En France, Google Workspace est devenu la messagerie et l’espace de travail collaboratif de référence pour les PME. Drive, Gmail, Calendar, Meet, Docs — une grande partie de la vie de votre organisation circule dans ces outils. C’est précisément ce qui en fait une cible de choix.

Un compte Google Workspace compromis ne donne pas accès à une boîte mail. Il donne accès à tout : les contrats sur Drive, les communications avec vos clients, les invitations de calendrier qui révèlent votre agenda, les accès aux outils tiers qui se sont authentifiés via Google. Et contrairement à un poste de travail, ce n’est pas visible sur votre réseau — ça se passe dans le cloud, sans alerte sur votre antivirus.

Ce guide est destiné à l’administrateur IT d’une PME qui souhaite aller plus loin que la configuration par défaut. Les six étapes couvrent les paramètres qui font réellement la différence, dans l’ordre de priorité recommandé.

Point de départ : testez gratuitement la configuration email de votre domaine. Notre outil vérifie vos enregistrements SPF, DKIM et DMARC en quelques secondes et vous donne un score avec les corrections prioritaires.

Pourquoi sécuriser Google Workspace

Selon les données de Cybermalveillance.gouv.fr, les attaques ciblant les messageries professionnelles représentent la première catégorie d’incidents pour les PME françaises. Google Workspace est devenu la cible par excellence précisément parce que son adoption est massive — et parce que de nombreuses organisations déploient la suite sans durcir la configuration au-delà des paramètres d’usine.

La surface d’attaque est large. Un seul compte compromis peut exposer :

Gmail : lecture de tous les emails, envoi en votre nom, détournement de réinitialisations de mots de passe
Drive : exfiltration de documents confidentiels, modification de fichiers, partage avec des tiers
Calendar : reconnaissance de votre organisation (qui rencontre qui, quand, sur quel sujet)
Meet : accès à des réunions sensibles si les liens ne sont pas protégés

Trois vecteurs d’attaque concentrent la majorité des incidents observés sur Google Workspace :

Le phishing par consentement OAuth. L’attaquant crée une application tierce qui imite un outil légitime (un plugin Drive, un connecteur CRM) et demande des autorisations larges. Un utilisateur qui clique sur « Autoriser » donne accès à son compte sans jamais donner son mot de passe. Ces accès persistent après un changement de mot de passe.

Les attaques AiTM (Adversary-in-the-Middle) sur Gmail. Des kits de phishing avancés comme Evilginx interceptent en temps réel le cookie de session Google, contournant la validation en deux étapes basée sur les SMS ou les applications TOTP. La protection efficace contre ce vecteur est l’utilisation de clés FIDO2.

L’abus de partage Drive. Des fichiers Drive partagés avec « Toute personne disposant du lien » deviennent indexables ou accessibles après qu’un collaborateur a cliqué sur un lien malveillant dans un email. L’exfiltration de données par cette voie est difficile à détecter après coup.

L’ANSSI classe la sécurisation des accès cloud parmi les mesures prioritaires dans son guide d’hygiène informatique disponible sur cyber.gouv.fr.

Imposer la validation en deux étapes

La validation en deux étapes — l’authentification multifacteur — est la mesure avec le meilleur rapport efficacité/effort sur Google Workspace. Selon Google, la MFA bloque 99 % des attaques automatisées sur les comptes. Son activation prend moins d’une heure pour toute une organisation.

Chemin dans la console d’administration :

Connectez-vous à admin.google.com
Sécurité → Authentification → Validation en deux étapes
Activez « Autoriser les utilisateurs à activer la validation en deux étapes »
Dans « Application », sélectionnez « Activée » pour l’ensemble de l’organisation
Définissez la date d’entrée en vigueur pour laisser un délai aux utilisateurs (recommandé : 2 semaines)

Désactiver les applications moins sécurisées :

Chemin : Sécurité → Paramètres de base → Applications moins sécurisées → Désactivez l’accès pour tous les utilisateurs

Les applications moins sécurisées (qui utilisent le nom d’utilisateur + mot de passe sans OAuth) contournent la MFA. Les outils modernes n’en ont pas besoin.

Privilégier les clés de sécurité FIDO2 pour les comptes à accès élevé :

Pour les administrateurs et les comptes ayant accès à des données sensibles, les clés FIDO2 (YubiKey, clé Titan de Google) offrent une protection contre les attaques AiTM que les codes TOTP ou SMS ne peuvent pas contrer. Dans la console d’administration, vous pouvez forcer l’utilisation d’une clé physique pour certains groupes d’utilisateurs :

Sécurité → Authentification → Validation en deux étapes → Méthodes autorisées → Cochez uniquement « Clés de sécurité »

Pour les autres collaborateurs, l’application Google Authenticator ou Microsoft Authenticator est préférable aux SMS (les SMS sont vulnérables aux attaques de type SIM swapping).

