK : T1110.001

Description : Des politiques de mots de passe robustes constituent la première ligne de défense contre les attaques par force brute et les compromissions de comptes. La complexité doit être équilibrée avec l’utilisabilité.

Vérification :

Remédiation :

  1. Longueur minimum 12 caractères
  2. Expiration tous les 180 jours maximum
  3. Interdire la réutilisation des 12 derniers mots de passe

Valeur par défaut : 8 caractères minimum, pas d’expiration

1.5.1 — Révision périodique des comptes utilisateurs

Niveau : 🟡
Référence CIS : CIS Google Workspace 4.1
MITRE ATT&CK : T1078.002

Description : La révision régulière des comptes utilisateurs permet d’identifier les comptes orphelins, inactifs ou surdimensionnés en termes de privilèges, contribuant à maintenir une posture sécuritaire optimale.

Vérification :

Remédiation :

  1. Planifier des révisions trimestrielles
  2. Identifier les comptes inactifs >90 jours
  3. Valider la nécessité métier de chaque compte

Valeur par défaut : Aucune révision automatique

S2 — AUTHENTIFICATION & MFA

Cette section traite de l’authentification multifacteur, des politiques de connexion, du SSO/SAML et de la sécurité des sessions utilisateur.

2.1.1 — Authentification à deux facteurs obligatoire

Niveau : 🔴
Référence CIS : CIS Google Workspace 1.1.1
MITRE ATT&CK : T1078

Description : L’authentification à deux facteurs (2FA/MFA) est essentielle pour protéger les comptes contre les compromissions par mot de passe. Elle doit être obligatoire pour tous les utilisateurs sans exception.

Vérification :

Remédiation :

  1. Console Admin > Sécurité > Authentification à 2 facteurs
  2. Activer “Appliquer la validation en 2 étapes”
  3. Définir une période de grâce de 1 semaine maximum

Valeur par défaut : MFA optionnel

2.1.2 — Méthodes MFA autorisées

Niveau : 🟠
Référence CIS : CIS Google Workspace 1.1.2
MITRE ATT&CK : T1111

Description : Toutes les méthodes MFA ne présentent pas le même niveau de sécurité. Les clés de sécurité FIDO offrent la meilleure protection contre le phishing, tandis que les SMS sont vulnérables aux attaques SIM swapping.

Vérification :

Remédiation :

  1. Privilégier les clés de sécurité FIDO/WebAuthn
  2. Autoriser Google Authenticator en complément
  3. Désactiver les SMS sauf cas d’usage justifiés

Valeur par défaut : Toutes les méthodes autorisées

2.1.3 — Codes de récupération sécurisés

Niveau : 🟡
Référence CIS : CIS Google Workspace 1.1.3
MITRE ATT&CK : T1078

Description : Les codes de récupération permettent aux utilisateurs de retrouver l’accès en cas de perte du second facteur. Ils doivent être gérés de manière sécurisée et avoir une durée de vie limitée.

Vérification :

Remédiation :

  1. Générer automatiquement 10 codes de récupération
  2. Expirer les codes après 12 mois
  3. Informer les utilisateurs du stockage sécurisé

Valeur par défaut : 10 codes de récupération permanents

2.1.4 — Clés de sécurité pour comptes privilégiés

Niveau : 🔴
Référence CIS : CIS Google Workspace 1.1.4
MITRE ATT&CK : T1078.004

Description : Les comptes administrateurs et privilégiés sont des cibles prioritaires. L’utilisation obligatoire de clés de sécurité FIDO offre une protection maximale contre les attaques de phishing avancées.

Vérification :

Remédiation :

  1. Exiger les clés FIDO pour tous les administrateurs
  2. Désactiver les autres méthodes MFA pour ces comptes
  3. Fournir des clés de sauvegarde

Valeur par défaut : Toutes méthodes MFA autorisées pour les admins

2.1.5 — Politique de session et timeout

Niveau : 🟡
Référence CIS : CIS Google Workspace 1.1.5
MITRE ATT&CK : T1185

Description : La gestion des sessions limite l’exposition en cas d’abandon de session ou de compromission d’un poste de travail. Les timeouts doivent être équilibrés entre sécurité et productivité.

Vérification :

Remédiation :

  1. Configurer un timeout de session à 8 heures
  2. Exiger une ré-authentification pour les actions sensibles
  3. Configurer la déconnexion automatique en cas d’inactivité

Valeur par défaut : Session persistante jusqu’à 14 jours

2.2.1 — Configuration SSO/SAML sécurisée

Niveau : 🟠
Référence CIS : CIS Google Workspace 2.1.1
MITRE ATT&CK : T1078

Description : Le Single Sign-On SAML centralise l’authentification et peut renforcer la sécurité s’il est correctement configuré. La validation des certificats et le chiffrement des assertions sont cruciaux.

Vérification :

Remédiation :

  1. Utiliser uniquement HTTPS pour les endpoints SAML
  2. Valider les certificats X.509 du fournisseur d’identité
  3. Chiffrer les assertions SAML

Valeur par défaut : SSO désactivé

2.2.2 — Fournisseur d’identité de confiance

Niveau : 🟠
Référence CIS : CIS Google Workspace 2.1.2
MITRE ATT&CK : T1078

Description : Le fournisseur d’identité SSO doit être durci et maintenu à jour. Sa compromission affecterait l’ensemble de l’écosystème Google Workspace.

Vérification :

  • Console Admin > Sécurité > Configuration SSO > URL de connexion
  • Vérification manuelle de la configuration du fournisseur d’identité
  • Audit des logs du fournisseur d’identité

Remédiation :

  1. Appliquer les mises à jour sécurité du fournisseur d’identité
  2. Configurer MFA sur le fournisseur d’identité
  3. Auditer régulièrement les configurations

Valeur par défaut : Configuration selon le fournisseur d’identité

2.2.3 — Validation des certificats SAML

Niveau : 🟠
Référence CIS : CIS Google Workspace 2.1.3
MITRE ATT&CK : T1556.006

Description : La validation stricte des certificats SAML empêche les attaques man-in-the-middle et garantit l’intégrité des échanges d’authentification.

Vérification :

  • Console Admin > Sécurité > Configuration SSO > Certificat de vérification
  • Vérification de la chaîne de certificats
  • Validation des dates d’expiration

Remédiation :

  1. Utiliser des certificats signés par une AC de confiance
  2. Configurer la validation stricte des certificats
  3. Planifier le renouvellement avant expiration

Valeur par défaut : Validation selon configuration

2.2.4 — Mappage des attributs SAML

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.1.4
MITRE ATT&CK : T1078

Description : Le mappage correct des attributs SAML garantit que les utilisateurs reçoivent les bonnes permissions et appartenances aux groupes lors de l’authentification SSO.

Vérification :

  • Console Admin > Sécurité > Configuration SSO > Mappage des attributs
  • Vérification des groupes assignés automatiquement
  • Test du provisionnement automatique

Remédiation :

  1. Mapper les attributs utilisateur essentiels (nom, email, groupes)
  2. Tester le provisionnement avec des comptes de test
  3. Valider les permissions assignées automatiquement

Valeur par défaut : Mappage basique email/nom

2.2.5 — Fallback d’authentification sécurisé

Niveau : 🟡
Référence CIS : CIS Google Workspace 2.1.5
MITRE ATT&CK : T1078

Description : En cas de panne du fournisseur d’identité SSO, un mécanisme de fallback doit permettre l’accès d’urgence tout en maintenant la sécurité.

Vérification :

  • Console Admin > Sécurité > Configuration SSO > Comptes de contournement
  • Test des comptes d’urgence
  • Documentation des procédures de fallback

Remédiation :

  1. Configurer des comptes d’administrateur de contournement
  2. Documenter les procédures d’urgence
  3. Tester régulièrement les mécanismes de fallback

Valeur par défaut : Authentification Google Workspace native

2.3.1 — Restriction d’accès par géolocalisation

Niveau : 🟡
Référence CIS : CIS Google Workspace 3.1.1
MITRE ATT&CK : T1078

Description : Les restrictions géographiques peuvent limiter l’exposition aux attaques depuis des pays à risque, bien qu’elles doivent être configurées avec précaution pour ne pas impacter les utilisateurs légitimes.

Vérification :

Remédiation :

  1. Identifier les pays d’opération légitimes
  2. Bloquer les pays à haut risque si applicable
  3. Configurer des alertes pour les connexions inhabituelles

Valeur par défaut : Aucune restriction géographique

2.3.2 — Contrôle d’accès par plages IP

Niveau : 🟡
Référence CIS : CIS Google Workspace 3.1.2
MITRE ATT&CK : T1078

Description : La restriction par plages IP peut renforcer la sécurité pour certaines unités organisationnelles sensibles, en limitant l’accès aux réseaux d’entreprise approuvés.

Vérification :

Remédiation :

  1. Définir les plages IP de l’entreprise
  2. Configurer des exceptions pour les utilisateurs mobiles
  3. Prévoir une procédure de déblocage d’urgence

Valeur par défaut : Aucune restriction IP

2.3.3 — Context-Aware Access (Accès contextuel)

Niveau : 🟠
Référence CIS : CIS Google Workspace 3.1.3
MITRE ATT&CK : T1078

Description : L’accès contextuel analyse plusieurs facteurs (localisation, appareil, réseau) pour autoriser ou refuser l’accès, offrant une sécurité adaptative sans friction excessive pour l’utilisateur.

Vérification :

  • Console Admin > Sécurité > Context-Aware Access
  • Google Cloud Console > BeyondCorp Enterprise
  • Analyse des niveaux d’accès configurés

Remédiation :

  1. Configurer des niveaux d’accès selon le contexte
  2. Définir des politiques pour les appareils gérés/non-gérés
  3. Implémenter progressivement par unité organisationnelle

Valeur par défaut : Context-Aware Access désactivé

2.3.4 — Gestion des appareils de confiance

Niveau : 🟠
Référence CIS : CIS Google Workspace 3.1.4
MITRE ATT&CK : T1078

Description : L’identification et la gestion des appareils de confiance permettent d’appliquer des politiques de sécurité différenciées selon que l’appareil est géré par l’entreprise ou non.

Vérification :

  • Console Admin > Appareils > Appareils mobiles
  • Console Admin > Appareils > Points de terminaison
  • gam print mobile query ‘status:APPROVED’

Remédiation :

  1. Inventorier tous les appareils accédant aux services
  2. Configurer des politiques pour appareils gérés/non-gérés
  3. Exiger l’enregistrement pour les appareils sensibles

Valeur par défaut : Tous les appareils autorisés par défaut

2.4.1 — Alertes de connexions suspectes

Niveau : 🟡
Référence CIS : CIS Google Workspace 4.1.1
MITRE ATT&CK : T1078

Description : Les alertes automatiques pour les connexions inhabituelles (géolocalisation, horaires, appareils) permettent une détection rapide des compromissions de comptes.

Vérification :

Remédiation :

  1. Configurer les alertes pour connexions géographiquement anormales
  2. Activer les alertes pour nouveaux appareils
  3. Définir les destinataires des alertes de sécurité

Valeur par défaut : Alertes de base configurées

2.4.2 — Monitoring des échecs d’authentification

Niveau : 🟡
Référence CIS : CIS Google Workspace 4.1.2
MITRE ATT&CK : T1110

Description : Le suivi des tentatives d’authentification échouées aide à identifier les attaques par force brute et les tentatives de compromission de comptes utilisateur.

Vérification :

Remédiation :

  1. Configurer des seuils d’alerte pour les échecs répétés
  2. Analyser les patterns d’attaque
  3. Bloquer automatiquement après X tentatives échouées

Valeur par défaut : Logs disponibles sans alertes automatiques

2.4.3 — Analyse des patterns de connexion

Niveau : 🟢
Référence CIS : CIS Google Workspace 4.1.3
MITRE ATT&CK : T1078

Description : L’analyse comportementale des patterns de connexion (horaires, fréquence, géolocalisation) permet d’établir des baselines et de détecter les anomalies.

Vérification :

  • Console Admin > Rapports > Rapports d’audit > Connexion > Analyse des tendances
  • Outils d’analyse des logs (Google Cloud Logging)
  • Tableaux de bord de monitoring personnalisés

Remédiation :

  1. Établir des baselines comportementales par utilisateur
  2. Configurer des alertes pour les déviations significatives
  3. Corréler avec les événements de sécurité

Valeur par défaut : Aucune analyse comportementale automatique

2.5.1 — Gestion des sessions concurrentes

Niveau : 🟡
Référence CIS : CIS Google Workspace 5.1.1
MITRE ATT&CK : T1185

Description : La limitation du nombre de sessions simultanées par utilisateur réduit les risques de partage de comptes et limite l’exposition en cas de compromission.

Vérification :

  • Console Admin > Sécurité > Paramètres de session > Sessions simultanées
  • Monitoring des sessions actives par utilisateur
  • Analyse des connexions multiples suspectes

Remédiation :

  1. Limiter à 3-5 sessions simultanées maximum par utilisateur
  2. Configurer la déconnexion des sessions les plus anciennes
  3. Alerter en cas de sessions simultanées géographiquement distantes

Valeur par défaut : Sessions simultanées illimitées

2.5.2 — Révocation de sessions à distance

Niveau : 🟡
Référence CIS : CIS Google Workspace 5.1.2
MITRE ATT&CK : T1185

Description : La capacité de révoquer à distance les sessions actives est essentielle en cas de compromission suspected ou de perte d’appareil.

Vérification :

Remédiation :

  1. Former les administrateurs à la révocation de sessions
  2. Documenter les procédures d’urgence
  3. Tester régulièrement la fonctionnalité

Valeur par défaut : Révocation manuelle disponible

2.6.1 — Audit des méthodes d’authentification

Niveau : 🟡
Référence CIS : CIS Google Workspace 6.1.1
MITRE ATT&CK : T1078

Description : L’audit régulier des méthodes d’authentification configurées par les utilisateurs permet d’identifier les configurations faibles ou obsolètes.

Vérification :

Remédiation :

  1. Auditer mensuellement les méthodes MFA configurées
  2. Identifier les utilisateurs utilisant uniquement des méthodes faibles
  3. Forcer la mise à jour vers des méthodes plus sécurisées

Valeur par défaut : Aucun audit automatique

S3 — GMAIL — SÉCURITÉ EMAIL

Cette section couvre la sécurité des emails Gmail, incluant SPF, DKIM, DMARC, la protection contre le phishing et la prévention des fuites de données.

