Gestion de Google Workspace : sécurité, administration et sauvegarde pour les équipes informatiques

Google Workspace est devenu la principale plateforme de productivité pour une grande partie des PME, en particulier dans les secteurs qui l'ont adoptée très tôt et ont articulé leurs processus de travail autour de Gmail, Drive, Docs et Meet. Pour les équipes informatiques et les fournisseurs de services gérés (MSP), une gestion efficace ne se limite pas à la simple attribution des licences. Elle implique de prendre en charge la configuration de la sécurité, de combler les lacunes laissées par les outils natifs de Google et de veiller à ce que les données des clients soient protégées d'une manière que la plateforme elle-même ne garantit pas.

Ce guide aborde les trois domaines dans lesquels une bonne gestion fait toute la différence : l'administration, la sécurité et la sauvegarde. La plateforme de Kaseya accompagne plus de 50 000 MSP et équipes informatiques à travers le monde dans la gestion de ces environnements précis, et les schémas ci-dessous mettent en évidence les points de défaillance rencontrés dans la pratique.

Administration de Google Workspace : les bases et les problèmes posés par les paramètres par défaut

L'administration de Google Workspace s'effectue via la console d'administration, une interface Web qui permet de gérer les utilisateurs et les groupes, la structure des unités organisationnelles, les appareils, les paramètres de sécurité et les rapports. Ce modèle est nativement cloud : les modifications prennent effet immédiatement et il n'y a aucun serveur sur site à entretenir. Cette simplicité présente toutefois un inconvénient. Comme aucune configuration de base n'est imposée aux nouveaux locataires, les paramètres par défaut sont souvent moins restrictifs que ne l'exige un environnement professionnel.

Les trois domaines dans lesquels les paramètres par défaut posent le plus souvent des problèmes sont l'authentification, le partage de dossiers et l'accès depuis des appareils mobiles.

Authentification. La vérification en deux étapes (2SV) est le dispositif de sécurité le plus important dans tout environnement Google Workspace. Elle n’est pas activée par défaut pour les utilisateurs standard. Un administrateur doit se rendre dans Sécurité > Authentification > Vérification en deux étapes et l’activer, soit pour l’ensemble de l’organisation, soit par unité organisationnelle. Google applique désormais la 2SV aux comptes d’administrateur dans le cadre d’une politique progressive, mais son activation pour les utilisateurs finaux reste une action délibérée de l’administrateur. Selon le rapport 2025 SaaS Application Security Insights de Kaseya, l'authentification multifactorielle (MFA) est désactivée ou inactive dans plus de 60 % des comptes SaaS des utilisateurs finaux. Laisser la 2SV facultative n'est pas un choix neutre. C'est accepter un risque connu.

Partage de dossiers. Le paramètre de partage par défaut dans de nombreux environnements permet à « toute personne disposant du lien » d'accéder aux fichiers. Cela signifie qu'un utilisateur qui partage un document peut le rendre accessible à toute personne sur Internet disposant de l'URL, sans qu'aucune connexion ne soit requise. Les administrateurs informatiques doivent définir le paramètre par défaut à l'échelle de l'organisation sur « Désactivé (restreint) » et exiger une autorisation explicite pour tout partage externe. Les services financiers, les équipes RH et toute personne traitant des données clients doivent être rattachés à des unités organisationnelles soumises à des contrôles de partage plus stricts, appliqués spécifiquement.

Accès depuis des appareils mobiles. Google Workspace inclut des fonctionnalités de base pour la gestion des terminaux mobiles, mais n'offre pas de contrôle précis sur les données auxquelles les applications peuvent accéder, ni sur la manière dont les appareils sont gérés en cas de perte ou de désaffectation. Pour les organisations ayant mis en place des politiques BYOD ou dans lesquelles des appareils mobiles accèdent à des données sensibles sur Drive ou Gmail, la gestion des terminaux via une solution MDM dédiée dépasse le cadre des fonctionnalités natives proposées par Google.

Gestion du cycle de vie des utilisateurs. La suppression rapide des droits d'accès lorsque des employés quittent l'entreprise est à la fois une exigence de sécurité et un moyen de maîtriser les coûts liés aux licences. La procédure à suivre consiste d'abord à suspendre le compte, puis à transférer la propriété des fichiers Drive et des données Gmail à un responsable ou à un compte de service, avant de supprimer le compte à l'issue de la période de conservation standard. Les workflows automatisés de départ, qui s'intègrent à IT Glue et Autotask , comblent les lacunes laissées par les processus manuels.