Configurer les protections Gmail avancées

Google Workspace inclut des protections anti-phishing et anti-malware qui ne sont pas toutes activées par défaut. Ces paramètres se trouvent dans :

Console d’administration → Applications → Google Workspace → Gmail → Sécurité

Protection contre le phishing et les logiciels malveillants

Dans l’onglet Sécurité de Gmail, activez les options suivantes :

Pièces jointes :

Protéger contre les pièces jointes chiffrées provenant d’expéditeurs non fiables → Activer
Protéger contre les pièces jointes avec des scripts provenant d’expéditeurs non fiables → Activer
Analyser les images liées → Activer

Liens et images externes :

Identifier les liens derrière les URL courtes → Activer
Analyser les images liées → Activer
Afficher un message d’avertissement pour tous les emails provenant de domaines non fiables → Activer

Usurpation d’identité et authentification :

Protéger contre l’usurpation d’identité des noms de domaine → Activer
Protéger contre l’usurpation d’identité des noms d’employés → Activer
Protéger contre les domaines dont l’orthographe ressemble à celle de vos domaines → Activer
Protéger contre l’usurpation d’identité basée sur l’en-tête De → Activer

Pour chaque option, choisissez l’action Quarantaine plutôt que Déplacer dans le dossier spam. La quarantaine vous permet de réviser les emails interceptés avant de les libérer ou de les supprimer définitivement, depuis Console d’administration → Applications → Google Workspace → Gmail → Quarantaines.

Analyse pré-livraison renforcée

Google a introduit l’analyse pré-livraison améliorée (Enhanced pre-delivery message scanning) qui retarde légèrement la livraison des emails suspects le temps d’une analyse approfondie. Cette option est accessible dans les paramètres de sécurité Gmail et réduit significativement les taux de phishing qui passent les filtres standards.

Marquage des emails externes

Console d’administration → Applications → Google Workspace → Gmail → Paramètres utilisateurs → Marquage des emails externes

Activez l’affichage d’une bannière visible sur tous les emails entrants provenant de l’extérieur de votre organisation. Ce marquage visuel aide vos collaborateurs à maintenir un niveau de vigilance adapté sur les emails reçus de l’extérieur — un signal simple qui réduit les clics impulsifs.

Contrôler les applications tierces OAuth

Les applications tierces qui s’authentifient via Google OAuth représentent un vecteur d’attaque sous-estimé. Une application qui obtient l’autorisation d’un utilisateur peut lire ses emails, accéder à Drive et envoyer des messages en son nom — sans que vous soyez alerté, et sans que l’utilisateur doive donner son mot de passe.

Bloquer les applications non vérifiées

Console d’administration → Sécurité → Contrôle des accès et des données → Contrôle des applications → Paramètres de confiance

Sélectionnez : N’autorisez pas les utilisateurs à accorder l’accès aux applications tierces non approuvées

Cette option bloque toutes les applications qui n’ont pas été vérifiées par Google ou explicitement approuvées par votre administrateur. C’est la mesure la plus efficace contre le phishing par consentement OAuth.

Maintenir une liste blanche des applications approuvées

Console d’administration → Sécurité → Contrôle des accès et des données → Applications connectées

Ajoutez ici les applications tierces autorisées dans votre organisation (votre CRM, vos outils marketing, vos connecteurs de productivité). Pour chaque application, définissez les autorisations accordées et les unités organisationnelles concernées.

Audit des accès existants :

Avant de bloquer les nouvelles applications, vérifiez quelles applications ont déjà accès aux comptes de vos utilisateurs :

Console d’administration → Rapports → Rapport sur la sécurité → Applications OAuth moins sécurisées

Ce rapport liste les applications tierces qui disposent actuellement d’autorisations. Révoquez les accès pour les applications non reconnues ou non utilisées — en particulier celles qui ont des autorisations larges (lecture des emails, accès Drive complet).

Le risque concret : lors d’une campagne de phishing par consentement, un attaquant envoie un email invitant l’utilisateur à « connecter son compte » à un outil dont il reconnaît le nom. Un seul clic sur « Autoriser » suffit. Ces accès OAuth persistent après un changement de mot de passe, ce qui en fait un vecteur de persistance particulièrement efficace.

Configurer SPF, DKIM et DMARC

Google Workspace facilite la configuration de l’authentification email, mais les enregistrements DNS restent à votre charge. Sans ces protocoles, votre domaine peut être usurpé pour envoyer des emails de phishing à vos clients ou partenaires.