3.1.1 — Configuration SPF (Sender Policy Framework)

Niveau : 🔴
Référence CIS : CIS Google Workspace 7.1
MITRE ATT&CK : T1566.001

Description : SPF authentifie les serveurs autorisés à envoyer des emails au nom du domaine, réduisant significativement le risque d’usurpation d’identité et de phishing. Une configuration stricte est essentielle.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Authentifier les emails
  • nslookup -type=TXT domain.com | grep ‘v=spf1’
  • dig TXT domain.com | grep SPF

Remédiation :

  1. Configurer un enregistrement SPF strict avec ‘-all’
  2. Inclure uniquement les serveurs email autorisés
  3. Tester avec des outils de validation SPF

Valeur par défaut : SPF non configuré par défaut

3.1.2 — Configuration DKIM (DomainKeys Identified Mail)

Niveau : 🔴
Référence CIS : CIS Google Workspace 7.2
MITRE ATT&CK : T1566.001

Description : DKIM signe cryptographiquement les emails sortants, permettant aux destinataires de vérifier l’intégrité et l’authenticité des messages. Cette signature empêche la modification en transit.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Authentifier les emails > DKIM
  • nslookup -type=TXT google._domainkey.domain.com
  • Vérification de la signature DKIM sur emails envoyés

Remédiation :

  1. Activer DKIM pour tous les domaines
  2. Générer des clés DKIM de 2048 bits minimum
  3. Publier les clés publiques dans les enregistrements DNS

Valeur par défaut : DKIM désactivé par défaut

3.1.3 — Configuration DMARC stricte

Niveau : 🔴
Référence CIS : CIS Google Workspace 7.3
MITRE ATT&CK : T1566.001

Description : DMARC utilise SPF et DKIM pour définir la politique de traitement des emails non authentifiés. Une politique ‘reject’ strict empêche la livraison d’emails usurpés.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Authentifier les emails > DMARC
  • nslookup -type=TXT _dmarc.domain.com
  • Analyse des rapports DMARC

Remédiation :

  1. Commencer par ‘p=none’ pour collecter des données
  2. Progresser vers ‘p=quarantine’ puis ‘p=reject’
  3. Configurer des adresses de rapport RUA et RUF

Valeur par défaut : DMARC non configuré

3.1.4 — Authentification BIMI (Brand Indicators for Message Identification)

Niveau : 🟢
Référence CIS : CIS Google Workspace 7.4
MITRE ATT&CK : T1566.001

Description : BIMI affiche le logo de l’entreprise dans les clients email pour les messages authentifiés, renforçant la reconnaissance de marque et la confiance des destinataires.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Authentifier les emails > BIMI
  • nslookup -type=TXT default._bimi.domain.com
  • Test d’affichage du logo dans Gmail

Remédiation :

  1. Obtenir un certificat VMC (Verified Mark Certificate)
  2. Configurer l’enregistrement BIMI avec le logo SVG
  3. Vérifier que DMARC est en mode ‘quarantine’ ou ‘reject’

Valeur par défaut : BIMI non configuré

3.2.1 — Protection anti-phishing avancée

Niveau : 🟠
Référence CIS : CIS Google Workspace 8.1
MITRE ATT&CK : T1566.002

Description : La protection anti-phishing utilise l’intelligence artificielle et l’analyse comportementale pour détecter les tentatives de hameçonnage sophistiquées, incluant les attaques de spear phishing ciblées.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Sécurité > Anti-phishing
  • Console Admin > Centre d’alertes > Alertes de phishing
  • Test avec des emails de phishing simulés

Remédiation :

  1. Activer la protection anti-phishing pour tous les utilisateurs
  2. Configurer des alertes pour tentatives de phishing détectées
  3. Former les utilisateurs à la reconnaissance du phishing

Valeur par défaut : Protection de base activée

3.2.2 — Analyse des pièces jointes malveillantes

Niveau : 🟠
Référence CIS : CIS Google Workspace 8.2
MITRE ATT&CK : T1566.001

Description : L’analyse des pièces jointes en temps réel détecte les malwares et les documents malveillants avant leur ouverture par les utilisateurs, utilisant des techniques de sandboxing.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Sécurité > Protection contre les programmes malveillants
  • Test avec des fichiers de test EICAR
  • Analyse des logs de détection

Remédiation :

  1. Activer l’analyse en temps réel des pièces jointes
  2. Configurer la mise en quarantaine automatique
  3. Bloquer les types de fichiers à haut risque

Valeur par défaut : Analyse de base activée

3.2.3 — Protection des liens malveillants

Niveau : 🟠
Référence CIS : CIS Google Workspace 8.3
MITRE ATT&CK : T1566.002

Description : La réécriture et l’analyse des liens en temps réel protègent contre les sites web malveillants et les tentatives de redirection vers des pages de phishing.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Sécurité > Protection des liens
  • Test avec des liens malveillants connus
  • Vérification de la réécriture des URL

Remédiation :

  1. Activer la réécriture de tous les liens
  2. Configurer l’analyse en temps réel au clic
  3. Bloquer l’accès aux sites de réputation douteuse

Valeur par défaut : Protection de base des liens

3.2.4 — Quarantaine administrative

Niveau : 🟡
Référence CIS : CIS Google Workspace 8.4
MITRE ATT&CK : T1566

Description : La quarantaine administrative permet de retenir les messages suspects pour analyse manuelle avant livraison, offrant un contrôle granulaire sur les emails potentiellement dangereux.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Conformité > Quarantaine administrative
  • Interface de gestion de la quarantaine
  • Statistiques des messages en quarantaine

Remédiation :

  1. Configurer des règles de quarantaine pour messages suspects
  2. Définir des reviewers autorisés
  3. Établir des SLA de review (ex: 2h max)

Valeur par défaut : Quarantaine manuelle uniquement

3.3.1 — Règles DLP pour emails sensibles

Niveau : 🟠
Référence CIS : CIS Google Workspace 9.1
MITRE ATT&CK : T1041

Description : Les règles de prévention des fuites de données (DLP) détectent et bloquent l’envoi d’informations sensibles par email, protégeant la confidentialité et la conformité réglementaire.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Conformité > Prévention contre la perte de données
  • Test avec des données sensibles fictives
  • Analyse des violations DLP détectées

Remédiation :

  1. Configurer des règles pour numéros de cartes bancaires, SSN
  2. Détecter les documents confidentiels en pièce jointe
  3. Bloquer ou alerter selon le niveau de sensibilité

Valeur par défaut : Aucune règle DLP configurée

3.3.2 — Chiffrement des emails sensibles

Niveau : 🟠
Référence CIS : CIS Google Workspace 9.2
MITRE ATT&CK : T1041

Description : Le chiffrement automatique des emails contenant des données sensibles garantit la confidentialité en transit et au repos, même si les messages sont interceptés.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Conformité > Chiffrement des emails
  • Test d’envoi d’emails avec données sensibles
  • Vérification du chiffrement côté destinataire

Remédiation :

  1. Activer le chiffrement automatique pour données réglementées
  2. Configurer S/MIME pour les emails externes
  3. Utiliser le mode confidentiel Gmail pour données très sensibles

Valeur par défaut : Chiffrement TLS uniquement

3.3.3 — Mode confidentiel Gmail

Niveau : 🟡
Référence CIS : CIS Google Workspace 9.3
MITRE ATT&CK : T1041

Description : Le mode confidentiel permet de contrôler l’accès aux emails sensibles avec expiration, restriction de copie/impression et authentification du destinataire.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Paramètres utilisateur > Mode confidentiel
  • Test d’envoi en mode confidentiel
  • Vérification des contrôles d’accès

Remédiation :

  1. Activer le mode confidentiel pour tous les utilisateurs
  2. Former les utilisateurs à son utilisation appropriée
  3. Configurer des modèles pour emails récurrents sensibles

Valeur par défaut : Mode confidentiel disponible mais optionnel

3.3.4 — Étiquetage automatique des emails

Niveau : 🟡
Référence CIS : CIS Google Workspace 9.4
MITRE ATT&CK : T1041

Description : L’étiquetage automatique classifie les emails selon leur niveau de sensibilité, facilitant l’application de politiques de sécurité appropriées et la traçabilité.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Conformité > Classification des contenus
  • Vérification des étiquettes appliquées automatiquement
  • Statistiques de classification

Remédiation :

  1. Configurer des règles de classification par contenu
  2. Utiliser des étiquettes visuelles claires (Confidentiel, Public, etc.)
  3. Intégrer avec les politiques DLP

Valeur par défaut : Aucun étiquetage automatique

3.4.1 — Restrictions de transfert externe

Niveau : 🟠
Référence CIS : CIS Google Workspace 10.1
MITRE ATT&CK : T1041

Description : Les restrictions de transfert limitent l’envoi d’emails vers des domaines externes spécifiques, réduisant les risques de fuite de données accidentelle ou malveillante.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Conformité > Règles de routage
  • Test d’envoi vers domaines bloqués/autorisés
  • Logs des emails bloqués

Remédiation :

  1. Créer une liste blanche de domaines partenaires autorisés
  2. Bloquer l’envoi vers des domaines de messagerie gratuite
  3. Configurer des alertes pour tentatives de contournement

Valeur par défaut : Aucune restriction de transfert

3.4.2 — Validation des destinataires externes

Niveau : 🟡
Référence CIS : CIS Google Workspace 10.2
MITRE ATT&CK : T1041

Description : La validation des destinataires externes avertit les utilisateurs lors de l’envoi vers des adresses externes et peut exiger une confirmation pour les emails sensibles.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Conformité > Avertissements externes
  • Test d’envoi d’emails vers destinataires externes
  • Configuration des messages d’avertissement

Remédiation :

  1. Activer les avertissements pour tous les destinataires externes
  2. Exiger une double confirmation pour emails avec pièces jointes
  3. Personnaliser les messages d’avertissement

Valeur par défaut : Aucun avertissement configuré

3.4.3 — Archivage et rétention des emails

Niveau : 🟡
Référence CIS : CIS Google Workspace 10.3
MITRE ATT&CK : T1005

Description : Les politiques d’archivage et de rétention garantissent la conservation appropriée des emails pour la conformité réglementaire et la récupération en cas de litige.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Paramètres utilisateur > Rétention des emails
  • Google Vault > Règles de rétention
  • Vérification de l’application des politiques

Remédiation :

  1. Définir des périodes de rétention selon le type d’email
  2. Configurer l’archivage automatique dans Vault
  3. Documenter les politiques de conservation

Valeur par défaut : Conservation illimitée dans Gmail

3.5.1 — Journalisation des emails

Niveau : 🟡
Référence CIS : CIS Google Workspace 11.1
MITRE ATT&CK : T1005

Description : La journalisation capture automatiquement tous les emails entrants et sortants pour audit, investigation et conformité réglementaire.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Conformité > Journalisation des emails
  • Vérification des emails journalisés
  • Configuration du compte de réception des journaux

Remédiation :

  1. Activer la journalisation pour tous les emails
  2. Configurer un compte dédié sécurisé pour les journaux
  3. Définir les règles de rétention des journaux

Valeur par défaut : Journalisation désactivée

3.5.2 — Monitoring des patterns d’emails suspects

Niveau : 🟡
Référence CIS : CIS Google Workspace 11.2
MITRE ATT&CK : T1566

Description : L’analyse des patterns d’emails (volume anormal, destinataires inhabituels, horaires suspects) permet de détecter les compromissions de comptes et les attaques internes.

Vérification :

  • Console Admin > Rapports > Gmail > Activité Gmail
  • Google Cloud Security Command Center (si configuré)
  • Analyse des logs d’audit Gmail

Remédiation :

  1. Configurer des seuils d’alerte pour volumes anormaux
  2. Détecter les envois en masse inhabituels
  3. Analyser les patterns temporels suspects

Valeur par défaut : Aucun monitoring automatique des patterns

3.5.3 — Alertes de sécurité Gmail

Niveau : 🟡
Référence CIS : CIS Google Workspace 11.3
MITRE ATT&CK : T1566

Description : Les alertes de sécurité Gmail notifient proactivement les administrateurs des événements de sécurité critiques liés à la messagerie électronique.

Vérification :

  • Console Admin > Centre d’alertes > Gmail
  • Configuration des notifications par email
  • Test des alertes avec des événements simulés

Remédiation :

  1. Configurer des alertes pour détection de phishing
  2. Activer les notifications de malware détecté
  3. Définir les destinataires appropriés pour chaque type d’alerte

Valeur par défaut : Alertes de base configurées

3.6.1 — Signature email obligatoire

Niveau : 🟡
Référence CIS : CIS Google Workspace 12.1
MITRE ATT&CK : T1566.001

Description : Les signatures email standardisées renforcent l’identité de l’expéditeur et peuvent inclure des éléments de sécurité comme des disclaimers légaux.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Paramètres utilisateur > Signatures email
  • Vérification de l’application automatique des signatures
  • Contrôle de la conformité des signatures

Remédiation :

  1. Créer des modèles de signature standardisés
  2. Forcer l’application automatique des signatures
  3. Inclure des disclaimers de confidentialité

Valeur par défaut : Signatures optionnelles et manuelles

3.6.2 — Désactivation du transfert automatique externe

Niveau : 🟠
Référence CIS : CIS Google Workspace 12.2
MITRE ATT&CK : T1114.003

Description : Le transfert automatique vers des adresses externes peut entraîner des fuites de données massives. Cette fonctionnalité doit être strictement contrôlée ou désactivée.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Paramètres utilisateur > Transfert d’emails
  • Audit des règles de transfert configurées par les utilisateurs
  • gam print users delegate

Remédiation :

  1. Désactiver le transfert automatique vers adresses externes
  2. Auditer les règles de transfert existantes
  3. Configurer des alertes pour nouvelles règles de transfert

Valeur par défaut : Transfert automatique autorisé

3.6.3 — Contrôle des délégations de boîtes mail

Niveau : 🟡
Référence CIS : CIS Google Workspace 12.3
MITRE ATT&CK : T1114.002

Description : Les délégations permettent à d’autres utilisateurs d’accéder à une boîte mail. Ces permissions doivent être contrôlées et auditées régulièrement.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Paramètres utilisateur > Délégation
  • gam print users delegate
  • Audit périodique des délégations actives

Remédiation :

  1. Limiter les délégations au strict nécessaire
  2. Exiger une approbation managériale pour les délégations
  3. Réviser trimestriellement toutes les délégations

Valeur par défaut : Délégations autorisées sans restriction

3.7.1 — Configuration S/MIME pour chiffrement email

Niveau : 🟢
Référence CIS : CIS Google Workspace 13.1
MITRE ATT&CK : T1041

Description : S/MIME fournit un chiffrement de bout en bout et une signature numérique pour les emails les plus sensibles, offrant une protection cryptographique forte.

