Selon Google, les améliorations apportées à sa suite collaborative Workspace devraient réduire les risques de sécurité des environnements de travail distribués. L'entreprise s’appuie sur Google AI pour améliorer les contrôles de prévention des pertes de données (Data Loss Prevention, DLP) dans Drive, mettre en œuvre des contrôles de confiance zéro, classer les données dans Drive et automatiser la protection des informations sensibles dans Gmail. Quant aux contrôles de souveraineté des données, ils renforceront le chiffrement côté client. Par exemple, les utilisateurs de Workspace seront propriétaires des clés de chiffrement, ils auront plus d'options sur le lieu de stockage ou de traitement des données et pourront limiter l'accès aux personnes localisées dans l'Union européenne. Concernant l'administration, la firme de Mountain View rendra obligatoire la vérification en deux étapes pour certains comptes d'administrateur et exigera une approbation multipartite pour les actions sensibles de l'administrateur. La suite Workspace comprend des applications SaaS populaires comme Drive, Gmail, Meet, Calendar, Docs et Slides. Certaines des améliorations annoncées hier s'appliqueront à la fois à la version entreprise et à la version grand public de ces applications. Toutes sont en phase pilote ou seront lancées en version bêta d'ici à la fin de l'année.
La prévention de la perte de données, une priorité
Ce qui rend les suites SaaS comme Workspace attrayantes pour les entreprises dont le personnel travaille un peu partout augmente également le risque de vol ou d'exposition des données. En particulier, Workspace facilite le partage des documents au sein de l'entreprise et avec des parties externes. Mais à l’inverse, les employés peuvent, par inadvertance ou intentionnellement, mettre des informations sensibles à la disposition de tiers non autorisés ou les laisser accessibles à des acteurs malveillants. La première étape de la protection des informations sensibles consiste à les identifier avec précision et à les étiqueter comme telles. Il faut ensuite contrôler les personnes qui y ont accès et l'endroit où elles peuvent être stockées. Disponible en avant-première, Workspace peut désormais classer et étiqueter automatiquement les données stockées dans Drive à l'aide de Google AI. Les administrateurs de Workspace peuvent ensuite appliquer leurs propres contrôles DLP ou d'accès contextuel (Context-aware Access, CAA) pour contribuer à la mise en œuvre d'un modèle de confiance zéro. Google aidera les clients à entrainer leurs propres modèles d'IA. « L'accès contextuel nous a aidés à gérer nos risques en ne faisant pas de l'accès un choix binaire, mais en permettant une plus grande flexibilité dans les politiques d'accès et en les appliquant aux bonnes personnes, applications et données », a déclaré Tim Ehrhart, responsable de domaine, sécurité de l'information chez Roche, dans un communiqué. « Depuis que nous utilisons l’accès contextuel CAA, nos employés peuvent exploiter Google Workspace dans des scénarios plus diversifiés, avec plus de confiance dans la sécurité. Les administrateurs peuvent également définir des contrôles contextuels pour les informations stockées dans Drive en tenant compte de critères comme la localisation de l'appareil ou son état de sécurité. Les informations qui ne répondent pas aux critères de sécurité seront bloquées dans Drive. Cette fonctionnalité sera disponible en avant-première dans le courant de l'année, tout comme les contrôles DLP améliorés pour Gmail.
Clarifier les règles de souveraineté numérique
Aujourd'hui, plus de 100 pays disposent de lois sur la souveraineté numérique qui obligent les entreprises à stocker ou à traiter les données de leurs citoyens à l'intérieur de leurs frontières. Cela pose des problèmes aux équipes de sécurité et IT, en particulier quand elles font appel à des applications cloud comme Workspace. Lors de l’annonce, en mai 2022, de contrôles souverains pour Google Workspace, Google avait promis d’améliorer sa suite tout au long de l’année. Parmi les nouvelles fonctionnalités annoncées hier figurent des fonctions de chiffrement côté client, notamment la prise en charge du chiffrement côté client des applications mobiles dans Calendar, Gmail et Meet (disponible dès maintenant) ; la possibilité de définir le chiffrement côté client par défaut pour les unités organisationnelles (en avant-première dans le courant de l'année) ; la prise en charge de l'accès invité dans Meet (en avant-première dans le courant de l'année) ; la prise en charge des commentaires dans Docs (en avant-première dans le courant de l'année) ; la possibilité d'afficher, de modifier ou de convertir des fichiers Microsoft Excel (en avant-première). Les clients d'Enterprise Workspace peuvent désormais choisir l'endroit où ils stockent leurs clés de chiffrement. Pour cette option, Google s’appuie sur des partenariats internationaux avec Thales, Stormshield et Flowcrypt. L'entreprise affirme que cela simplifiera la conformité aux réglementations locales. Plus tard dans l'année, les clients de Workspace pourront choisir si leurs données sont traitées dans l'Union européenne ou aux États-Unis. Ils peuvent déjà choisir où stocker les données au repos. Les utilisateurs ont également la possibilité de stocker une copie des données de Workspace dans le pays de leur choix.
Prévenir les attaques basées sur l'identité
L'IA ou toute autre technologie n'est pas d'une grande aide pour refuser l'accès si un acteur de la menace a obtenu des identifiants par le biais de l'ingénierie sociale ou d'autres moyens. Les identifiants administrateur compromis sont particulièrement dangereux. Pour remédier à ce problème, Google a mis en place de nouveaux contrôles d'accès. À partir de la fin de l'année, le fournisseur exigera des revendeurs de Workspace et de ses plus grandes entreprises clientes qu'ils mettent en œuvre la vérification en deux étapes pour les comptes admin d'entreprise. De plus, les administrateurs de Workspace pourront exiger l'approbation d'un autre administrateur pour effectuer des actions sensibles. Cette fonctionnalité sera disponible en avant-première dans le courant de l'année.
De l’IA pour mieux détecter les menaces
L'intelligence artificielle est particulièrement efficace pour repérer avec précision les anomalies dans les grands ensembles de données. C'est la raison pour laquelle Google utilise l'IA pour détecter les menaces à plusieurs niveaux. Une fonctionnalité Gmail alimentée par l'IA, disponible dès à présent en avant-première pour les entreprises et les particuliers, analyse les actions potentiellement malveillantes ou les mauvaises manipulations de données sensibles. Les clients de Workspace qui utilisent également la plateforme SIEM de gestion des informations et des événements de sécurité Chronicle de Google Cloud peuvent désormais exporter des journaux « en quelques clics » pour l'analyse des menaces. « Des centaines de clients de Workspace utilisent déjà Chronicle pour la détection, l'investigation et la réponse aux menaces modernes », a expliqué Andy Wen, directeur des produits pour Workspace Security and Compliance chez Google Cloud. « Avec cette nouvelle intégration, nos clients peuvent synchroniser les données de Workspace avec Chronicle en quelques clics et tirer parti des détections Workspace prêtes à l'emploi pour répondre aux risques plus rapidement et avec plus de précision », a-t-il ajouté. Cette intégration est disponible dès à présent en avant-première. Google propose aussi des API et des exports BigQuery pour réaliser des intégrations avec d'autres SIEM.