Google Apps et la sécurité

Beaucoup s’interrogent sur la sécurité du modèle SaaS proposé par Google. Est-il raisonnable de lui confier la gestion de sa messagerie ? N’y a-t-il pas un risque de piratage accru ? Google va-t-il lire le contenu de nos mails ?

Autant de questions auxquelles nous allons tenter ici d’apporter des réponses. A noter que les éléments de sécurité suivants ne concernent que la version payante « Premier Edition » de Google Apps.

Sécurité du modèle SaaS :

Comparée à une solution interne où le stockage et l’accès aux mails ne sont possibles qu’à partir du réseau d’entreprise, la solution SaaS de Google Apps parait peu sécurisée. Il n’en est rien.

Google est constamment attaqué par des pirates tentant de voler les données de ses datacenters La sécurité est donc l’une de ses principales préoccupations. Google a compris que sa réussite et sa pérennité dépendent, non seulement de sa solidité financière, mais aussi de sa capacité à protéger efficacement les données de ses clients.

Confidentialité

On reproche à Google, comme aux autres fournisseurs de solutions gratuites de messagerie sur le Web, de lire le contenu des messages. Il est facile de s’en apercevoir à cause de la publicité associée à notre messagerie. En fait, les robots de Google lisent le contenu de nos mails pour cibler les thèmes des publicités affichées.

Dans la version payante de Gmail, l’interface de consultation des mails est exempte de toute publicité. Il devient donc inutile, pour les moteurs de Google de lire le contenu des mails. De plus, la confiance que l’on accorde à Google est aussi basée sur le caractère confidentiel des mails hébergés.

Accès

Google assure la sécurité du transport des messages entre le navigateur client et ses serveurs en chiffrant les communications avec HTTPS. C’est une option qui est facultative, mais nécessaire et qui ne réduit pas la performance de la solution.

Pour ceux qui désirent garder un client de messagerie lourd, les protocoles POPS et IMAPS sont également disponibles.

Authentification

Google gère l’authentification en proposant une page d’identification. Dans ce cas, seule l’empreinte des mots de passe est stockée chez Google.

Google peut déléguer l’authentification à l’entreprise. Dans ce cas un échange de jeton SAML remplace la saisie du mot de passe.

Archivage

La sécurité concerne aussi le stockage des messages. Certaines entreprises autorisent leurs employés à laisser sur le serveur de mails, leurs messages tant que la taille globale n’excède pas quelques dizaines de Mo. Une fois la capacité atteinte, il devient impossible d’envoyer de nouveaux messages.

Google offre une capacité de stockage de 25 Go par utilisateur sur les serveurs. Il devient donc inutile d’archiver ses mails localement puisqu’ils le sont déjà sur les serveurs de Google.

Antivirus et anti-spam

La solution Google Apps est fournie avec un antivirus performant qui analyse le contenu à risque des messages ainsi que les pièces jointes avant leur téléchargement. La différence avec un antivirus local est que Google parcourt les messages et les pièces jointes avant de les transmettre.

L’anti-spam, tout aussi efficace, bénéficie de l’expérience induite par les millions de messages qui transitent tous les jours sur les serveurs de Google. Chaque message, reconnu identifié comme spam est gardé sur le serveur pendant 14 jours avant d’être définitivement détruit. Cette solution fournit en plus la possibilité de récupérer les mails détruits par erreur pendant 90 jours.

Reprise d’activité sur incident

Google a passé la série d’examen « SAS 70 type 2 ». C’est un audit de conformité en matière de protection des informations stratégiques tout au long du cycle de vie des données. Cette certification assure de la mise en œuvre de contrôles et de sauvegardes efficaces.

Par ailleurs, le SLA annoncé par Google est de 99,9%, ce qui assure une indisponibilité de la messagerie inférieure à 9 heures par an. Pour nous prouver sa confiance dans le système, les employés de Google l’utilisent, eux aussi comme messagerie d’entreprise !

Une messagerie interne est-elle plus sécurisée ?

On pourrait le penser si elle n’est accessible qu’en interne. Mais, il n’en est pas moins vrai que les messages sont stockés en clair et que le personnel technique en charge de la messagerie a accès à tous les mails. De plus, la capacité de stockage sur les serveurs internes est plus limitée et donc chaque utilisateur est tenté de faire des sauvegardes régulières sur CD de ses messages, avec tous les risques de vol de données que cela comporte.

En conclusion, on peut donc affirmer, que loin de présenter des risques pour la sécurité des données, l’utilisation de Google Apps renforce le niveau de sécurité des outils de messagerie.