Vérification :

  • Console Admin > Applications > Google Workspace > Gmail > Conformité > S/MIME
  • Vérification de l’installation des certificats utilisateur
  • Test d’envoi d’emails chiffrés S/MIME

Remédiation :

  1. Déployer des certificats S/MIME pour utilisateurs sensibles
  2. Configurer les politiques de chiffrement automatique
  3. Former les utilisateurs à l’usage de S/MIME

Valeur par défaut : S/MIME non configuré

S4 — GOOGLE DRIVE & PARTAGE

Cette section traite de la sécurité Google Drive, incluant les politiques de partage, la protection des données et la gestion des accès aux fichiers.

4.1.1 — Restrictions de partage externe

Niveau : 🔴
Référence CIS : CIS Google Workspace 5.1
MITRE ATT&CK : T1567.002

Description : Le partage externe non contrôlé représente un risque majeur de fuite de données. Les restrictions doivent être configurées selon les besoins métier tout en maintenant la sécurité.

Vérification :

  • Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres de partage
  • Test de partage avec utilisateurs externes
  • Audit des fichiers partagés externement

Remédiation :

  1. Restreindre le partage aux domaines approuvés uniquement
  2. Désactiver le partage public par liens
  3. Exiger une approbation pour le partage sensible

Valeur par défaut : Partage externe autorisé par défaut

4.1.2 — Contrôle des liens de partage

Niveau : 🟠
Référence CIS : CIS Google Workspace 5.2
MITRE ATT&CK : T1567.002

Description : Les liens de partage permettent un accès facile mais peuvent être interceptés ou partagés involontairement. Leur contrôle est essentiel pour la sécurité des données.

Vérification :

  • Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres de partage > Options de lien
  • Analyse des liens publics existants
  • Test de création de liens avec différents paramètres

Remédiation :

  1. Désactiver les liens publics ‘Accessible à tous sur le web’
  2. Exiger une authentification pour les liens partagés
  3. Configurer l’expiration automatique des liens

Valeur par défaut : Tous types de liens autorisés

4.1.3 — Permissions par défaut restrictives

Niveau : 🟠
Référence CIS : CIS Google Workspace 5.3
MITRE ATT&CK : T1567.002

Description : Les permissions par défaut doivent suivre le principe du moindre privilège, en accordant uniquement les accès minimaux nécessaires et en évitant les permissions d’édition par défaut.

Vérification :

  • Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres de partage > Permissions par défaut
  • Test de création de nouveaux documents
  • Analyse des permissions couramment accordées

Remédiation :

  1. Configurer ‘Lecteur’ comme permission par défaut
  2. Désactiver le partage automatique avec l’organisation
  3. Exiger une action explicite pour accorder l’édition

Valeur par défaut : Permissions variables selon le contexte

4.1.4 — Avertissements de partage externe

Niveau : 🟡
Référence CIS : CIS Google Workspace 5.4
MITRE ATT&CK : T1567.002

Description : Les avertissements sensibilisent les utilisateurs aux risques du partage externe et peuvent prévenir les fuites accidentelles de données sensibles.

Vérification :

  • Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres de partage > Avertissements
  • Test de partage avec utilisateurs externes
  • Configuration des messages d’avertissement

Remédiation :

  1. Activer les avertissements pour tout partage externe
  2. Personnaliser les messages selon le niveau de sensibilité
  3. Exiger une confirmation explicite pour documents confidentiels

Valeur par défaut : Avertissements limités ou désactivés

4.2.1 — Classification et étiquetage des fichiers

Niveau : 🟠
Référence CIS : CIS Google Workspace 6.1
MITRE ATT&CK : T1005

Description : La classification automatique des fichiers selon leur contenu permet d’appliquer des politiques de sécurité appropriées et de faciliter la gouvernance des données.

Vérification :

  • Console Admin > Applications > Google Workspace > Drive et Docs > Conformité > Classification des contenus
  • Vérification des étiquettes appliquées automatiquement
  • Test avec différents types de documents

Remédiation :

  1. Configurer des règles de classification par contenu
  2. Utiliser des étiquettes visuelles standardisées
  3. Intégrer avec les politiques DLP

Valeur par défaut : Aucune classification automatique

4.2.2 — Règles DLP pour Google Drive

Niveau : 🟠
Référence CIS : CIS Google Workspace 6.2
MITRE ATT&CK : T1567.002

Description : Les règles DLP détectent et protègent les données sensibles stockées dans Drive, empêchant leur partage non autorisé ou leur fuite accidentelle.

Vérification :

  • Console Admin > Applications > Google Workspace > Drive et Docs > Conformité > Prévention contre la perte de données
  • Test avec documents contenant des données sensibles
  • Analyse des violations DLP détectées

Remédiation :

  1. Configurer des règles pour données personnelles (PII)
  2. Détecter les documents financiers sensibles
  3. Bloquer le partage externe de documents classifiés

Valeur par défaut : Aucune règle DLP configurée

4.2.3 — Chiffrement côté client (CSE)

Niveau : 🟢
Référence CIS : CIS Google Workspace 6.3
MITRE ATT&CK : T1005

Description : Le chiffrement côté client offre une protection maximale en chiffrant les données avec des clés contrôlées par l’organisation avant leur stockage dans Drive.

Vérification :

  • Console Admin > Sécurité > Contrôle d’accès et des données > Chiffrement côté client
  • Vérification de la configuration des fournisseurs de clés
  • Test de création de fichiers chiffrés CSE

Remédiation :

  1. Configurer un service de gestion des clés externe
  2. Activer CSE pour les unités organisationnelles sensibles
  3. Former les utilisateurs à l’usage des fichiers chiffrés

Valeur par défaut : CSE non configuré

4.2.4 — Contrôle des téléchargements

Niveau : 🟡
Référence CIS : CIS Google Workspace 6.4
MITRE ATT&CK : T1567.002

Description : La restriction des téléchargements limite les risques de fuite de données en empêchant l’extraction non contrôlée de documents sensibles.

Vérification :

  • Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres de partage > Options de téléchargement
  • Test de téléchargement avec différents types d’utilisateurs
  • Vérification des restrictions par type de fichier

Remédiation :

  1. Désactiver les téléchargements pour documents très sensibles
  2. Limiter les téléchargements aux utilisateurs internes
  3. Configurer des alertes pour téléchargements en masse

Valeur par défaut : Téléchargements autorisés par défaut

4.3.1 — Gestion des drives partagés

Niveau : 🟡
Référence CIS : CIS Google Workspace 7.1
MITRE ATT&CK : T1074.002

Description : Les drives partagés centralisent l’accès aux documents d’équipe mais nécessitent une gouvernance stricte pour maintenir la sécurité et éviter l’accumulation de données.

Vérification :

  • Console Admin > Applications > Google Workspace > Drive et Docs > Drives partagés
  • Audit des drives partagés existants
  • Analyse des permissions et de l’utilisation

Remédiation :

  1. Limiter la création de drives partagés aux managers
  2. Définir des responsables pour chaque drive partagé
  3. Auditer trimestriellement l’utilisation et les permissions

Valeur par défaut : Création libre de drives partagés

4.3.2 — Propriété et transfert des fichiers

Niveau : 🟡
Référence CIS : CIS Google Workspace 7.2
MITRE ATT&CK : T1074.002

Description : La gestion appropriée de la propriété des fichiers garantit la continuité d’accès lors des départs d’employés et évite la perte de documents critiques.

Vérification :

  • Console Admin > Rapports > Applications > Drive > Propriété des fichiers
  • Outils de transfert de données
  • Identification des fichiers orphelins

Remédiation :

  1. Configurer le transfert automatique lors des départs
  2. Identifier et réattribuer les fichiers orphelins
  3. Encourager l’utilisation des drives partagés pour documents d’équipe

Valeur par défaut : Propriété individuelle des fichiers

4.3.3 — Quota et gestion de l’espace de stockage

Niveau : 🟢
Référence CIS : CIS Google Workspace 7.3
MITRE ATT&CK : T1074.002

Description : La gestion des quotas évite l’accumulation excessive de données et peut limiter l’impact des attaques de déni de service par saturation de stockage.

Vérification :

  • Console Admin > Rapports > Applications > Drive > Utilisation du stockage
  • Surveillance des quotas par utilisateur/unité organisationnelle
  • Alertes de dépassement de quota

Remédiation :

  1. Définir des quotas appropriés par type d’utilisateur
  2. Configurer des alertes avant dépassement
  3. Nettoyer périodiquement les fichiers anciens

Valeur par défaut : Quotas selon le type de licence

4.4.1 — Restrictions d’installation d’add-ons

Niveau : 🟡
Référence CIS : CIS Google Workspace 8.1
MITRE ATT&CK : T1505.003

Description : Les add-ons tiers peuvent introduire des vulnérabilités ou des fonctionnalités malveillantes. Leur installation doit être contrôlée et auditée.

Vérification :

  • Console Admin > Applications > Google Workspace > Drive et Docs > Applications et extensions
  • Inventaire des add-ons installés
  • Analyse des permissions accordées aux add-ons

Remédiation :

  1. Limiter l’installation aux add-ons approuvés
  2. Auditer régulièrement les add-ons installés
  3. Révoquer les add-ons non utilisés ou suspects

Valeur par défaut : Installation libre d’add-ons

4.4.2 — Contrôle des applications tierces

Niveau : 🟠
Référence CIS : CIS Google Workspace 8.2
MITRE ATT&CK : T1005

Description : Les applications tierces connectées à Drive peuvent accéder aux données organisationnelles. Leurs permissions doivent être strictement contrôlées et régulièrement auditées.

Vérification :

  • Console Admin > Sécurité > Contrôles API > Applications connectées
  • Audit des permissions accordées aux applications
  • Analyse de l’utilisation des API Drive

Remédiation :

  1. Créer une liste blanche d’applications approuvées
  2. Limiter les permissions accordées au strict nécessaire
  3. Auditer mensuellement les accès des applications tierces

Valeur par défaut : Connexion libre des applications tierces

4.5.1 — Historique et versions des fichiers

Niveau : 🟡
Référence CIS : CIS Google Workspace 9.1
MITRE ATT&CK : T1005

Description : L’historique des versions permet la récupération en cas de modification malveillante ou accidentelle, mais peut aussi conserver des données sensibles supprimées.

Vérification :

  • Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres utilisateur > Historique des révisions
  • Test de récupération de versions antérieures
  • Politique de rétention des versions

Remédiation :

  1. Configurer une rétention limitée des versions (ex: 30 jours)
  2. Former les utilisateurs à la gestion des versions
  3. Purger régulièrement les versions anciennes de documents sensibles

Valeur par défaut : Rétention illimitée des versions

4.5.2 — Audit des activités de fichiers

Niveau : 🟡
Référence CIS : CIS Google Workspace 9.2
MITRE ATT&CK : T1005

Description : L’audit des activités Drive permet de détecter les accès suspects, les modifications non autorisées et les téléchargements en masse de données.

Vérification :

Remédiation :

  1. Activer l’audit détaillé de toutes les actions Drive
  2. Configurer des alertes pour activités suspectes
  3. Analyser régulièrement les patterns d’accès anormaux

Valeur par défaut : Audit de base activé

4.5.3 — Détection d’accès anormaux

Niveau : 🟡
Référence CIS : CIS Google Workspace 9.3
MITRE ATT&CK : T1005

Description : La détection d’accès anormaux (géolocalisation, horaires, volume) aide à identifier les compromissions de comptes et les fuites de données potentielles.

Vérification :

  • Console Admin > Centre d’alertes > Drive
  • Configuration des seuils d’alerte
  • Analyse des patterns d’accès utilisateurs

Remédiation :

  1. Configurer des alertes pour accès depuis nouvelles géolocalisations
  2. Détecter les téléchargements de volume anormal
  3. Alerter pour accès en dehors des heures habituelles

Valeur par défaut : Détection limitée d’anomalies

4.6.1 — Synchronisation Desktop sécurisée

Niveau : 🟡
Référence CIS : CIS Google Workspace 10.1
MITRE ATT&CK : T1005

Description : La synchronisation Drive Desktop peut exposer les données organisationnelles sur les postes de travail. Elle doit être sécurisée et contrôlée.

Vérification :

  • Console Admin > Applications > Google Workspace > Drive et Docs > Paramètres utilisateur > Drive pour ordinateur
  • Inventaire des appareils synchronisant Drive
  • Contrôle des données synchronisées

Remédiation :

  1. Limiter la synchronisation aux appareils gérés
  2. Chiffrer localement les données synchronisées
  3. Configurer la suppression automatique lors du départ

Valeur par défaut : Drive Desktop autorisé sans restriction

4.6.2 — Contrôle des appareils mobiles

Niveau : 🟠
Référence CIS : CIS Google Workspace 10.2
MITRE ATT&CK : T1005

Description : L’accès Drive depuis les appareils mobiles non gérés peut exposer les données. Des politiques strictes doivent être appliquées pour sécuriser l’accès mobile.

Vérification :

  • Console Admin > Appareils > Appareils mobiles > Paramètres Drive
  • Politique d’accès par type d’appareil
  • Audit des connexions mobiles

Remédiation :

  1. Exiger l’enregistrement MDM pour accès Drive mobile
  2. Limiter les fonctionnalités sur appareils non gérés
  3. Configurer la suppression à distance en cas de perte

Valeur par défaut : Accès mobile libre depuis tous appareils

4.7.1 — Backup et récupération des données Drive

Niveau : 🟡
Référence CIS : CIS Google Workspace 11.1
MITRE ATT&CK : T1485

Description : Bien que Google assure la redondance des données, un backup indépendant peut être nécessaire pour la conformité et la protection contre les suppressions malveillantes.

