À quel point Google Drive est-il sécurisé et comment améliorer sa protection pour les entreprises

Mai 3, 2021 | Non classé

google drive security business

L’augmentation du travail à distance a déclenché l’utilisation d’applications de collaboration et de stockage en nuage pour partager de la documentation et des fichiers entre les équipes d’une entreprise et avec d’autres utilisateurs externes. Le partage via des dossiers locaux sur des serveurs de fichiers a cédé la place au stockage en cloud dans ce que l’on appelle les applications “Enterprise File Sync & Share (EFSS)”, dont Google Drive, One Drive ou Box, entre autres.

Dans cet article, nous allons nous concentrer sur Google Drive, plus précisément sur la sécurité de Google Drive et Google Drive for Business proposée dans la suite d’applications Google Workspace.

Sommaire

 

Utilisation étendue de Google Drive

 
Plus de 2 milliards d’utilisateurs utilisent Google Drive pour stocker leurs données dans le cloud et collaborer avec d’autres. Dans le domaine de la numérisation du lieu de travail, Google Workspace a été choisi par des organisations de toutes tailles, des PME aux grandes entreprises, pour gérer leur documentation.

Google Drive élimine certains des problèmes liés au stockage local des données, tels que la possibilité d’accéder aux données de n’importe où (accessibilité), offre un moyen simple et pratique de stocker des fichiers et de collaborer avec eux (convivialité), permet de sauvegarder automatiquement les données (sauvegarde) et offre des fonctions de sécurité supplémentaires par rapport au stockage local des documents.

En relation avec ce dernier point, quel niveau de sécurité Google Drive offre-t-il aux entreprises?.

Nous allons le voir en profondeur en l’analysant du point de vue de la protection des données au repos, en transit et en utilisation.
 

Protection des données au repos dans Google Drive for Business

 
Les informations qu’un utilisateur télécharge sur Google Drive sont stockées dans les centres de données de Google avec un cryptage au repos. Google utilise des clés AES de 128 ou 256 bits selon le type de périphérique de stockage de sauvegarde.

Lorsque Google stocke les données, le contenu est divisé en fragments plus petits, chacun d’entre eux étant crypté avec sa propre clé de sécurité, et en même temps, cette clé de sécurité est cryptée avec une autre clé. Cette dernière clé est protégée et gérée par le service de gestion des clés de Google.

(KMS-Key Administration Management), stocké séparément des données et protégé et également crypté au repos.

google drive security data at rest

Il est important de noter que, malgré ces mesures de sécurité, , Google est en possession à la fois du contenu et des clés, ce qui lui permet de décrypter le contenu et d’y accéder. Bien que les failles de sécurité antérieures de Google n’aient pas été directement liées à Google Drive, le fait que le contenu et les clés de cryptage se trouvent chez le même fournisseur peut rendre nos données plus susceptibles d’être accessibles lors d’une attaque potentielle contre ce même fournisseur.

Selon les règles de confidentialité et les conditions d’utilisation de Google et de Google Drive, nous restons propriétaires de nos données. Toutefois, le service peut scanner vos documents pour obtenir des informations afin d’améliorer le ciblage de ses publicités et se réserve le droit de communiquer vos informations si les forces de l’ordre l’exigent.
 

Protection des données en transit dans Google Drive for Business

 
Google utilise le protocole TLS (Transport Layer Security) pour protéger les données en transit vers et depuis Google Drive et prévenir les attaques de type « man-in-the-middle » ou interception de données. Il convient de noter que TLS sécurise le canal de communication via le protocole HTTPS, mais ne garantit pas la sécurité une fois que le contenu a été partagé avec un tiers. La protection n’est pas appliquée de manière persistante au fichier, de sorte qu’une fois qu’on y accède, il n’y a aucun moyen de contrôler la sécurité.

google drive security data in motion

Les risques sont encore plus grands lorsque des liens publics sont établis sur les fichiers en donnant un contrôle total sur ceux-ci, puisque n’importe qui, et pas seulement le récepteur du lien, peut lire le contenu, le modifier, le copier, l’imprimer, etc. Outre le fait que ces liens publics sont potentiellement accessibles à tous, rien n’empêche le destinataire d’un lien de le faire suivre ou de le partager avec des tiers.
 

Protection en cours d’utilisation et contrôle des droits numériques dans Google Drive for Business

 
La version la plus basique de Google Drive incluse dans Workspace ne comprend pas de contrôle granulaire des permissions afin de répondre aux exigences de confidentialité et de conformité requises dans les organisations.

Une façon d’éviter les problèmes de liens publics vers des fichiers Google Drive est d’autoriser le partage uniquement avec certaines personnes. Cependant, si nous voulons limiter ce que l’utilisateur peut faire avec nos données une fois qu’il les a reçues, nous devons être en mesure de contrôler les autorisations sur le contenu.

En outre, et selon le niveau d’abonnement, Google Drive permet un certain contrôle de base des droits numériques associés aux fichiers et aux dossiers tels que modifier, commenter, visualiser uniquement, télécharger, etc.