Thierry ALBAIN

6 Responses to “Google Apps et la sécurité”


  1. 1 fcamblor 15/02/2009 à 13:08

    L’article est très intéressant et illustre bien le panel de services que Google propose concernant la sécurisation des données. En revanche, personnellement, il ne me "rassure" pas sur l’aspect "confidentiel" qui – en résumant – repose sur la confiance qu’on peut avoir envers Google. J’aurais, par exemple, été un tout petit peu plus rassuré, si j’avais lu que Google offrait un moyen de cryptage/décryptage, laissé au soin "du client", des données de mail qu’il stocke (ce n’est qu’un exemple à la "yakafokon" 🙂 … je me doute que le problème n’est pas aussi facile à résoudre) PS: il n’a pas été question de sécurité des données "offline" (sur google docs par exemple) : a-t-on des infos là-dessus ?
    (en gros, est-ce que n’importe quelle personne ayant accès à la session locale de mon OS peut aller regarder dans mon cache internet – sans authentification gmail donc – et en ressortir les données confidentielles mail/docs que j’ai en offline ? Ces données seraient-elle cryptées ?)

  2. 2 jojo 16/02/2009 à 20:43

    Je n’ai pas trouvé dans les règles de confidentialités google que j’ai pu lire, un article qui indique clairement que google ne lira pas le contenu des données. Rien n’indique clairement que le gouvernement américain n’accédera pas à ces données. Mais, j’ai probablement mal lu, ou mal cherché. Aussi, j’aimerais bien avoir cette référence.
    Mon avis perso, c’est que tant que la société utilisatrice de google apps n’entrera pas en concurrence avec une société américaine pour un marché important ou sensible, il ne devrait pas y avoir de problème. Pour le reste, j’ai quelques doutes, surtout qu’il s’agit des USA, le champion mondial de l’intelligence économique.
    Il aurait été mieux que Google soit français…

  3. 3 Thierry Albain 20/02/2009 à 09:38

    Doit-on faire confiance à Google ? Pour faire suite aux commentaires de mon précédent billet, voici quelques éléments de réflexion sur la confidentialité. Google a adhéré aux principes de la sphère de sécurité (US Safe Harbor) : http://www.google.com/a/help/intl/f… Voici le lien, en français, qui explique ces principes : http://www.juriscom.net/uni/doc/200… Le lien de référence, en anglais, sur le détail de ces règles : http://www.export.gov/safeharbor/ Google est donc, au même titre que les entreprises européennes, soumise à des lois qui protègent nos données personnelles et professionnelles. Les données personnelles ne peuvent être divulguées ou utilisées sans notre consentement préalable. Les données professionnelles, même si Google en assure l’hébergement et la sécurité, restent notre propriété privée. Quoi qu’il en soit, faire confiance relève d’avantage du choix que de la raison et va bien au delà du cadre juridique. Le mode offline. Le mode offline de stockage des données est encore un lab, il n’est disponible qu’à titre expérimental. Cela veut aussi dire que ses caractéristiques vont évoluer avant de devenir partie intégrante de la solution Google Apps. En attendant, Il est toujours possible de chiffrer, par d’autres procédés, le fichier du mode offline afin de limiter le vol de son contenu.

  4. 4 Romain 23/06/2009 à 15:11

    Bonjour, Pouvons nous être sur de la securité fournie par Google? Et le jour ou il faudra recuperer ses 25 Go de mail, comment cela se passera t il? Cdlt.

  5. 5 Jerome 21/09/2009 à 16:07

    Published docs will be crawlable soon :
    http://www.google.com/support/forum

  6. 6 appendice 07/10/2009 à 23:22

    Bonour
    Ayant l’expérience d’une société ayant adopté la messagerie Google , il est quand même étonnant qu’on puisse se logguer sans mot de passe sur cette messagerie à partir du moment où vous n’avez pas fermé votre ordinateur (une mise en veille par exemple) en quittant l’entreprise et ce sur n’importe quel cable ADSL en dehors de l’entreprise. Les agendas également semblent être rudimentaire s/ d’autres messageries que j’ai pu pratiquer


Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s




Mises à jour Twitter

Erreur : Twitter ne répond pas. Veuillez patienter quelques minutes avant d'actualiser cette page.

Entrer votre adresse e-mail pour vous inscrire a ce blog et recevoir les notifications des nouveaux articles par e-mail.

Rejoignez 29 autres abonnés

Catégories

Statistiques

  • 64 114 hits

%d blogueurs aiment cette page :