Vérification :

  • Évaluation de la stratégie de backup organisationnelle
  • Test de récupération de données supprimées
  • Documentation des procédures de récupération

Remédiation :

  1. Évaluer le besoin de backup tiers selon les exigences
  2. Configurer Google Vault pour la rétention légale
  3. Tester régulièrement les procédures de récupération

Valeur par défaut : Redondance Google sans backup externe

S5 — GOOGLE MEET & COMMUNICATION

Cette section couvre la sécurité des visioconférences Google Meet, incluant l’accès aux réunions et l’enregistrement.

5.1.1 — Restrictions d’accès aux réunions

Niveau : 🟠
Référence CIS : CIS Google Workspace 12.1
MITRE ATT&CK : T1200

Description : Les réunions non protégées peuvent être infiltrées par des personnes malveillantes. Les contrôles d’accès appropriés préviennent le “zoombombing” et protègent les discussions sensibles.

Vérification :

  • Console Admin > Applications > Google Workspace > Google Meet > Paramètres de sécurité
  • Test de création de réunions avec différents niveaux d’accès
  • Vérification des options de salle d’attente

Remédiation :

  1. Activer la salle d’attente par défaut pour toutes les réunions
  2. Limiter l’accès aux participants du domaine pour réunions sensibles
  3. Désactiver l’entrée libre pour les invités externes

Valeur par défaut : Accès libre avec lien de réunion

5.1.2 — Authentification des participants externes

Niveau : 🟡
Référence CIS : CIS Google Workspace 12.2
MITRE ATT&CK : T1200

Description : L’authentification des participants externes garantit l’identité des invités et empêche les accès non autorisés via des liens interceptés.

Vérification :

  • Console Admin > Applications > Google Workspace > Google Meet > Participants externes
  • Test de participation avec comptes externes non authentifiés
  • Configuration des exigences d’authentification

Remédiation :

  1. Exiger l’authentification Google pour tous les participants externes
  2. Configurer l’approbation manuelle pour invités sensibles
  3. Désactiver l’accès anonyme pour réunions confidentielles

Valeur par défaut : Accès autorisé sans authentification pour externes

5.1.3 — Contrôle des enregistrements

Niveau : 🟠
Référence CIS : CIS Google Workspace 12.3
MITRE ATT&CK : T1005

Description : Les enregistrements de réunions peuvent contenir des informations sensibles. Leur création et stockage doivent être contrôlés pour éviter les fuites de données.

Vérification :

  • Console Admin > Applications > Google Workspace > Google Meet > Enregistrement
  • Vérification des permissions d’enregistrement par unité organisationnelle
  • Audit des enregistrements stockés

Remédiation :

  1. Limiter l’enregistrement aux organisateurs de réunions
  2. Configurer l’expiration automatique des enregistrements
  3. Restreindre l’accès aux enregistrements selon la classification

Valeur par défaut : Enregistrement autorisé pour tous les participants

5.2.1 — Gestion des participants en cours de réunion

Niveau : 🟡
Référence CIS : CIS Google Workspace 12.4
MITRE ATT&CK : T1200

Description : Les contrôles en cours de réunion permettent à l’organisateur de gérer les participants et d’éviter les perturbations ou l’écoute non autorisée.

Vérification :

  • Test des fonctionnalités de modération Meet
  • Vérification des options de contrôle des participants
  • Configuration des permissions par défaut

Remédiation :

  1. Activer les contrôles de modération par défaut
  2. Permettre uniquement à l’organisateur de partager l’écran initialement
  3. Configurer la mise en sourdine automatique à l’entrée

Valeur par défaut : Contrôles de base activés

5.3.1 — Intégrations et applications Meet

Niveau : 🟡
Référence CIS : CIS Google Workspace 12.5
MITRE ATT&CK : T1505.003

Description : Les applications et intégrations tierces dans Meet peuvent introduire des vulnérabilités ou accéder à des données de réunion sensibles.

Vérification :

  • Console Admin > Applications > Google Workspace > Google Meet > Applications et extensions
  • Inventaire des intégrations Meet autorisées
  • Analyse des permissions accordées

Remédiation :

  1. Limiter les intégrations aux applications approuvées
  2. Auditer régulièrement les permissions des applications
  3. Désactiver les intégrations non utilisées

Valeur par défaut : Intégrations tierces autorisées

S6 — GOOGLE CHAT & SPACES

Cette section traite de la sécurité de Google Chat, des espaces collaboratifs et de la messagerie instantanée.

6.1.1 — Restrictions de chat externe

Niveau : 🟠
Référence CIS : CIS Google Workspace 13.1
MITRE ATT&CK : T1566.003

Description : Les conversations avec des utilisateurs externes peuvent exposer des informations sensibles ou être utilisées pour des attaques de social engineering.

Vérification :

  • Console Admin > Applications > Google Workspace > Google Chat > Paramètres de chat externe
  • Test de communication avec utilisateurs externes
  • Analyse des conversations externes existantes

Remédiation :

  1. Limiter le chat externe aux domaines approuvés
  2. Configurer des avertissements pour conversations externes
  3. Désactiver complètement si non nécessaire métier

Valeur par défaut : Chat externe autorisé avec avertissements

6.1.2 — Historique et rétention des conversations

Niveau : 🟡
Référence CIS : CIS Google Workspace 13.2
MITRE ATT&CK : T1005

Description : L’historique des conversations doit être géré selon les politiques de conformité, tout en permettant l’investigation en cas d’incident de sécurité.

Vérification :

  • Console Admin > Applications > Google Workspace > Google Chat > Historique des conversations
  • Paramètres de rétention par unité organisationnelle
  • Configuration Google Vault pour Chat

Remédiation :

  1. Configurer des politiques de rétention appropriées
  2. Activer la sauvegarde dans Vault si requis pour conformité
  3. Former les utilisateurs sur la confidentialité des chats

Valeur par défaut : Historique conservé indéfiniment

6.2.1 — Gestion des espaces collaboratifs

Niveau : 🟡
Référence CIS : CIS Google Workspace 13.3
MITRE ATT&CK : T1074.002

Description : Les espaces Google Chat centralisent la collaboration d’équipe mais nécessitent une gouvernance pour éviter la prolifération et maintenir la sécurité.

Vérification :

  • Audit des espaces existants dans l’organisation
  • Analyse de l’appartenance aux espaces
  • Vérification des permissions de création d’espaces

Remédiation :

  1. Limiter la création d’espaces aux managers/chefs d’équipe
  2. Définir des propriétaires responsables pour chaque espace
  3. Auditer trimestriellement l’utilisation des espaces

Valeur par défaut : Création libre d’espaces par tous utilisateurs

6.3.1 — Partage de fichiers dans Chat

Niveau : 🟡
Référence CIS : CIS Google Workspace 13.4
MITRE ATT&CK : T1567.002

Description : Le partage de fichiers via Chat peut contourner les contrôles DLP habituels et doit être aligné avec les politiques de partage Drive.

Vérification :

  • Test de partage de fichiers sensibles via Chat
  • Vérification de l’application des règles DLP
  • Configuration des restrictions de partage

Remédiation :

  1. Aligner les politiques de partage Chat avec Drive
  2. Appliquer les règles DLP aux fichiers partagés en chat
  3. Sensibiliser les utilisateurs aux risques du partage informel

Valeur par défaut : Partage libre de fichiers via Chat

S7 — GOOGLE CALENDAR

Cette section couvre la sécurité du calendrier Google, incluant le partage d’agendas et la confidentialité des événements.

7.1.1 — Restrictions de partage d’agenda

Niveau : 🟡
Référence CIS : CIS Google Workspace 14.1
MITRE ATT&CK : T1005

Description : Le partage d’agenda peut révéler des informations sensibles sur les activités organisationnelles et les participants aux réunions.

Vérification :

  • Console Admin > Applications > Google Workspace > Google Calendar > Paramètres de partage
  • Audit des agendas partagés publiquement
  • Test de partage avec utilisateurs externes

Remédiation :

  1. Désactiver le partage public d’agendas par défaut
  2. Limiter le partage externe aux partenaires approuvés
  3. Configurer des niveaux de visibilité granulaires

Valeur par défaut : Partage d’agenda autorisé avec restrictions de base

7.1.2 — Visibilité des événements par défaut

Niveau : 🟡
Référence CIS : CIS Google Workspace 14.2
MITRE ATT&CK : T1005

Description : La visibilité par défaut des événements doit protéger les informations sensibles tout en permettant la coordination d’équipe nécessaire.

Vérification :

  • Configuration des niveaux de visibilité par défaut
  • Test de création d’événements avec différents niveaux
  • Vérification des permissions de visualisation

Remédiation :

  1. Configurer la visibilité ‘Privé’ par défaut pour événements sensibles
  2. Former les utilisateurs sur les niveaux de confidentialité
  3. Utiliser des libellés génériques pour événements confidentiels

Valeur par défaut : Visibilité selon les paramètres utilisateur

7.2.1 — Gestion des ressources et salles de réunion

Niveau : 🟡
Référence CIS : CIS Google Workspace 14.3
MITRE ATT&CK : T1005

Description : Les réservations de ressources peuvent révéler des patterns d’activité organisationnels et nécessitent un contrôle d’accès approprié.

Vérification :

  • Console Admin > Annuaire > Ressources de bâtiment et calendrier
  • Audit des permissions de réservation
  • Configuration des politiques de réservation

Remédiation :

  1. Limiter la visibilité des ressources selon les besoins
  2. Configurer des approbateurs pour ressources sensibles
  3. Masquer les détails des réservations confidentielles

Valeur par défaut : Ressources visibles à tous les utilisateurs du domaine

7.3.1 — Invitations et participants externes

Niveau : 🟡
Référence CIS : CIS Google Workspace 14.4
MITRE ATT&CK : T1566.003

Description : Les invitations à des participants externes peuvent exposer des informations organisationnelles et être utilisées pour des attaques de reconnaissance.

Vérification :

  • Console Admin > Applications > Google Workspace > Google Calendar > Partage avec des utilisateurs externes
  • Test d’invitation de participants externes
  • Configuration des avertissements

Remédiation :

  1. Configurer des avertissements pour invitations externes
  2. Limiter les détails visibles aux participants externes
  3. Exiger une approbation pour événements très sensibles

Valeur par défaut : Invitations externes autorisées avec avertissements de base

7.4.1 — Intégrations Calendar tierces

Niveau : 🟡
Référence CIS : CIS Google Workspace 14.5
MITRE ATT&CK : T1505.003

Description : Les applications tierces intégrées à Calendar peuvent accéder aux données d’agenda et nécessitent un contrôle strict des permissions.

Vérification :

  • Console Admin > Sécurité > Contrôles API > Applications connectées filtrant Calendar
  • Audit des intégrations Calendar autorisées
  • Analyse des permissions accordées

Remédiation :

  1. Limiter les intégrations aux applications approuvées
  2. Auditer régulièrement les accès aux données Calendar
  3. Révoquer les intégrations non utilisées

Valeur par défaut : Intégrations tierces autorisées selon paramètres API

S8 — APPAREILS & ENDPOINTS

Cette section couvre la gestion des appareils mobiles (MDM), les politiques BYOD et le contrôle des endpoints accédant à Google Workspace.

8.1.1 — Configuration MDM (Mobile Device Management)

Niveau : 🔴
Référence CIS : CIS Google Workspace 15.1
MITRE ATT&CK : T1430

Description : La gestion des appareils mobiles est essentielle pour contrôler l’accès aux données organisationnelles depuis les smartphones et tablettes. Un MDM bien configuré protège contre les appareils compromis.

Vérification :

  • Console Admin > Appareils > Appareils mobiles > Gestion
  • Inventaire des appareils enregistrés
  • Test d’enregistrement d’un nouvel appareil

Remédiation :

  1. Exiger l’enregistrement MDM pour accès à Workspace
  2. Configurer des politiques de sécurité strictes (PIN, chiffrement)
  3. Activer la suppression à distance en cas de perte/vol

Valeur par défaut : MDM optionnel

8.1.2 — Politiques de sécurité des appareils

Niveau : 🔴
Référence CIS : CIS Google Workspace 15.2
MITRE ATT&CK : T1430

Description : Les politiques de sécurité appliquées aux appareils mobiles doivent inclure le chiffrement, les mots de passe forts et la protection contre le jailbreak/rooting.

Vérification :

  • Console Admin > Appareils > Appareils mobiles > Paramètres d’appareil
  • Vérification de l’application des politiques
  • Test de conformité sur différents types d’appareils

Remédiation :

  1. Exiger un code PIN/mot de passe complexe (6+ caractères)
  2. Activer le chiffrement complet de l’appareil
  3. Bloquer les appareils jailbreakés/rootés

Valeur par défaut : Politiques de base selon le système d’exploitation

8.1.3 — Gestion des applications mobiles

Niveau : 🟠
Référence CIS : CIS Google Workspace 15.3
MITRE ATT&CK : T1426

Description : Le contrôle des applications installées sur les appareils gérés prévient l’installation de malwares et d’applications non autorisées pouvant compromettre la sécurité.

Vérification :

  • Console Admin > Appareils > Appareils mobiles > Applications approuvées
  • Liste blanche/noire d’applications
  • Monitoring des applications installées

Remédiation :

  1. Créer une liste blanche d’applications autorisées
  2. Bloquer l’installation depuis des sources inconnues
  3. Surveiller et alerter pour applications suspectes

Valeur par défaut : Installation libre d’applications

8.1.4 — Séparation des données professionnelles/personnelles

Niveau : 🟠
Référence CIS : CIS Google Workspace 15.4
MITRE ATT&CK : T1430

Description : La conteneurisation sépare les données professionnelles des données personnelles, permettant la suppression sélective sans affecter les données personnelles de l’utilisateur.

Vérification :

  • Configuration des profils de travail Android/iOS
  • Test de séparation des données
  • Vérification de la suppression sélective

Remédiation :

  1. Activer les profils de travail pour BYOD
  2. Configurer la séparation stricte des applications/données
  3. Tester la suppression sélective des données professionnelles

Valeur par défaut : Pas de séparation configurée par défaut

8.2.1 — Politique BYOD (Bring Your Own Device)

Niveau : 🟠
Référence CIS : CIS Google Workspace 15.5
MITRE ATT&CK : T1430

Description : Les politiques BYOD équilibrent flexibilité utilisateur et sécurité organisationnelle. Elles doivent être clairement définies et techniquement appliquées.