Dans une entreprise, l’administrateur peut également restreindre l’accès à certains rôles ou départements en désactivant le partage ou l’impression. Google Drive permet de travailler avec les groupes Google. Il est possible de créer un groupe et d’ajouter des personnes avec lesquelles on souhaite partager un fichier ou un dossier. En retirant des utilisateurs du groupe, on supprime leurs droits d’accès aux fichiers qui ont été partagés avec eux.

Ces fonctionnalités nous permettent de répondre à diverses exigences de sécurité de l’entreprise, mais ne fournissent pas une protection efficace des données en cours d’utilisation dans certains scénarios de collaboration avec des tiers. La protection des données ne voyage pas avec les documents. Ainsi, dès que les données quittent Google Drive, l’utilisateur et l’entreprise perdent le contrôle des données partagées.

Je peux laisser « affichage seulement » sur un fichier partagé avec Google Drive ou « modifier » avec l’interface web de Google Docs, cependant, si l’utilisateur peut télécharger le contenu pour pouvoir travailler avec Microsoft Office localement, par exemple, Google Drive aura perdu le contrôle sur cette documentation.
 

Besoins de protection supplémentaires pour une société et limitations

 
Dans presque toutes les organisations, il existe une documentation sensible qui doit être gardée sous contrôle et à laquelle seules certaines personnes peuvent accéder. Il s’agit notamment de documents de gestion, de données financières, de documents contenant des données personnelles gérées par le service utilisateur, de documents juridiques, de données commerciales sensibles qui peuvent avoir un impact si elles tombent entre les mains d’un concurrent, etc.

google drive security sensitive information
 
Lorsqu’il s’agit de ce type de documentation, le partage par le biais de liens, de sorte que quiconque possède le lien peut accéder au contenu, n’est pas une option. De plus, le fait que les utilisateurs puissent gérer leurs propres liens augmente la probabilité d’oublis, de laisser des liens ouverts qui ne devraient pas l’être, etc.

De même, l’utilisation d’abonnements plus avancés pour contrôler les droits numériques individuellement par les utilisateurs augmente également le risque sur cette documentation depuis:

  • La gestion des droits numériques est individuelle par fichier ou dossier et ne repose pas sur des politiques ou des modèles. Comme pour les liens, la probabilité d’oublis est accrue.
  • En l’absence de politiques, les utilisateurs doivent déterminer les droits pour chaque type de contenu et pour chaque utilisateur à chaque fois qu’il est partagé. Cela n’est pas pratique et incite les utilisateurs à éviter ces contrôles pour des raisons d' »agilité ».
  • Même si ces autorisations ont été attribuées, une fois que le contenu a été partagé et téléchargé, nous ne pourrons pas le contrôler puisque la protection ne voyage pas avec les fichiers.

Bien que Google puisse couvrir les exigences de conformité réglementaire telles que GDPR, HIPAA, ITAR, etc., la responsabilité ultime des données incombe à l’organisation et à la manière dont elle gère ses données pour préserver la sécurité des données. Si les documents sont accessibles sur des liens publics, avec un contenu téléchargeable, la responsabilité ultime incombe au contrôleur des données, l’organisation.

C’est pourquoi il est essentiel d’établir une politique de cryptag in the company, dans l’entreprise, et nous devons nous occuper du processus de déploiement en interne pour qu’il ait le plus de succès possible auprès des utilisateurs.
 

Comment améliorer la sécurité dans Google Drive?

 
Il existe des contrôles de base qui peuvent empêcher l’accès aux données par des tiers lors d’une attaque potentielle:

  • L’une d’entre elles consiste à disposer d’une authentification à deux facteurs pour empêcher quiconque d’obtenir notre mot de passe et d’accéder aux données.
  • Comme nous l’avons mentionné plus haut, il n’est pas bon que quiconque a accès au contenu ait également accès aux clés de chiffrement. Disposer d’un chiffrement de bout en bout où le contrôle des clés ne repose pas sur le propriétaire de la plateforme de stockage augmente sans aucun doute le niveau de sécurité.

Il existe de multiples outils permettant de crypter des documents ou des dossiers avant d’être téléchargés sur Google Drive ou qui appliquent un cryptage supplémentaire sur les données synchronisées sur l’ordinateur, cependant, il faut noter que ces solutions n’améliorent la protection des données qu’au repos en incluant des clés non contrôlées par Google, mais rien n’empêche qu’une fois le document partagé, un tiers puisse en faire ce qu’il veut puisque, encore une fois, ces outils n’assurent qu’un cryptage au repos mais pas à l’usage ni au contrôle des droits numériques.