Configuration de sécurité : les mesures à mettre en place dès le premier jour

Au-delà de l'authentification à deux facteurs (2FA) et du partage des paramètres par défaut, plusieurs paramètres de la console d'administration doivent être configurés avec soin pour garantir un niveau de sécurité adapté aux entreprises.

Accès des applications moins sécurisées. Google a cessé de prendre en charge l'authentification de base pour les comptes Gmail grand public en 2022, mais certaines applications et certains connecteurs hérités continuent de l'exiger dans les environnements Workspace. La console d'administration propose un paramètre permettant de bloquer complètement l'accès des applications moins sécurisées. Toute application ne pouvant pas s'authentifier via OAuth doit être évaluée en vue d'un remplacement.

Surveillance de l'activité administrative. La section « Rapports » de la console d'administration enregistre les événements de connexion, l'activité administrative, les modifications apportées au partage de Drive et les alertes de sécurité. Ces journaux doivent être consultés régulièrement. Toute activité administrative inhabituelle, telle que la création d'un nouveau super-administrateur ou la suppression massive d'utilisateurs, justifie une enquête immédiate. La configuration d'alertes pour les événements à haut risque, comme l'attribution du rôle de super-administrateur ou les anomalies de connexion, ne prend que quelques minutes dans la console d'administration et offre une couverture de détection étendue.

Application de la politique relative aux mots de passe. Le paramètre « Exiger un mot de passe fort » de Google Workspace est désactivé par défaut. Les administrateurs doivent l'activer et définir une longueur minimale d'au moins 12 caractères. Cette politique peut être appliquée au niveau de l'unité organisationnelle, ce qui permet d'imposer des exigences plus strictes pour les comptes disposant de privilèges élevés sans perturber les utilisateurs à faible risque dont les flux de travail sont différents.

Accès aux applications tierces. La section « Contrôle des API » de Google permet aux administrateurs de vérifier et de limiter les applications tierces auxquelles un accès OAuth aux données de Workspace a été accordé. Les autorisations OAuth non vérifiées issues du « shadow IT », telles que les outils de productivité auxquels les employés se connectent sans contrôle du service informatique, peuvent accéder aux données de Drive, Gmail et Agenda sans qu’il y ait de visibilité en temps réel. Des examens trimestriels de la liste des applications autorisées constituent une base de référence pratique. Définir une politique exigeant l'approbation de l'administrateur pour les nouvelles connexions d'applications tierces empêche l'accumulation silencieuse de nouvelles autorisations.

Un test pratique pour évaluer votre niveau de sécurité dans Google Workspace : demandez-vous si vous seriez capable, dès aujourd'hui, de dresser la liste de toutes les applications tierces ayant accès aux données des utilisateurs, de tous les comptes pour lesquels l'authentification à deux facteurs n'est pas obligatoire, et de tous les fichiers partagés publiquement. Si la réponse à l'une de ces questions est « non », l'audit de la console d'administration est le point de départ.

Le manque de solutions de sauvegarde : pourquoi Google Vault ne suffit pas

Google Vault est la fonctionnalité que l'on confond le plus souvent avec la sauvegarde. Il ne s'agit pas d'une solution de sauvegarde. Vault assure la conservation des données à des fins d'eDiscovery et de conformité. Il conserve les données au sein de l'infrastructure propre à Google, ce qui signifie qu'une attaque par ransomware ou une compromission de compte affectant l'environnement Workspace principal peut également affecter les données conservées par Vault. Il n'offre pas de restauration à un instant donné et ne protège pas contre les causes les plus courantes de perte de données dans la pratique : suppression accidentelle, actions d'employés quittant l'entreprise et erreurs de synchronisation provenant d'intégrations tierces.

Le modèle de responsabilité partagée de Google est très clair à ce sujet. Google est responsable de la disponibilité et de la sécurité de l'infrastructure de la plateforme. Les clients sont responsables de leurs données. Cette responsabilité n'est pas transférée à Google du simple fait que les données sont stockées dans le cloud.