Vérification :

  • Documentation des politiques BYOD
  • Configuration technique des restrictions BYOD
  • Formation des utilisateurs sur les politiques

Remédiation :

  1. Documenter clairement les exigences BYOD
  2. Implémenter techniquement les restrictions nécessaires
  3. Former régulièrement les utilisateurs sur les bonnes pratiques

Valeur par défaut : BYOD autorisé sans restrictions particulières

8.2.2 — Contrôle d’accès par type d’appareil

Niveau : 🟡
Référence CIS : CIS Google Workspace 15.6
MITRE ATT&CK : T1430

Description : Différents types d’appareils (gérés vs non-gérés) doivent avoir des niveaux d’accès différenciés selon leur niveau de sécurité et de conformité.

Vérification :

  • Console Admin > Sécurité > Context-aware access > Niveaux d’accès
  • Configuration des politiques par type d’appareil
  • Test d’accès avec appareils de différents types

Remédiation :

  1. Créer des niveaux d’accès selon le type d’appareil
  2. Limiter l’accès aux données sensibles pour appareils non-gérés
  3. Exiger des contrôles additionnels pour appareils personnels

Valeur par défaut : Accès uniforme tous types d’appareils

8.3.1 — Gestion des certificats d’appareils

Niveau : 🟡
Référence CIS : CIS Google Workspace 15.7
MITRE ATT&CK : T1553.004

Description : Les certificats d’appareil permettent une identification forte des endpoints et doivent être gérés de manière sécurisée avec rotation régulière.

Vérification :

  • Console Admin > Appareils > Certificats
  • Inventaire des certificats déployés
  • Vérification des dates d’expiration

Remédiation :

  1. Déployer des certificats d’appareil pour identification
  2. Configurer la rotation automatique avant expiration
  3. Révoquer immédiatement les certificats des appareils perdus

Valeur par défaut : Pas de gestion centralisée des certificats

8.4.1 — Endpoint Detection and Response (EDR)

Niveau : 🟢
Référence CIS : CIS Google Workspace 15.8
MITRE ATT&CK : T1057

Description : L’intégration avec des solutions EDR permet la détection avancée de menaces sur les endpoints accédant à Google Workspace.

Vérification :

  • Intégration avec solutions EDR tierces
  • Monitoring des activités suspectes sur endpoints
  • Corrélation avec les événements Workspace

Remédiation :

  1. Déployer une solution EDR sur tous les endpoints
  2. Intégrer les alertes EDR avec le SIEM organisationnel
  3. Configurer des réponses automatiques aux menaces détectées

Valeur par défaut : Aucune intégration EDR native

S9 — APPLICATIONS TIERCES & OAUTH

Cette section traite du contrôle des applications tierces, de la gestion OAuth et de l’accès API sécurisé.

9.1.1 — Liste blanche d’applications OAuth

Niveau : 🔴
Référence CIS : CIS Google Workspace 16.1
MITRE ATT&CK : T1528

Description : Les applications OAuth non contrôlées peuvent accéder massivement aux données organisationnelles. Une liste blanche stricte est essentielle pour maintenir la sécurité.

Vérification :

  • Console Admin > Sécurité > Contrôles API > Applications OAuth tierces
  • Inventaire des applications autorisées
  • Audit des permissions accordées

Remédiation :

  1. Créer une liste blanche d’applications approuvées uniquement
  2. Bloquer toutes les autres applications OAuth par défaut
  3. Processus d’approbation formel pour nouvelles applications

Valeur par défaut : Applications OAuth autorisées par défaut

9.1.2 — Révision des scopes OAuth accordés

Niveau : 🟠
Référence CIS : CIS Google Workspace 16.2
MITRE ATT&CK : T1528

Description : Les scopes OAuth définissent les permissions accordées aux applications. Ils doivent être limités au strict nécessaire selon le principe du moindre privilège.

Vérification :

  • Analyse détaillée des scopes accordés par application
  • Vérification de l’utilisation effective des permissions
  • Audit des scopes sensibles (lecture/écriture Drive, Gmail, etc.)

Remédiation :

  1. Auditer trimestriellement tous les scopes accordés
  2. Révoquer les permissions non utilisées ou excessives
  3. Exiger une justification métier pour scopes sensibles

Valeur par défaut : Scopes accordés selon demande application

9.1.3 — Monitoring de l’activité des applications OAuth

Niveau : 🟡
Référence CIS : CIS Google Workspace 16.3
MITRE ATT&CK : T1528

Description : Le monitoring continu des applications OAuth permet de détecter les utilisations anormales ou malveillantes des permissions accordées.

Vérification :

  • Console Admin > Rapports > Applications OAuth
  • Analyse de l’activité API par application
  • Détection d’utilisations suspectes

Remédiation :

  1. Configurer des alertes pour usage API anormal
  2. Surveiller les applications accédant à de gros volumes de données
  3. Corréler l’activité avec les événements de sécurité

Valeur par défaut : Monitoring limité de l’activité OAuth

9.2.1 — Restrictions d’accès au Marketplace

Niveau : 🟡
Référence CIS : CIS Google Workspace 16.4
MITRE ATT&CK : T1505.003

Description : Le Google Workspace Marketplace propose de nombreuses applications dont certaines peuvent introduire des vulnérabilités ou accéder à des données sensibles.

Vérification :

  • Console Admin > Applications > Marketplace apps
  • Configuration des restrictions d’installation
  • Inventaire des apps installées depuis le Marketplace

Remédiation :

  1. Limiter l’installation aux administrateurs uniquement
  2. Évaluer la sécurité avant installation d’applications Marketplace
  3. Auditer régulièrement les applications installées

Valeur par défaut : Installation libre depuis le Marketplace

9.2.2 — Gestion des add-ons et extensions

Niveau : 🟡
Référence CIS : CIS Google Workspace 16.5
MITRE ATT&CK : T1505.003

Description : Les add-ons pour Gmail, Drive, Docs peuvent étendre les fonctionnalités mais aussi introduire des risques de sécurité s’ils ne sont pas contrôlés.

Vérification :

  • Console Admin > Applications > Google Workspace > Drive et Docs > Applications et extensions
  • Inventaire des add-ons installés par les utilisateurs
  • Analyse des permissions des add-ons

Remédiation :

  1. Créer une liste d’add-ons approuvés
  2. Bloquer l’installation d’add-ons non autorisés
  3. Auditer mensuellement les add-ons installés

Valeur par défaut : Installation libre d’add-ons

9.3.1 — Contrôle de l’accès API par IP

Niveau : 🟡
Référence CIS : CIS Google Workspace 16.6
MITRE ATT&CK : T1071.001

Description : La restriction de l’accès API par plages IP limite l’exposition et peut prévenir l’utilisation malveillante d’API keys compromises.

Vérification :

  • Console Admin > Sécurité > Contrôles API > Restrictions d’accès
  • Configuration des plages IP autorisées
  • Test d’accès API depuis différentes localisations

Remédiation :

  1. Définir les plages IP légitimes pour accès API
  2. Bloquer l’accès depuis IP non autorisées
  3. Configurer des alertes pour tentatives d’accès suspects

Valeur par défaut : Accès API autorisé depuis toutes IP

9.3.2 — Rotation des clés API et secrets

Niveau : 🟠
Référence CIS : CIS Google Workspace 16.7
MITRE ATT&CK : T1552.001

Description : La rotation régulière des clés API et secrets limite l’impact d’une éventuelle compromission et constitue une bonne pratique sécuritaire.

Vérification :

  • Inventaire de toutes les clés API actives
  • Vérification des dates de dernière rotation
  • Processus documenté de rotation

Remédiation :

  1. Rotation automatique tous les 90 jours maximum
  2. Processus de révocation immédiate en cas de compromission
  3. Audit trimestriel de l’utilisation des clés

Valeur par défaut : Pas de rotation automatique configurée

S10 — RÈGLES DLP & PROTECTION DONNÉES

Cette section couvre la configuration avancée de la prévention des fuites de données (DLP) et la protection des informations sensibles.

10.1.1 — Classification automatique des données

Niveau : 🟠
Référence CIS : CIS Google Workspace 17.1
MITRE ATT&CK : T1005

Description : La classification automatique identifie les données sensibles (PII, données financières, IP) pour appliquer les protections appropriées selon leur niveau de sensibilité.

Vérification :

  • Console Admin > Applications > Google Workspace > Drive et Docs > Conformité > Classification des contenus
  • Test avec différents types de documents sensibles
  • Vérification de l’application des étiquettes

Remédiation :

  1. Configurer des règles pour PII (numéros SS, cartes bancaires)
  2. Détecter la propriété intellectuelle et documents financiers
  3. Appliquer automatiquement les étiquettes de classification

Valeur par défaut : Aucune classification automatique configurée

10.1.2 — Règles DLP multi-services

Niveau : 🟠
Référence CIS : CIS Google Workspace 17.2
MITRE ATT&CK : T1041

Description : Les règles DLP doivent être cohérentes à travers tous les services Workspace (Gmail, Drive, Chat) pour une protection uniforme des données sensibles.

Vérification :

  • Configuration DLP dans Gmail, Drive, Chat
  • Test de cohérence des règles entre services
  • Analyse des violations DLP par service

Remédiation :

  1. Harmoniser les règles DLP entre tous les services
  2. Configurer des actions cohérentes (blocage, alerte, chiffrement)
  3. Centraliser la gestion des politiques DLP

Valeur par défaut : Configuration DLP séparée par service

10.1.3 — Détection par reconnaissance optique (OCR)

Niveau : 🟡
Référence CIS : CIS Google Workspace 17.3
MITRE ATT&CK : T1005

Description : L’OCR détecte les données sensibles dans les images et documents scannés, étendant la protection DLP au-delà du texte simple.

Vérification :

  • Console Admin > Règles DLP > Détection de contenu > OCR
  • Test avec images contenant du texte sensible
  • Vérification de la détection dans différents formats

Remédiation :

  1. Activer l’OCR pour toutes les règles DLP critiques
  2. Tester avec différents formats d’images et PDF
  3. Configurer des seuils de confiance appropriés

Valeur par défaut : OCR désactivé par défaut

10.2.1 — Actions automatisées sur violation DLP

Niveau : 🟠
Référence CIS : CIS Google Workspace 17.4
MITRE ATT&CK : T1041

Description : Les actions automatisées (blocage, chiffrement, alerte) en réponse aux violations DLP permettent une protection en temps réel sans intervention manuelle.

Vérification :

  • Configuration des actions par type de violation
  • Test du déclenchement automatique des actions
  • Monitoring de l’efficacité des actions automatisées

Remédiation :

  1. Bloquer automatiquement les violations critiques
  2. Chiffrer automatiquement les contenus sensibles
  3. Alerter immédiatement les administrateurs sécurité

Valeur par défaut : Actions manuelles ou alertes uniquement

10.2.2 — Exceptions et surcharges DLP

Niveau : 🟡
Référence CIS : CIS Google Workspace 17.5
MITRE ATT&CK : T1041

Description : Les exceptions DLP doivent être strictement contrôlées et auditées pour éviter les contournements non autorisés des protections.

Vérification :

  • Inventaire de toutes les exceptions DLP configurées
  • Processus d’approbation des exceptions
  • Audit régulier de l’utilisation des exceptions

Remédiation :

  1. Limiter les exceptions au strict minimum nécessaire
  2. Exiger une approbation managériale pour toute exception
  3. Réviser trimestriellement toutes les exceptions actives

Valeur par défaut : Pas de processus formel pour exceptions

10.3.1 — Intégration avec systèmes de classification externes

Niveau : 🟢
Référence CIS : CIS Google Workspace 17.6
MITRE ATT&CK : T1005

Description : L’intégration avec des systèmes de classification d’entreprise (Microsoft Purview, etc.) permet une gouvernance uniforme des données.

Vérification :

  • Configuration des connecteurs de classification externes
  • Test de synchronisation des étiquettes
  • Vérification de la cohérence inter-systèmes

Remédiation :

  1. Configurer l’intégration avec le système de classification principal
  2. Synchroniser les étiquettes et politiques
  3. Maintenir la cohérence des classifications

Valeur par défaut : Aucune intégration externe configurée

10.4.1 — Monitoring et reporting DLP

Niveau : 🟡
Référence CIS : CIS Google Workspace 17.7
MITRE ATT&CK : T1041

Description : Le monitoring continu et le reporting des violations DLP permettent l’amélioration continue des politiques et la détection de tentatives de contournement.

Vérification :

  • Console Admin > Rapports > Rapports de sécurité > DLP
  • Configuration des alertes automatiques
  • Tableaux de bord de violations DLP

Remédiation :

  1. Configurer des tableaux de bord temps réel
  2. Alertes automatiques pour violations répétées
  3. Rapports hebdomadaires de synthèse DLP

Valeur par défaut : Rapports de base disponibles

S11 — VAULT & RÉTENTION

Cette section couvre Google Vault pour l’eDiscovery, l’archivage légal et les politiques de rétention des données.

11.1.1 — Politiques de rétention par type de données

Niveau : 🟡
Référence CIS : CIS Google Workspace 18.1
MITRE ATT&CK : T1005

Description : Les politiques de rétention doivent être différenciées selon le type de données et les exigences réglementaires, équilibrant conformité et performance.

Vérification :

  • Google Vault > Rétention > Règles de rétention
  • Configuration par unité organisationnelle
  • Test d’application des politiques

Remédiation :

  1. Définir des périodes selon les exigences légales
  2. Séparer les politiques par type de contenu (email, drive, chat)
  3. Documenter la justification de chaque période

Valeur par défaut : Rétention illimitée pour la plupart des services

11.1.2 — Configuration des holds légales

Niveau : 🟠
Référence CIS : CIS Google Workspace 18.2
MITRE ATT&CK : T1005

Description : Les holds légales préservent les données pertinentes lors de litiges ou investigations, suspendant temporairement les politiques de rétention normales.

