Vous utilisez Google Workspace? C’est super le produit est très bien (tout comme Microsoft 365) mais il y a quelques réglages qu’il faut surveiller.
La base de la base
Les bases d’un système email à peu près bien configuré c’est de régler :
- SPF, si vous ne savez pas ce que c’est, un peu de lecture
- DKIM, si vous ne savez pas ce que c’est, un peu de lecture
- DMARC
La documentation de Google Workspace est excellente sur les SPF, n’hésitez pas à la lire. Même chose avec DKIM et DMARC.
Vérifiez donc d’avoir au moins SPF/DKIM de bien configuré sur votre domaine puis passons à la suite.
Les réglages de sécurité de Workspace
La section Safety de votre console Admin ( admin.google.com ) inclut beaucoup de réglages à ne pas négliger.
En voici la liste et un réglage que nous suggérons d’appliquer avec – le cas échéant – les paramètres à utiliser. Adaptez les à vos besoins:
- Pièces jointes
- Protéger votre messagerie contre les pièces jointes chiffrées envoyées par des expéditeurs non approuvés
- Protéger votre messagerie contre les pièces jointes contenant des scripts et envoyées par des expéditeurs non approuvés
- Protéger contre les types de pièces jointes anormaux dans les e-mails
- Appliquer automatiquement les paramètres recommandés ultérieurement
- Protections pour la consultation IMAP
- Activer la protection contre les liens malveillants dans IMAP
- Liens et images externes
- Identifier les liens derrière les URL raccourcies
- Analyser les images liées
- Appliquer automatiquement les paramètres recommandés ultérieurement
- Spoofing et authentification
- Protéger contre le spoofing de domaine à partir de noms de domaine similaires: au moins afficher un avertissement
- Protéger contre le spoofing de noms d’employés: au moins afficher un avertissement
- Protéger contre le spoofing de domaine par le biais d’e-mails entrants: au moins afficher un avertissement
- Protéger contre les e-mails non authentifiés: au moins afficher un avertissement
- Protéger les groupes contre le spoofing de domaine par le biais d’e-mails entrants: au moins afficher un avertissement
- Appliquer automatiquement les paramètres recommandés ultérieurement
⚠️ Attention avec le réglage “au moins afficher un avertissement” est un début mais le mieux est d’utiliser les zones de quarantaine. Les avertissements ne s’affichent pas dans les clients IMAP notamment donc ce n’est pas parfaitement sécurisant.
Réglages Spam, hameçonnage et logiciels malveillants
Dans ces réglages, on est dans du plus spécifique, mais vous pouvez au moins activer “Analyse améliorée“.
Si vous voulez aller plus loin encore, intéressez vous aux fonctions Zero Trust comme BeyondCorp Enterprise de Google, ou encore du côté d’Okta.