Les risques concrets sont bien connus. Un utilisateur supprime définitivement des fichiers de Gmail ou de Drive, et une fois le délai de 30 jours de la corbeille écoulé, les données sont perdues. Un fichier malveillant se synchronise sur Drive et écrase les versions saines dans les dossiers partagés. Un employé qui quitte l'entreprise supprime des fichiers de projet avant que son compte ne soit suspendu. Aucun de ces scénarios ne déclenche de procédure de récupération de la part de Google, car aucun d'entre eux n'implique une défaillance de l'infrastructure de Google.

Spanning Backup, qui fait partie de Kaseya 365 , répond à ce besoin en proposant une sauvegarde quotidienne automatisée de Gmail, Drive, des disques partagés, de l'Agenda et des Contacts, avec un stockage crypté indépendant hors de l'infrastructure de Google et une restauration à un instant donné. Pour les MSP, le dialogue avec les clients Google Workspace suit la même structure que celui concernant la sauvegarde de Microsoft 365 : Google assure la protection de la plateforme, tandis qu'un produit de sauvegarde tiers assure la protection des données.

La fonctionnalité de surveillance du dark web de Kaseya apporte une protection supplémentaire en alertant les administrateurs lorsque les adresses e-mail et les identifiants des employés associés au domaine apparaissent dans des bases de données de données piratées. La présence d'un identifiant d'un employé d'un client dans une base de données d'identifiants piratés peut indiquer une réutilisation de ces identifiants pour accéder à son compte Workspace avant même qu'une alerte de connexion ne se déclenche.

Sécurité des e-mails : ce que les filtres de Google ne détectent pas

Les filtres anti-spam et anti-hameçonnage intégrés à Gmail sont globalement efficaces contre les menaces connues et les campagnes à grande échelle. Ils s’avèrent toutefois nettement moins efficaces face aux attaques ciblées. Les e-mails de spear-phishing conçus spécialement pour un destinataire, les tentatives de compromission des comptes de messagerie d’entreprise (BEC) qui usurpent l’identité d’un dirigeant ou d’un fournisseur, ainsi que les attaques de phishing de type « zero-day » utilisant des domaines nouvellement enregistrés parviennent souvent à passer à travers les filtres de Google et à atterrir dans la boîte de réception.

Il ne s'agit pas d'une défaillance de la plateforme de Google. C'est une description fidèle du modèle de menace. Les attaques ciblées sont conçues pour échapper aux systèmes de détection basés sur le volume. Un MSP gérant 50 clients Google Workspace ne peut pas compter sur les filtres intégrés de Gmail pour intercepter les messages les plus susceptibles de causer des dommages importants.

INKY, qui fait partie de Kaseya 365 , ajoute une couche de sécurité basée sur l'IA à la sécurité des e-mails de Google Workspace, qui fonctionne en plus des filtres natifs. Il utilise la technologie de vision par ordinateur pour identifier en temps réel les contrefaçons de marques et l'utilisation abusive de logos, détectant ainsi les tentatives de phishing qui imitent visuellement des expéditeurs de confiance. Il se déploie via une API sans nécessiter de modification des enregistrements MX et ajoute des bannières d'avertissement à code couleur aux e-mails qu'il identifie comme suspects, informant les utilisateurs du risque sans leur retirer le contrôle du message. INKY offre INKY des fonctionnalités de prévention des pertes de données (DLP), de chiffrement et d'application du protocole DMARC, ce qui étend la protection au-delà du phishing entrant pour inclure la gestion des données sortantes et l'authentification de l'expéditeur.

Pour les MSP en particulier, INKY considérablement la charge administrative. Un test interne mené sur plusieurs déploiements chez des MSP a montré que les administrateurs avaient réduit le temps consacré à la gestion de la sécurité des e-mails d'environ 40 heures à environ 1 heure par mois.

Détection et réponse dans le cloud pour Google Workspace

La console d'administration de Google affiche les événements de connexion et l'activité administrative, mais elle ne met pas en corrélation en temps réel les signaux comportementaux à l'échelle de l'environnement Workspace. Un compte connecté depuis un emplacement inhabituel, téléchargeant de grands volumes de fichiers Drive et établissant des connexions OAuth vers de nouvelles applications tierces en l'espace de 30 minutes n'est pas automatiquement signalé comme compromis. Chaque événement est visible isolément. La corrélation qui permet de l'identifier comme un incident ne l'est pas.