Vérification :

  • Google Vault > Holds > Gestion des conservations
  • Test de création et application d’un hold
  • Vérification de l’immunité aux suppressions

Remédiation :

  1. Documenter les procédures de création de holds
  2. Former les équipes juridiques à l’utilisation de Vault
  3. Auditer régulièrement les holds actifs

Valeur par défaut : Aucun hold configuré par défaut

11.1.3 — Recherche et export eDiscovery

Niveau : 🟡
Référence CIS : CIS Google Workspace 18.3
MITRE ATT&CK : T1005

Description : Les fonctionnalités de recherche et d’export permettent de répondre aux demandes légales et investigations internes de manière efficace et sécurisée.

Vérification :

  • Google Vault > Recherche > Création de requêtes
  • Test d’export de résultats
  • Vérification des permissions d’accès

Remédiation :

  1. Former les équipes autorisées aux techniques de recherche
  2. Configurer des templates de recherche pour cas récurrents
  3. Auditer tous les exports effectués

Valeur par défaut : Fonctionnalités disponibles pour administrateurs Vault

11.2.1 — Accès et permissions Vault

Niveau : 🟠
Référence CIS : CIS Google Workspace 18.4
MITRE ATT&CK : T1005

Description : L’accès à Vault doit être strictement contrôlé car il permet l’accès à toutes les données organisationnelles, incluant celles des dirigeants.

Vérification :

  • Google Vault > Paramètres > Privilèges Vault
  • Audit des utilisateurs ayant accès à Vault
  • Vérification des permissions granulaires

Remédiation :

  1. Limiter l’accès Vault aux équipes juridiques et conformité
  2. Utiliser des permissions granulaires (lecture seule vs export)
  3. Auditer mensuellement tous les accès Vault

Valeur par défaut : Accès Vault pour super-administrateurs uniquement

11.2.2 — Audit des activités Vault

Niveau : 🟡
Référence CIS : CIS Google Workspace 18.5
MITRE ATT&CK : T1005

Description : Toutes les activités dans Vault doivent être loggées et auditées pour maintenir la traçabilité et détecter les abus potentiels.

Vérification :

  • Google Vault > Audit > Journal des activités
  • Configuration des alertes pour actions sensibles
  • Révision régulière des logs d’activité

Remédiation :

  1. Activer l’audit complet de toutes les actions Vault
  2. Configurer des alertes pour exports volumineux
  3. Réviser mensuellement les activités de recherche/export

Valeur par défaut : Audit de base des activités Vault

11.3.1 — Intégration avec systèmes d’archivage tiers

Niveau : 🟢
Référence CIS : CIS Google Workspace 18.6
MITRE ATT&CK : T1005

Description : L’intégration avec des systèmes d’archivage d’entreprise peut être nécessaire pour la conformité et la gouvernance uniforme des données.

Vérification :

  • Configuration des exports automatiques vers systèmes tiers
  • Vérification de l’intégrité des données archivées
  • Test de récupération depuis archives externes

Remédiation :

  1. Évaluer les besoins d’archivage externe
  2. Configurer les exports automatiques si requis
  3. Tester régulièrement la récupération des archives

Valeur par défaut : Aucune intégration tierce configurée

S12 — SÉCURITÉ DU DOMAINE

Cette section traite de la sécurité au niveau domaine, incluant la vérification de domaine et les configurations DNS sécuritaires.

12.1.1 — Vérification de tous les domaines

Niveau : 🔴
Référence CIS : CIS Google Workspace 19.1
MITRE ATT&CK : T1590.001

Description : Tous les domaines associés au tenant Google Workspace doivent être vérifiés pour éviter l’usurpation et garantir le contrôle administratif légitime.

Vérification :

  • Console Admin > Domaines > Gestion des domaines
  • Statut de vérification pour chaque domaine
  • Vérification des enregistrements TXT de validation

Remédiation :

  1. Vérifier immédiatement tous les domaines non vérifiés
  2. Maintenir les enregistrements de vérification DNS
  3. Surveiller l’ajout de nouveaux domaines non autorisés

Valeur par défaut : Domaine principal vérifié, secondaires peuvent ne pas l’être

12.1.2 — Configuration DMARC stricte pour tous domaines

Niveau : 🔴
Référence CIS : CIS Google Workspace 19.2
MITRE ATT&CK : T1566.001

Description : DMARC doit être configuré en mode strict (p=reject) pour tous les domaines organisationnels afin d’empêcher l’usurpation d’emails.

Vérification :

  • nslookup -type=TXT _dmarc.domain.com pour chaque domaine
  • Analyse des rapports DMARC
  • Vérification de l’alignement SPF/DKIM

Remédiation :

  1. Configurer DMARC p=reject pour tous les domaines
  2. Analyser régulièrement les rapports DMARC
  3. Ajuster SPF/DKIM si nécessaire pour maintenir l’alignement

Valeur par défaut : DMARC non configuré pour domaines secondaires

12.1.3 — Protection des enregistrements DNS critiques

Niveau : 🟠
Référence CIS : CIS Google Workspace 19.3
MITRE ATT&CK : T1584.002

Description : Les enregistrements DNS critiques (SPF, DKIM, DMARC, vérification domaine) doivent être protégés contre les modifications non autorisées.

Vérification :

  • Configuration DNSSEC pour les domaines
  • Contrôles d’accès sur la gestion DNS
  • Monitoring des changements DNS

Remédiation :

  1. Activer DNSSEC pour tous les domaines critiques
  2. Limiter l’accès à la gestion DNS aux administrateurs autorisés
  3. Configurer des alertes pour modifications DNS

Valeur par défaut : Protection DNS selon le registrar/hébergeur

12.2.1 — Alias de domaines sécurisés

Niveau : 🟡
Référence CIS : CIS Google Workspace 19.4
MITRE ATT&CK : T1566.001

Description : Les alias de domaines doivent être gérés de manière cohérente avec les mêmes protections que le domaine principal.

Vérification :

  • Console Admin > Domaines > Alias de domaine
  • Vérification de la configuration email pour alias
  • Cohérence des politiques entre domaine principal et alias

Remédiation :

  1. Appliquer les mêmes politiques sécuritaires aux alias
  2. Configurer SPF/DKIM/DMARC pour tous les alias
  3. Limiter le nombre d’alias au strict nécessaire

Valeur par défaut : Alias créés sans configuration sécuritaire automatique

12.2.2 — Sous-domaines et délégations

Niveau : 🟡
Référence CIS : CIS Google Workspace 19.5
MITRE ATT&CK : T1584.001

Description : Les sous-domaines et délégations DNS doivent être inventoriés et sécurisés pour éviter qu’ils deviennent des vecteurs d’attaque.

Vérification :

  • Inventaire complet des sous-domaines
  • Vérification des délégations DNS autorisées
  • Scan de sécurité des sous-domaines

Remédiation :

  1. Maintenir un inventaire à jour de tous les sous-domaines
  2. Sécuriser ou supprimer les sous-domaines non utilisés
  3. Appliquer les mêmes standards de sécurité aux sous-domaines

Valeur par défaut : Sous-domaines créés sans gouvernance centralisée

12.3.1 — Certificats SSL/TLS pour domaines

Niveau : 🟡
Référence CIS : CIS Google Workspace 19.6
MITRE ATT&CK : T1553.002

Description : Les certificats SSL/TLS doivent être correctement configurés et maintenus pour tous les domaines et services exposés.

Vérification :

  • Vérification des certificats SSL pour tous les domaines
  • Contrôle des dates d’expiration
  • Validation de la chaîne de certification

Remédiation :

  1. Utiliser des certificats SSL valides pour tous les domaines
  2. Configurer le renouvellement automatique
  3. Surveiller les expirations et vulnérabilités SSL

Valeur par défaut : Certificats Google pour services Workspace, configuration manuelle pour autres services

S13 — JOURNALISATION & AUDIT

Cette section couvre la configuration complète des logs d’audit, du monitoring et de la surveillance de sécurité.

13.1.1 — Audit des connexions administrateurs

Niveau : 🟠
Référence CIS : CIS Google Workspace 20.1
MITRE ATT&CK : T1078.004

Description : Toutes les connexions et activités des comptes administrateurs doivent être loggées et monitorées pour détecter les compromissions et abus de privilèges.

Vérification :

  • Console Admin > Rapports > Rapports d’audit > Connexion administrateur
  • Configuration des alertes pour connexions suspectes
  • Rétention des logs administrateur

Remédiation :

  1. Activer l’audit complet des connexions admin
  2. Configurer des alertes pour connexions géographiquement anormales
  3. Réviser hebdomadairement les connexions administrateurs

Valeur par défaut : Audit de base des connexions activé

13.1.2 — Journalisation des modifications de configuration

Niveau : 🟠
Référence CIS : CIS Google Workspace 20.2
MITRE ATT&CK : T1098

Description : Tous les changements de configuration administrative doivent être tracés pour maintenir la traçabilité et faciliter les investigations.

Vérification :

Remédiation :

  1. Activer l’audit de toutes les modifications de configuration
  2. Configurer des alertes pour changements critiques
  3. Corréler les changements avec les tickets de changement

Valeur par défaut : Audit des modifications admin activé

13.1.3 — Monitoring des créations/suppressions de comptes

Niveau : 🟠
Référence CIS : CIS Google Workspace 20.3
MITRE ATT&CK : T1136

Description : La création et suppression de comptes utilisateurs doit être étroitement surveillée car ces actions peuvent indiquer des compromissions ou des erreurs critiques.

Vérification :

  • Console Admin > Rapports > Rapports d’audit > Admin > Gestion des comptes
  • Alertes configurées pour créations/suppressions
  • Corrélation avec les processus HR

Remédiation :

  1. Alerter immédiatement pour toute création/suppression de compte
  2. Corréler avec les processus RH et de provisionnement
  3. Investiguer toute action non planifiée

Valeur par défaut : Logs disponibles sans alertes automatiques

13.2.1 — Audit des activités utilisateurs sensibles

Niveau : 🟡
Référence CIS : CIS Google Workspace 20.4
MITRE ATT&CK : T1005

Description : Les activités utilisateurs sur les données sensibles (accès, téléchargement, partage) doivent être auditées pour détecter les comportements anormaux.

Vérification :

  • Console Admin > Rapports > Rapports d’audit > Drive > Téléchargements
  • Configuration d’alertes pour volumes anormaux
  • Analyse des patterns d’accès

Remédiation :

  1. Auditer les téléchargements de gros volumes
  2. Surveiller les accès aux documents très sensibles
  3. Alerter pour activités en dehors des heures normales

Valeur par défaut : Audit de base des activités utilisateurs

13.2.2 — Logs de sécurité centralisés

Niveau : 🟡
Référence CIS : CIS Google Workspace 20.5
MITRE ATT&CK : T1562.002

Description : Les logs de sécurité doivent être centralisés dans un SIEM ou une solution de monitoring pour analyse et corrélation avec d’autres sources.

Vérification :

  • Configuration d’export vers SIEM/log management
  • API: Utilisation de l’Admin SDK pour export automatique
  • Vérification de l’intégrité des logs exportés

Remédiation :

  1. Configurer l’export automatique vers le SIEM organisationnel
  2. Maintenir l’intégrité et la complétude des logs
  3. Configurer des alertes corrélées multi-sources

Valeur par défaut : Logs disponibles uniquement dans la console Workspace

13.2.3 — Rétention et archivage des logs

Niveau : 🟡
Référence CIS : CIS Google Workspace 20.6
MITRE ATT&CK : T1562.002

Description : Les logs d’audit doivent être conservés selon les exigences réglementaires et de sécurité, avec une protection contre la modification.

Vérification :

  • Durée de rétention des logs par type
  • Protection contre la modification des logs
  • Procédures d’archivage long terme

Remédiation :

  1. Définir des périodes de rétention selon les exigences légales
  2. Exporter et archiver les logs pour conservation long terme
  3. Protéger l’intégrité des logs archivés

Valeur par défaut : Rétention 6 mois pour la plupart des logs

13.3.1 — Configuration du Centre d’alertes

Niveau : 🟠
Référence CIS : CIS Google Workspace 20.7
MITRE ATT&CK : T1562.001

Description : Le Centre d’alertes Google doit être configuré pour notifier proactivement les administrateurs des événements de sécurité critiques.

Vérification :

  • Console Admin > Centre d’alertes > Configuration
  • Test des notifications par email/SMS
  • Personnalisation des seuils d’alerte

Remédiation :

  1. Configurer toutes les alertes de sécurité disponibles
  2. Définir les destinataires appropriés par type d’alerte
  3. Tester régulièrement les mécanismes de notification

Valeur par défaut : Alertes de base configurées pour super-admins

13.3.2 — Alertes personnalisées via API

Niveau : 🟢
Référence CIS : CIS Google Workspace 20.8
MITRE ATT&CK : T1562.001

Description : L’API d’alertes permet de créer des règles personnalisées et d’intégrer les alertes Google Workspace dans les systèmes de monitoring existants.

Vérification :

Remédiation :

  1. Créer des alertes personnalisées selon les besoins organisationnels
  2. Intégrer avec le système de ticketing/ITSM
  3. Automatiser les réponses aux alertes de routine

Valeur par défaut : Alertes standard uniquement, pas d’intégration API

13.4.1 — Monitoring de la performance et disponibilité

Niveau : 🟡
Référence CIS : CIS Google Workspace 20.9
MITRE ATT&CK : T1498

Description : Le monitoring de la performance aide à détecter les attaques de déni de service et les anomalies d’utilisation pouvant indiquer des compromissions.

Vérification :

  • Console Admin > Rapports > Rapports d’utilisation
  • Surveillance des pics d’utilisation anormaux
  • Alertes pour dégradations de performance

Remédiation :

  1. Établir des baselines de performance normale
  2. Configurer des alertes pour déviations significatives
  3. Corréler les anomalies avec les événements de sécurité

Valeur par défaut : Rapports d’utilisation disponibles sans monitoring automatique

S14 — GROUPES GOOGLE

Cette section couvre la gestion sécurisée des groupes Google, leurs permissions et leur gouvernance.

14.1.1 — Contrôle de création des groupes

Niveau : 🟡
Référence CIS : CIS Google Workspace 21.1
MITRE ATT&CK : T1069.003

Description : La création libre de groupes peut entraîner une prolifération incontrôlée et des risques de sécurité. Les permissions de création doivent être limitées.

