Dans la série, j’utilise un compte Google pro, voyons comment rendre obligatoire l’authentification à deux facteurs à chaque connexion dans Google Workspace. Cela concerne autant un particulier qui a décidé d’utiliser Google Workspace que des salariés d’une entreprise, et ce quelle que soit sa taille. Si une telle démarche peut sembler astreignante, elle est pourtant un passage obligé afin d’assurer la sécurité des données d’un compte Google Workspace.
Une sécurité à toute épreuve
L’authentification à deux facteurs dite aussi validation à deux niveaux, est ce qui se fait de mieux actuellement en ce qui concerne la sécurité d’un compte Google. Elle s’appuie sur deux principes : ce que je connais, c’est-à-dire un mot de passe, ce que j’ai avec soit une identification immatérielle ou matérielle. Il existe différentes manières de s’identifier immatériellement ou matériellement. Dans les deux cas, cette seconde identification vient confirmer la première, mais surtout permet d’affirmer à Google qu’il s’agit bien de vous qui demandez à utiliser le compte Google Workpsace. Depuis le 9 novembre 2021, cette démarche s’adresse à tous les utilisateurs d’un compte Google, qu’il soit gratuit (compte Google) ou payant (compte pro).
Dans les deux cas, il s’agit en quelque sorte de montrer patte blanche, l’authentification à deux facteurs s’exerçant à partir du moment où vous vous connectez à votre compte par le biais d’une machine inhabituelle. Un exemple : je suis chez des amis, je me connecte sur mon compte Google à partir d’un des ordinateurs présent. Il me sera demandé de m’identifier une seconde fois par le biais de la validation à deux niveaux. Ceci pour une raison simple : je n’utilise pas de manière habituelle l’ordinateur avec lequel je me connecte ce jour-là à mon compte Google. La firme de Mountain View demande une confirmation de ma connexion. Une telle démarche va dans le sens de la sécurité maximum prônée par Google.
Maintenant dans une entreprise, afin d’assurer la sécurité des données, il peut être demandé de s’identifier comme on vient de le définir, mais à chaque ouverture d’un compte. Ce n’est pas pour fliquer comme on pourrait le penser, mais simplement s’assurer qu’un malfaisant ne vient pas mettre son nez là où il ne faut pas. Je vais prendre un exemple tout simple : régulièrement Nicolas prend le train pour se rendre à Paris. Il fait partie de ses personnes qui voyageant de bonne heure va travailler sur son Chromebook pendant le trajet afin de gagner du temps. Trop souvent il est amené à remarquer des personnes qui s’absentent du wagon où ils sont tout en laissant leurs ordinateurs ouverts et bien visibles. Un malfaisant dérobe l’ordinateur, puis à l’écart des autres voyageurs, dans les toilettes par exemple, va accéder aux données s’y trouvant. L’opération va prendre quelques minutes et il suffit ensuite de le remettre où il était. À son retour, le propriétaire de l’ordinateur ne remarquera même pas que son outil a été visité, comme les autres voyageurs ne seront pas attentifs à ce qui s’est passé. Science-fiction ? Pas tant que cela ! Nombreux sont les commerciaux ou techniciens d’entreprises d’armement qui faisant le trajet entre Paris et Roanne il y a quelques années, ont constaté à postériori la visite de leurs ordinateurs alors qu’ils s’étaient absentés pendant le trajet.
[all4affiliates id= »50605″ title= »Clé FIDO U2F ChipNet »]
Obliger à s’identifier à chaque connexion
Afin de ne pas rencontrer ce type d’incident trop souvent méconnu, car généralement non divulgué, mais ayant des conséquences importantes pour la société, nous allons obliger l’utilisateur à s’identifier via la validation à deux niveaux à chaque connexion, donc chaque accès à son compte. Nous allons considérer que pour lui permettre de gagner du temps dans l’identification, il utilise une clé Fido, comme en propose la firme Google, au format Usb-C. (voir ici le test que nous vous avions effectué sur ce type de clé). Ainsi même s’il n’est pas en présence de son smartphone, il pourra toujours accéder à ses données. Si on utilise un tel support pour s’identifier, c’est qu’il sera toujours avec l’utilisateur, qui le mettra généralement dans une des poches de son pantalon, et s’il le désire accrocher par une chaîne à son vêtement.
N’oublions pas que l’identification par clé Fido est la meilleure des protections pour tout ce qui concerne nos données. Un tel outil est unique et non réplicable. Maintenant que nous avons défini le moyen utilisé voyons comment activer cette protection, mais surtout l’obligation de “montrer patte blanche” à chaque accès au compte Google Workspace.
- ouvrir Google Admin par le biais du navigateur Google Chrome et s’identifier,
- sur la barre de gauche, cliquer sur Sécurité / Authentification / Validation en deux étapes, ou inscrire cette adresse dans l’omnibox admin.google.com/ac/security/2sv,
- dans la partie droite, dans la section Application cliquer sur Activée,
- dans la section Fréquence, désactiver le bouton Autoriser l’utilisateur à faire confiance à son appareil,
- à la section Méthodes, choisir Clé de sécurité uniquement.
Vous pouvez choisir un délai de grâce pour la suspension de la validation en deux étapes, comme ne pas autoriser les utilisateurs à générer des codes de sécurité. Il ne reste plus qu’à cliquer sur Enregistrer situé en bas à droite.
[all4affiliates id= »49463″ title= »HP Chromebook 14b »]
Rendre obligatoire l’authentification à deux facteurs à chaque connexion dans Google Workspace
Une telle démarche pour une plus grande sécurité se doit d’être obligatoire. Elle se comprend puisque chaque jour de plus en plus de données s’échangent. Elle doit devenir obligatoire, car il ne s’agit pas de les laisser accessible à quiconque, au risque de perdre la valeur qu’elles représentent tant pour la personne que la société. Bien sûr, l’employeur comme le DSI est seul juge de la décision qu’il prend à ce niveau, mais s’est alors reconnaître implicitement qu’elles ne sont pas importante aux yeux de ses dirigeants.
Allez-vous mettre en place l’authentification à deux facteurs comme je viens de l’indiquer si vous utilisez Google Workspace ?