SaaS Alerts, qui fait partie de Kaseya 365 , offre des fonctionnalités de détection et de réponse dans le cloud pour Google Workspace en surveillant en permanence l'activité des utilisateurs et en appliquant une analyse comportementale basée sur l'apprentissage automatique afin d'identifier les anomalies. Lorsqu'il détecte une compromission potentielle, il peut réagir automatiquement : mettre fin aux sessions actives, désactiver le compte et envoyer une alerte au MSP ou à l'équipe informatique sans attendre d'intervention humaine.

Le module Respond pour Google Workspace, lancé en 2024, permet aux MSP de configurer des règles basées sur une logique « si… alors ». Un exemple typique : si une connexion réussie provient d'une zone géographique non autorisée, Respond met fin à toutes les sessions actives et bloque les nouvelles connexions jusqu'à ce que le titulaire du compte soit identifié. Ces règles s'appliquent en continu, y compris en dehors des heures de bureau, ce qui est crucial car les compromissions de compte détectées un vendredi soir ont tout le week-end pour dégénérer en incidents plus graves en l'absence de réponse automatisée.

SaaS Alerts surveille SaaS Alerts les abus liés à l'autorisation OAuth, l'un des vecteurs d'attaque les plus courants et les moins visibles dans les environnements cloud. Lorsqu'un utilisateur connecte une nouvelle application SaaS à son compte Workspace via OAuth, SaaS Alerts la connexion et peut alerter l'administrateur ou déclencher une règle de réponse. En 2024, SaaS Alerts plus de 7,3 milliards d'événements dans des environnements SaaS pour son rapport annuel « SaaS Application Security Insights Report ». Parmi ces événements, plus d'un milliard présentaient un niveau de gravité moyen ou critique, un chiffre qui fait de la surveillance automatisée continue, et non d'un examen manuel périodique, le seul modèle de gestion réaliste.

Gérer Google Workspace à grande échelle avec Kaseya 365

Un MSP gérant 30 clients Google Workspace est confronté à une version aggravée de chacun des problèmes décrits ci-dessus. Les configurations de sécurité varient d'un tenant à l'autre. La couverture des sauvegardes n'est pas homogène. Les failles de sécurité au niveau des e-mails dans l'environnement d'un client exposent les autres à des risques. En l'absence d'une plateforme unifiée, pour rester à jour, il faut soit mettre en place d'importants cycles de vérification manuelle, soit accepter une couverture inégale.

Kaseya 365 regroupe les trois principaux niveaux de sécurité et de protection de Google Workspace au sein d'un seul abonnement. INKY la détection avancée des menaces par e-mail et l'accompagnement des utilisateurs. SaaS Alerts une surveillance continue des comportements et une réponse automatisée dans l'ensemble de l'environnement Workspace. Spanning une sauvegarde quotidienne automatisée avec un stockage indépendant et une restauration à un instant donné. Ces trois solutions se connectent à Google Workspace via une API, sans installation d'agent ni infrastructure à gérer.

L'argument commercial en faveur des MSP est simple. Chacune de ces couches traite un risque que les outils natifs de Google ne couvrent pas entièrement. Les clients utilisant Google Workspace sans sauvegarde SaaS sont exposés à des pertes de données que leurs plans de continuité d'activité ne peuvent pas gérer. Les clients ne disposant pas de capacités de détection et de réponse dans le cloud n'ont aucune visibilité sur la compromission de leurs comptes jusqu'à ce que le mal soit fait. C'est en présentant clairement ces lacunes, avec des preuves issues du modèle de responsabilité partagée et des mesures coercitives le cas échéant, que l'on fait passer Kaseya 365 du statut de simple option à celui d'une attente de base.

Découvrez Kaseya 365 pour la protection de Google Workspace.

Pour mieux comprendre comment la sécurité des applications SaaS s'inscrit dans la stratégie globale de cyber-résilience des MSP, consultez la « Cyber Resilience Checklist for MSPs » (Liste de contrôle sur la cyber-résilience pour les MSP) ainsi que le rapport « 2026 Kaseya State of the MSP Report ».