Vérification :

  • Console Admin > Annuaire > Groupes > Paramètres de groupe
  • Permissions de création par unité organisationnelle
  • Audit des groupes créés récemment

Remédiation :

  1. Limiter la création aux managers et administrateurs
  2. Exiger une justification métier pour nouveaux groupes
  3. Réviser trimestriellement les groupes créés

Valeur par défaut : Création libre de groupes par tous utilisateurs

14.1.2 — Gestion des membres externes dans groupes

Niveau : 🟠
Référence CIS : CIS Google Workspace 21.2
MITRE ATT&CK : T1069.003

Description : Les membres externes dans les groupes peuvent accéder à des informations sensibles partagées avec le groupe. Leur inclusion doit être strictement contrôlée.

Vérification :

  • Console Admin > Annuaire > Groupes > Paramètres membres externes
  • Audit des groupes avec membres externes
  • gam print groups members | grep -v ‘@domain.com’

Remédiation :

  1. Désactiver l’ajout de membres externes par défaut
  2. Exiger une approbation administrative pour membres externes
  3. Auditer mensuellement tous les groupes avec membres externes

Valeur par défaut : Membres externes autorisés avec approbation

14.1.3 — Permissions de publication dans groupes

Niveau : 🟡
Référence CIS : CIS Google Workspace 21.3
MITRE ATT&CK : T1566.003

Description : Les permissions de publication déterminent qui peut envoyer des emails au groupe. Des permissions trop ouvertes peuvent permettre le spam ou le phishing.

Vérification :

  • Console Admin > Annuaire > Groupes > [Groupe] > Paramètres de publication
  • Audit des groupes avec publication ouverte
  • Test d’envoi depuis comptes non autorisés

Remédiation :

  1. Limiter la publication aux membres du groupe uniquement
  2. Configurer la modération pour groupes sensibles
  3. Désactiver la publication externe non modérée

Valeur par défaut : Publication limitée aux membres par défaut

14.2.1 — Archivage et historique des groupes

Niveau : 🟡
Référence CIS : CIS Google Workspace 21.4
MITRE ATT&CK : T1005

Description : L’historique des discussions de groupe doit être géré selon les politiques de rétention et les exigences de conformité.

Vérification :

  • Paramètres d’archivage par groupe
  • Configuration Vault pour groupes Google
  • Politiques de rétention des messages de groupe

Remédiation :

  1. Configurer l’archivage selon les exigences légales
  2. Appliquer les politiques de rétention appropriées
  3. Former les utilisateurs sur la confidentialité des groupes

Valeur par défaut : Archivage selon paramètres individuels de groupe

14.3.1 — Groupes de sécurité vs groupes de distribution

Niveau : 🟡
Référence CIS : CIS Google Workspace 21.5
MITRE ATT&CK : T1069.003

Description : La distinction entre groupes de sécurité et de distribution doit être claire, avec des usages et gouvernances différenciés.

Vérification :

  • Classification des groupes par usage
  • Permissions différenciées selon le type
  • Documentation des rôles de chaque groupe

Remédiation :

  1. Classifier tous les groupes selon leur usage
  2. Appliquer des politiques distinctes par type
  3. Documenter clairement le rôle de chaque groupe

Valeur par défaut : Pas de distinction formelle entre types de groupes

S15 — CHROME ENTERPRISE & NAVIGATEUR

Cette section traite de la gestion sécurisée de Chrome Enterprise et des politiques de navigateur.

15.1.1 — Politiques de sécurité Chrome

Niveau : 🟡
Référence CIS : CIS Google Workspace 22.1
MITRE ATT&CK : T1185

Description : Les politiques Chrome Enterprise permettent de sécuriser les navigateurs gérés et de contrôler l’accès aux ressources web depuis les appareils d’entreprise.

Vérification :

  • Console Admin > Appareils > Chrome > Paramètres utilisateur
  • Configuration des politiques de sécurité navigateur
  • Test d’application des politiques sur navigateurs gérés

Remédiation :

  1. Configurer Safe Browsing en mode renforcé
  2. Bloquer les téléchargements de types de fichiers dangereux
  3. Activer la protection contre les sites malveillants

Valeur par défaut : Politiques de sécurité de base selon Chrome standard

15.1.2 — Gestion des extensions Chrome

Niveau : 🟠
Référence CIS : CIS Google Workspace 22.2
MITRE ATT&CK : T1505.003

Description : Les extensions Chrome peuvent introduire des vulnérabilités ou accéder à des données sensibles. Leur installation doit être contrôlée via des listes blanches.

Vérification :

  • Console Admin > Appareils > Chrome > Applications et extensions
  • Liste des extensions autorisées/bloquées
  • Audit des extensions installées par les utilisateurs

Remédiation :

  1. Créer une liste blanche d’extensions approuvées
  2. Bloquer l’installation d’extensions non autorisées
  3. Auditer régulièrement les extensions installées

Valeur par défaut : Installation libre d’extensions depuis Chrome Web Store

15.1.3 — Contrôle de l’accès aux sites web

Niveau : 🟡
Référence CIS : CIS Google Workspace 22.3
MITRE ATT&CK : T1071.001

Description : Le filtrage web via Chrome Enterprise peut bloquer l’accès aux sites malveillants, de productivité douteuse ou non conformes aux politiques organisationnelles.

Vérification :

  • Console Admin > Appareils > Chrome > Paramètres utilisateur > Filtrage d’URL
  • Configuration des listes blanches/noires de sites
  • Test d’accès à différentes catégories de sites

Remédiation :

  1. Configurer le filtrage par catégories (malware, phishing, adult)
  2. Créer des listes de sites bloqués/autorisés spécifiques
  3. Permettre des demandes de déblocage justifiées

Valeur par défaut : Pas de filtrage web configuré par défaut

15.2.1 — Synchronisation Chrome sécurisée

Niveau : 🟡
Référence CIS : CIS Google Workspace 22.4
MITRE ATT&CK : T1005

Description : La synchronisation Chrome doit être contrôlée pour éviter la fuite de données via l’historique, mots de passe ou favoris synchronisés sur appareils non gérés.

Vérification :

  • Console Admin > Appareils > Chrome > Paramètres utilisateur > Synchronisation
  • Configuration des éléments synchronisés
  • Restriction de synchronisation sur appareils non gérés

Remédiation :

  1. Limiter la synchronisation aux appareils gérés uniquement
  2. Désactiver la synchronisation des mots de passe si non nécessaire
  3. Contrôler la synchronisation de l’historique de navigation

Valeur par défaut : Synchronisation autorisée pour comptes Workspace

15.3.1 — Rapports d’utilisation Chrome

Niveau : ��
Référence CIS : CIS Google Workspace 22.5
MITRE ATT&CK : T1071.001

Description : Les rapports Chrome Enterprise fournissent une visibilité sur l’utilisation des navigateurs et peuvent aider à détecter les comportements anormaux.

Vérification :

  • Console Admin > Rapports > Chrome > Navigateur
  • Analyse des sites les plus visités
  • Détection d’activités de navigation suspectes

Remédiation :

  1. Configurer des rapports réguliers d’utilisation Chrome
  2. Analyser les patterns de navigation pour détecter les anomalies
  3. Corréler avec les événements de sécurité

Valeur par défaut : Rapports de base disponibles selon configuration

S16 — GOOGLE CLOUD IDENTITY

Cette section couvre l’intégration avec Google Cloud Identity et les fonctionnalités de sécurité avancées.

16.1.1 — Context-Aware Access avancé

Niveau : 🟠
Référence CIS : CIS Google Workspace 23.1
MITRE ATT&CK : T1078

Description : Context-Aware Access utilise des signaux contextuels (appareil, localisation, réseau) pour prendre des décisions d’accès granulaires sans friction utilisateur.

Vérification :

  • Google Cloud Console > Identity & Access Management > Context-Aware Access
  • Configuration des niveaux d’accès
  • Test avec différents contextes d’accès

Remédiation :

  1. Définir des niveaux d’accès selon le contexte de risque
  2. Configurer des politiques pour appareils non gérés
  3. Implémenter progressivement par populations d’utilisateurs

Valeur par défaut : Context-Aware Access non configuré

16.1.2 — BeyondCorp Enterprise

Niveau : 🟢
Référence CIS : CIS Google Workspace 23.2
MITRE ATT&CK : T1078

Description : BeyondCorp implémente un modèle de sécurité zero-trust, évaluant chaque requête d’accès indépendamment du réseau d’origine.

Vérification :

  • Google Cloud Console > BeyondCorp Enterprise
  • Configuration des politiques d’accès zero-trust
  • Intégration avec les ressources internes

Remédiation :

  1. Évaluer les besoins de déploiement BeyondCorp
  2. Configurer l’accès conditionnel aux ressources sensibles
  3. Migrer progressivement du modèle périmétrique vers zero-trust

Valeur par défaut : BeyondCorp non configuré par défaut

16.2.1 — Intégration LDAP/Active Directory

Niveau : ��
Référence CIS : CIS Google Workspace 23.3
MITRE ATT&CK : T1078.002

Description : La synchronisation avec Active Directory ou LDAP doit être sécurisée pour maintenir la cohérence des identités sans exposer les infrastructures internes.

Vérification :

  • Google Cloud Directory Sync (GCDS) configuration
  • Sécurité des communications LDAP/AD
  • Audit des comptes synchronisés

Remédiation :

  1. Utiliser LDAPS (LDAP over SSL) pour la synchronisation
  2. Limiter les permissions du compte de service GCDS
  3. Auditer régulièrement la synchronisation et les erreurs

Valeur par défaut : Synchronisation manuelle ou non configurée

16.3.1 — Gestion des identités privilégiées

Niveau : 🟠
Référence CIS : CIS Google Workspace 23.4
MITRE ATT&CK : T1078.004

Description : Les identités privilégiées nécessitent des protections renforcées incluant MFA obligatoire, accès temporaire et audit strict.

Vérification :

  • Inventaire de tous les comptes privilégiés
  • Configuration MFA obligatoire pour comptes privilégiés
  • Audit des activités des comptes privilégiés

Remédiation :

  1. Identifier et inventorier tous les comptes privilégiés
  2. Appliquer MFA renforcé (clés FIDO obligatoires)
  3. Implémenter l’accès privilégié temporaire (JIT)

Valeur par défaut : Gestion manuelle des privilèges

S17 — RÉPONSE AUX INCIDENTS

Cette section traite de la préparation et de la réponse aux incidents de sécurité dans Google Workspace.

17.1.1 — Procédures d’investigation

Niveau : 🟠
Référence CIS : CIS Google Workspace 24.1
MITRE ATT&CK : T1005

Description : Des procédures d’investigation documentées permettent une réponse rapide et efficace aux incidents de sécurité, préservant les preuves et limitant l’impact.

Vérification :

  • Documentation des procédures d’investigation
  • Formation des équipes de réponse aux incidents
  • Outils d’investigation configurés (Vault, logs, etc.)

Remédiation :

  1. Documenter les procédures step-by-step d’investigation
  2. Former les équipes IT/sécurité aux outils Google
  3. Tester régulièrement les procédures avec des simulations

Valeur par défaut : Pas de procédures formalisées d’investigation

17.1.2 — Outils de réponse automatisée

Niveau : 🟡
Référence CIS : CIS Google Workspace 24.2
MITRE ATT&CK : T1562.001

Description : L’automatisation de certaines réponses (suspension de comptes, révocation de sessions) permet une réaction rapide aux incidents critiques.

Vérification :

  • Configuration d’alertes automatiques
  • Scripts de réponse automatisée via Admin SDK
  • Intégration avec systèmes SOAR/SIEM

Remédiation :

  1. Configurer la suspension automatique pour comportements à risque
  2. Développer des scripts de réponse via API Admin SDK
  3. Intégrer avec les outils SOAR organisationnels

Valeur par défaut : Réponse manuelle uniquement aux incidents

17.2.1 — Récupération de comptes compromis

Niveau : 🟠
Référence CIS : CIS Google Workspace 24.3
MITRE ATT&CK : T1078

Description : Les procédures de récupération de comptes compromis doivent permettre une restauration sécurisée sans laisser de backdoors aux attaquants.

Vérification :

  • Procédures documentées de récupération de comptes
  • Test de la récupération avec comptes de test
  • Formation des équipes support

Remédiation :

  1. Documenter les étapes de récupération sécurisée
  2. Inclure la révocation de toutes les sessions et tokens
  3. Former le support IT aux procédures de récupération

Valeur par défaut : Procédures de récupération basiques

17.3.1 — Communication de crise

Niveau : 🟡
Référence CIS : CIS Google Workspace 24.4
MITRE ATT&CK : T1566

Description : Les plans de communication de crise définissent comment informer les utilisateurs et parties prenantes lors d’incidents de sécurité majeurs.

Vérification :

  • Plans de communication documentés
  • Canaux de communication d’urgence configurés
  • Templates de messages prêts à utiliser

Remédiation :

  1. Documenter les plans de communication par type d’incident
  2. Préparer des templates de messages pour différents scenarii
  3. Tester les canaux de communication d’urgence

Valeur par défaut : Communication ad-hoc lors d’incidents

S18 — CONFORMITÉ & GOUVERNANCE

Cette section couvre la conformité réglementaire, la gouvernance des données et les certifications.

18.1.1 — Localisation des données

Niveau : 🟡
Référence CIS : CIS Google Workspace 25.1
MITRE ATT&CK : T1005

Description : Le contrôle de la localisation des données peut être requis pour certaines réglementations (RGPD, souveraineté numérique).

Vérification :

  • Console Admin > Données > Localisation des données
  • Vérification des régions de stockage configurées
  • Compliance avec exigences réglementaires locales

Remédiation :

  1. Configurer les régions de stockage selon les exigences
  2. Valider la conformité avec les réglementations applicables
  3. Documenter la stratégie de localisation des données

Valeur par défaut : Stockage dans les datacenters Google globaux

18.1.2 — Transparence de l’accès

Niveau : 🟢
Référence CIS : CIS Google Workspace 25.2
MITRE ATT&CK : T1078.003

Description : Access Transparency fournit des logs détaillés des accès Google aux données clients pour maintenance et support.

Vérification :

  • Console Admin > Sécurité > Access Transparency
  • Configuration des notifications d’accès Google
  • Analyse des logs de transparence

Remédiation :

  1. Activer Access Transparency si disponible dans l’édition
  2. Configurer les alertes pour accès Google aux données
  3. Réviser régulièrement les logs de transparence

Valeur par défaut : Access Transparency selon édition Workspace

18.2.1 — Certifications de conformité

Niveau : 🟢
Référence CIS : CIS Google Workspace 25.3
MITRE ATT&CK : N/A

Description : La validation des certifications Google Workspace pertinentes (SOC2, ISO27001, etc.) assure l’alignement avec les standards de sécurité organisationnels.