  • Une protection qui voyage avec les fichiers: Une amélioration substantielle de la sécurité est de permettre que, même si les documents sont téléchargés par des tiers, qu’ils soient internes ou externes à l’organisation, nous puissions toujours garder le contrôle sur les données : Qui peut ouvrir le document, avec quelles autorisations (affichage seulement, modification, impression, etc.), etc. et de pouvoir révoquer l’accès aux fichiers, même s’ils se trouvent déjà physiquement sur les ordinateurs d’autres utilisateurs.
  • Contrôles supplémentaires sur la documentation: Lorsque les informations sont sensibles, disposer de filigranes pour empêcher les captures d’écran peut atténuer la probabilité d’une fuite de données. D’autre part, avoir la possibilité de contrôler l’IP ou les sous-réseaux à partir desquels les informations sensibles sont ouvertes peut être critique dans certains cas avec des documents hautement confidentiels, où nous ne sommes pas intéressés par le fait qu’un utilisateur puisse accéder à certaines informations depuis chez lui et les télécharger.
  • Améliorer la sécurité des liens publics et du partage externe: La gestion des liens publics dans Google Drive est largement utilisée car elle est pratique pour les utilisateurs. Il leur suffit de transmettre le lien pour qu’un tiers puisse le télécharger. En protégeant les données accessibles par ce lien, en faisant en sorte que la sécurité voyage avec lui et reste sous contrôle où qu’il aille, on s’assure de minimiser le risque de fuite. L’accès peut être révoqué même si le document a été téléchargé.
  • Améliorez les contrôles de surveillance et d’audit des données: Google Drive peut donner à un administrateur des informations sur les téléchargements et l’accès aux fichiers pendant que les documents sont sur la plateforme. Cependant, lorsque les données sont confidentielles ou soumises à un contrôle réglementaire, il est essentiel de pouvoir savoir qui y accède, quand, si quelqu’un tente d’y accéder sans autorisation, etc. Même si ces documents ont déjà été partagés et téléchargés par des tiers.

Google a pris soin de garder le partage simple pour les utilisateurs et les administrateurs et c’est une fonctionnalité très appréciée par ceux qui choisissent d’utiliser Google Drive. Il est important que, si des mesures de sécurité supplémentaires sont mises en œuvre, la simplicité d’utilisation soit maintenue au minimum, en évitant que l’utilisation de la solution ne soit compromise par la complexité des outils de sécurité adoptés.
 

Comment SealPath améliore la sécurité dans Google Drive

 
Parmi les types de technologies spécialisées dans la protection des données au niveau de l’entreprise et celles qui entrent dans le champ de sécurité d’une stratégie de protection « confiance zéro », SealPath permet d’appliquer une protection persistante aux fichiers qui voyagent avec eux, même s’ils ont déjà été téléchargés sur d’autres réseaux. La protection est assurée au repos, en transit et en cours d’utilisation.

  • En chiffrant les données avec SealPath, nous séparons le contrôle du stockage (Google) du contrôle des données chiffrées. Même si la plateforme Google était compromise, l’attaquant n’aurait pas accès aux données.
  • Le contrôle des permissions va au-delà de l’environnement Google Drive. Même si les données ont été téléchargées, nous pouvons limiter les personnes qui peuvent consulter, modifier, copier et coller, imprimer ou avoir un accès contrôlé aux fichiers.
  • La révocation de l’accès ne s’applique pas seulement aux données hébergées sur la plateforme, mais même si elles se trouvent sur des ordinateurs et des réseaux externes à notre organisation.
  • Des contrôles supplémentaires tels que le filigrane, le contrôle de la IP, etc. sont ajoutés à la documentation pour minimiser la probabilité de fuite de données.
  • Il offre de puissantes capacités d’audit et de traçabilité des documents tant à l’intérieur qu’à l’extérieur de la plateforme Google Drive, sur les fichiers téléchargés sur n’importe quel ordinateur et appareil. Les données d’audit peuvent être intégrées à tout SIEM pour gérer les alertes d’accès à certaines informations.
  • SealPath permet d’automatiser la protection de la documentation stockée dans Google Drive, puisque l’administrateur peut décider quels dossiers de l’organisation doivent être automatiquement chiffrés. Il en va de même pour les utilisateurs, qui peuvent définir des règles de chiffrement automatique sur certains dossiers.
  • SealPath a apporté le plus grand soin à l’expérience utilisateur :

Il permet de travailler sur les fichiers directement dans le navigateur et sans agents grâce à SealPath Secure Browser dont l’add-in peut être activé au niveau de l’utilisateur individuel et du domaine dans l’organisation. L’utilisateur n’a pas besoin de télécharger les documents protégés pour y accéder. SealPath Secure Browser ajoute également des contrôles de filigrane et d’autorisation sur la documentation à laquelle on accède dans le navigateur.
 

 
Permettant de travailler directement avec les agents Google Drive, soit l’agent de sauvegarde et de synchronisation soit le flux de fichiers Google Drive. Il est possible de protéger automatiquement les dossiers dans les deux, y compris les flux de fichiers, de sorte que lorsqu’un utilisateur y déplace ou y copie des fichiers, ceux-ci sont automatiquement protégés. Grâce à Google File Stream, aucun espace local n’est occupé, mais seules les références aux fichiers stockés dans le nuage Google Drive sont conservées.
 
google drive automatic protection

 

 

Contactez-nous et nous vous montrerons comment SealPath fonctionne de manière intégrée avec Google Drive pour augmenter et fournir une sécurité supplémentaire aux données stockées dans cette plateforme, minimisant ainsi la possibilité de fuites de données.