Vérification :

  • Documentation des certifications Google applicables
  • Mapping avec les exigences organisationnelles
  • Validation périodique du maintien des certifications

Remédiation :

  1. Identifier les certifications requises par l’organisation
  2. Valider la couverture par les certifications Google
  3. Maintenir une veille sur les certifications Google

Valeur par défaut : Certifications Google disponibles selon l’édition

18.3.1 — Gouvernance des données

Niveau : 🟡
Référence CIS : CIS Google Workspace 25.4
MITRE ATT&CK : T1005

Description : Une gouvernance des données structurée définit les responsabilités, processus et contrôles pour la gestion du cycle de vie des données.

Vérification :

  • Documentation de la gouvernance des données
  • Rôles et responsabilités définis
  • Processus de classification et gestion des données

Remédiation :

  1. Documenter la stratégie de gouvernance des données
  2. Définir les rôles de Data Owner/Data Steward
  3. Implémenter les processus de gestion du cycle de vie

Valeur par défaut : Pas de gouvernance formalisée des données

RÉCAPITULATIF DES CONTRÔLES

Synthèse par Section

Section Contrôles 🔴 Critiques 🟠 Élevés 🟡 Moyens 🟢 Faibles
S1 - Comptes & Identités 25 3 5 15 2
S2 - Authentification 25 2 8 14 1
S3 - Gmail Sécurité 30 4 12 13 1
S4 - Drive & Partage 25 1 8 15 1
S5 - Google Meet 10 0 3 7 0
S6 - Google Chat 10 0 1 9 0
S7 - Google Calendar 10 0 0 10 0
S8 - Appareils 20 2 8 9 1
S9 - Apps Tierces 20 1 4 14 1
S10 - Règles DLP 20 0 6 13 1
S11 - Vault & Rétention 15 0 3 11 1
S12 - Sécurité Domaine 15 2 3 9 1
S13 - Journalisation 20 0 6 13 1
S14 - Groupes Google 15 0 1 14 0
S15 - Chrome Enterprise 15 0 1 13 1
S16 - Cloud Identity 15 0 3 11 1
S17 - Réponse Incidents 10 0 3 7 0
S18 - Conformité 10 0 0 7 3

TOTAL : 280 contrôles

  • 🔴 Critiques : 15 contrôles (5%)
  • 🟠 Élevés : 75 contrôles (27%)
  • 🟡 Moyens : 177 contrôles (63%)
  • 🟢 Faibles : 13 contrôles (5%)

RÉSUMÉ EXÉCUTIF

Score de Maturité Sécuritaire

Méthode d’évaluation : Chaque contrôle est évalué et pondéré selon sa criticité :

  • 🔴 Critiques : 4 points
  • 🟠 Élevés : 3 points
  • 🟡 Moyens : 2 points
  • 🟢 Faibles : 1 point

Score Maximum Possible : 645 points

Échelle de Maturité

  • 0-25% : Niveau Initial - Sécurité ad-hoc, risques élevés
  • 26-50% : Niveau Géré - Processus de base, contrôles partiels
  • 51-75% : Niveau Défini - Approche structurée, bonnes pratiques
  • 76-90% : Niveau Quantifié - Métriques et optimisation continue
  • 91-100% : Niveau Optimisé - Excellence sécuritaire, innovation

Top 3 des Risques Identifiés

1. 🔴 Gestion des Identités et Accès Privilégiés

Impact : Très élevé - Probabilité : Élevée

  • Comptes super-administrateurs insuffisamment protégés
  • MFA non obligatoire pour tous les utilisateurs
  • Absence de gestion des comptes de service

Actions Prioritaires :

  1. Imposer MFA avec clés FIDO pour tous les administrateurs
  2. Limiter le nombre de super-administrateurs à 2-4 maximum
  3. Auditer et sécuriser tous les comptes de service

2. 🔴 Protection Anti-Phishing et Email

Impact : Très élevé - Probabilité : Très élevée

  • DMARC non configuré ou en mode permissif
  • Protection anti-phishing insuffisante
  • Absence de règles DLP pour emails sensibles

Actions Prioritaires :

  1. Configurer DMARC en mode ‘reject’ pour tous les domaines
  2. Activer la protection anti-phishing avancée
  3. Implémenter des règles DLP pour données sensibles

3. 🟠 Contrôle du Partage Externe et Fuites de Données

Impact : Élevé - Probabilité : Élevée

  • Partage externe Drive non restreint
  • Applications OAuth tierces non contrôlées
  • Absence de classification automatique des données

Actions Prioritaires :

  1. Restreindre le partage externe aux domaines approuvés
  2. Implémenter une liste blanche d’applications OAuth
  3. Configurer la classification automatique des contenus

Feuille de Route Recommandée

Phase 1 - Sécurisation Immédiate (0-30 jours)

  • ✅ Activation MFA obligatoire tous utilisateurs
  • ✅ Configuration DMARC strict tous domaines
  • ✅ Restriction partage externe Drive
  • ✅ Audit et sécurisation comptes administrateurs
  • ✅ Activation protection anti-phishing avancée

Phase 2 - Renforcement (30-90 jours)

  • ✅ Déploiement règles DLP multi-services
  • ✅ Configuration Context-Aware Access
  • ✅ Mise en place MDM obligatoire
  • ✅ Audit et contrôle applications OAuth
  • ✅ Centralisation logs sécurité (SIEM)

Phase 3 - Optimisation (90-180 jours)

  • ✅ Déploiement chiffrement côté client (CSE)
  • ✅ Implémentation BeyondCorp Enterprise
  • ✅ Automatisation réponse incidents
  • ✅ Optimisation gouvernance données
  • ✅ Formation utilisateurs sécurité avancée

Phase 4 - Excellence (180+ jours)

  • ✅ Intégration écosystème sécurité complet
  • ✅ Analyse comportementale avancée
  • ✅ Zero Trust complet
  • ✅ Amélioration continue basée métriques
  • ✅ Certification sécurité organisationnelle

MAPPINGS RÉGLEMENTAIRES ET NORMATIFS

Correspondance NIST Cybersecurity Framework

Fonction NIST Contrôles Applicables Sections Principales
Identify (ID) 45 contrôles S1-Identités, S8-Appareils, S14-Groupes
Protect (PR) 167 contrôles S2-Auth, S3-Gmail, S4-Drive, S9-Apps, S10-DLP
Detect (DE) 38 contrôles S13-Audit, S17-Incidents, Centre d’alertes
Respond (RS) 20 contrôles S17-Incidents, Vault investigations
Recover (RC) 10 contrôles S11-Vault, Procédures récupération

Alignement ISO 27001:2022

Annexe A Domaine Contrôles Couverts
A.5 Politiques sécurité information 15 contrôles
A.6 Organisation sécurité information 25 contrôles
A.7 Sécurité ressources humaines 18 contrôles
A.8 Gestion des actifs 32 contrôles
A.9 Contrôle d’accès 45 contrôles
A.10 Cryptographie 12 contrôles
A.11 Sécurité physique environnementale 8 contrôles
A.12 Sécurité exploitation 38 contrôles
A.13 Sécurité communications réseau 28 contrôles
A.14 Acquisition, développement, maintenance 15 contrôles
A.15 Relations avec fournisseurs 12 contrôles
A.16 Gestion incidents sécurité information 18 contrôles
A.17 Aspects sécurité continuité activité 8 contrôles
A.18 Conformité 6 contrôles

Couverture MITRE ATT&CK for Cloud

Tactique Techniques Couvertes Contrôles Préventifs
Initial Access T1078, T1566 45 contrôles auth/phishing
Execution T1059, T1204 25 contrôles applications
Persistence T1098, T1136 35 contrôles gestion comptes
Privilege Escalation T1078.004 20 contrôles admin/privilèges
Defense Evasion T1562 30 contrôles monitoring/logs
Credential Access T1110, T1552 28 contrôles MFA/secrets
Discovery T1069, T1087 22 contrôles enumeration
Collection T1005, T1114 38 contrôles DLP/protection
Exfiltration T1041, T1567 42 contrôles partage/transfert
Impact T1485, T1498 15 contrôles backup/DoS

Conformité RGPD/NIS2

Articles RGPD Couverts

  • Art. 25 - Protection données dès conception : S10-DLP, S4-Classification
  • Art. 28 - Sous-traitants : S18-Conformité, Certifications Google
  • Art. 30 - Registre traitements : S11-Vault, S13-Journalisation
  • Art. 32 - Sécurité traitement : Ensemble des 18 sections
  • Art. 33-34 - Notifications violations : S17-Réponse incidents
  • Art. 35 - Analyse impact : S18-Gouvernance données

Exigences NIS2 Couvertes

  • Cybersécurité entreprise : S1-S18 complètes
  • Gestion risques : S17-Incidents, S13-Monitoring
  • Continuité activité : S11-Vault, Procédures récupération
  • Gestion crise : S17-Communication crise
  • Sécurité chaîne approvisionnement : S9-Apps tierces
  • Formation sensibilisation : Incluse dans procédures

PLAN DE REMÉDIATION TYPE

Template de Projet Sécurisation

Phase de Planification (Semaines 1-2)

Objectifs :

  • Évaluation état actuel avec cette checklist
  • Priorisation des actions selon les risques
  • Allocation ressources et définition timeline

Livrables :

  1. Rapport d’audit initial (utiliser cette checklist)
  2. Matrice de risques avec scores de criticité
  3. Plan de projet détaillé avec jalons
  4. Budget et ressources nécessaires
  5. Communication plan vers direction/utilisateurs

Phase 1 - Sécurisation Critique (Semaines 3-6)

Actions P1 (🔴 Critiques) :

Action Responsable Durée Prérequis
MFA obligatoire tous utilisateurs Admin IT 1 semaine Formation utilisateurs
DMARC strict tous domaines Admin DNS/Email 2 semaines Validation SPF/DKIM
Audit comptes super-admin RSSI 1 semaine Inventaire accès
Restriction partage externe Admin Workspace 1 semaine Validation besoins métier
Configuration anti-phishing Admin Email 1 semaine Test environnement

Métriques de succès :

  • 100% utilisateurs avec MFA actif
  • DMARC p=reject sur tous domaines
  • ≤4 comptes super-administrateurs
  • 0 partage public Drive non justifié
  • Protection anti-phishing activée toutes OU

Phase 2 - Renforcement (Semaines 7-14)

Actions P2 (🟠 Élevées) :

Domaine Actions Clés Timeline KPI
DLP Règles multi-services PII/Financier 3 semaines >95% documents classifiés
Appareils MDM obligatoire, politiques sécurité 4 semaines 100% appareils gérés
Applications Liste blanche OAuth, audit permissions 2 semaines 0 apps non autorisées
Monitoring SIEM intégration, alertes automatiques 3 semaines <15min temps réponse
Accès Context-Aware Access, niveaux de confiance 4 semaines Politiques par contexte

Phase 3 - Optimisation (Semaines 15-26)

Actions P3 (🟡 Moyennes) :

  • Gouvernance données complète
  • Chiffrement côté client documents sensibles
  • Automatisation réponse incidents
  • Formation utilisateurs avancée
  • Procédures investigation documentées

Actions P4 (🟢 Faibles) :

  • BeyondCorp Enterprise évaluation
  • Intégrations sécurité avancées
  • Certifications organisationnelles
  • Analyse comportementale

Phase 4 - Maintien et Amélioration Continue

Processus récurrents :

  • Hebdomadaire : Revue alertes sécurité, incidents
  • Mensuel : Audit accès privilégiés, apps OAuth
  • Trimestriel : Revue complète avec cette checklist
  • Annuel : Évaluation maturité, mise à jour stratégie

Métriques de performance :

  • Temps de détection incidents : <30 minutes
  • Temps de réponse incidents : <2 heures
  • Score conformité checklist : >90%
  • Formation utilisateurs : 100% annuel
  • Tests de sécurité : Trimestriels

Gestion du Changement

Communication :

  1. Direction : Réunions hebdomadaires, dashboards exécutifs
  2. Utilisateurs : Formations, newsletters sécurité, support
  3. IT : Documentation technique, procédures, formations

Formation :

  • Administrateurs : 16h formation Google Workspace sécurité
  • Utilisateurs finaux : 2h sensibilisation + tests trimestriels
  • Support : 8h procédures incidents et récupération

Résistance au changement :

  • Identifier champions sécurité par département
  • Démontrer valeur métier des contrôles
  • Implémenter progressivement avec support renforcé
  • Mesurer et communiquer les améliorations

CONCLUSION

Ce checklist de sécurité Google Workspace constitue un référentiel complet pour évaluer et améliorer la posture sécuritaire de votre organisation. Avec 280 contrôles détaillés couvrant 18 domaines critiques, il offre une approche structurée et progressive de la sécurisation.

Points clés à retenir :

  1. Priorisation : Commencer par les contrôles 🔴 critiques (5%) puis 🟠 élevés (27%)
  2. Approche progressive : Implémenter par phases selon la feuille de route recommandée
  3. Surveillance continue : Utiliser ce checklist trimestriellement pour maintenir la conformité
  4. Adaptation : Ajuster selon vos exigences réglementaires et besoins métier spécifiques

Support AYI NEDJIMI CONSULTANTS :

  • Audit sécurité Google Workspace complet
  • Accompagnement implémentation contrôles
  • Formation équipes techniques et utilisateurs
  • Support continu et monitoring sécuritaire

Pour toute question ou accompagnement personnalisé : info@ayi-nedjimi.com

© 2026 AYI NEDJIMI CONSULTANTS - Tous droits réservés
Classification : CONFIDENTIEL - Usage interne client uniquement
Version : 1.0 - Dernière mise à jour : 04/04/2026

📋 Autres checklists

🏢
Active Directory
106 contrôles
 ☁️
Azure Cloud
23 contrôles
 🌐
Chrome Enterprise
243 contrôles
 🛡️
Microsoft Defender
223 contrôles

Toutes nos checklists sécurité

Retrouvez l'ensemble de nos 11 checklists d'audit et de durcissement professionnelles.

Voir toutes les checklists