SPF pour Google Workspace

Ajoutez ou modifiez l’enregistrement TXT à la racine de votre domaine :

v=spf1 include:_spf.google.com -all

Si vous utilisez d’autres services d’envoi (Brevo, Mailjet, etc.), ajoutez leurs mécanismes avant le -all :

v=spf1 include:_spf.google.com include:spf.brevo.com -all

Un seul enregistrement SPF par domaine. Si vous en avez déjà un, modifiez-le plutôt que d’en créer un second.

DKIM via la console d’administration

Google Workspace génère la paire de clés DKIM directement depuis la console :

Console d’administration → Applications → Google Workspace → Gmail → Authentifier les emails
Sélectionnez votre domaine
Cliquez Générer un nouvel enregistrement → Longueur de clé : 2048 bits
Google vous donne un enregistrement TXT à publier sous google._domainkey.votredomaine.fr
Publiez l’enregistrement dans votre zone DNS
Attendez 15 à 60 minutes, puis cliquez Démarrer l’authentification

La longueur de 2048 bits est recommandée. Les clés de 1024 bits sont considérées comme insuffisantes depuis 2023.

DMARC : progresser par étapes

Commencez par une politique non-bloquante pour observer avant d’agir :

_dmarc.votredomaine.fr  TXT  "v=DMARC1; p=none; rua=mailto:dmarc-reports@votredomaine.fr; fo=1"

Après 2 à 4 semaines sans sources légitimes en échec, passez à p=quarantine, puis à p=reject. L’objectif final est le rejet des emails non authentifiés.

Notre guide complet SPF, DKIM et DMARC détaille chaque étape avec des exemples pour OVH, Cloudflare et Google Workspace, ainsi que le diagnostic des erreurs courantes.

Liens glossaire : SPF — DKIM — DMARC

Surveiller et alerter

La visibilité est ce qui distingue une organisation qui détecte les incidents rapidement de celle qui les découvre des semaines après. Google Workspace propose plusieurs outils de surveillance, dont certains réclament une configuration manuelle.

Le Centre d’alerte

Console d’administration → Sécurité → Centre d’alerte

Le centre d’alerte regroupe les notifications de sécurité générées par Google. Certaines alertes sont activées par défaut (tentatives de connexion suspectes, phishing signalé par un utilisateur), d’autres non. Vérifiez et activez les alertes suivantes :

Connexion d’un utilisateur depuis un pays inhabituel
Modification de règles Gmail (transfert automatique créé par un utilisateur)
Accès aux données de votre organisation par une application tierce
Activité de phishing ciblant votre domaine détectée par Google
Exportation de données depuis Drive (volume anormalement élevé)

Pour chaque alerte, configurez la notification par email vers votre adresse d’administration.

Le tableau de bord de sécurité

Console d’administration → Sécurité → Tableau de bord

Le tableau de bord présente des métriques agrégées sur l’activité de votre organisation : volume de spam bloqué, tentatives d’authentification échouées, activité Drive suspecte. Consultez-le chaque semaine pour détecter les anomalies de tendance.

Les journaux d’audit

Console d’administration → Rapports → Activité de l’administrateur / Activité des utilisateurs

Les journaux d’audit tracent toutes les actions significatives dans votre espace de travail : modifications de paramètres d’administration, créations et suppressions de comptes, changements de règles Gmail, accès aux fichiers Drive partagés. Ils sont accessibles pendant 6 mois (plans Business) ou 1 an (plans Enterprise).

Alertes pratiques à configurer en priorité :

Événement	Pourquoi c’est important
Nouvelle règle de transfert Gmail créée	Signe classique de compromission : l’attaquant copie les emails vers son adresse
Connexion depuis une adresse IP hors UE	Peut indiquer un compte compromis ou un accès non autorisé
Application OAuth ajoutée	Détecte les tentatives de phishing par consentement
Modification des paramètres MFA d’un utilisateur	Un attaquant qui prend le contrôle d’un compte peut désactiver la MFA
Exportation de Drive supérieure à un seuil	Exfiltration de données avant départ ou incident

L’outil d’investigation (Enterprise)

Les plans Enterprise donnent accès à l’outil d’investigation de sécurité (Security Investigation Tool), qui permet de rechercher dans les logs en temps réel, d’identifier les utilisateurs ayant cliqué sur un lien malveillant, et de prendre des actions correctives directement depuis l’interface (suspension de compte, révocation de sessions). Si votre organisation est concernée par NIS2 ou traite des données sensibles, ce niveau d’outillage justifie le coût du plan Enterprise.

Sauvegarder vos données Google Workspace

Un malentendu fréquent : Google assure la disponibilité de son infrastructure, pas la protection de vos données contre la suppression. Si un collaborateur supprime accidentellement une boîte mail, si un compte est vidé par un attaquant, ou si une erreur de script efface des fichiers Drive, la fenêtre de restauration native est courte.

Les limites de la restauration native Google :

Compte utilisateur supprimé : restaurable dans les 20 jours (après, les données sont définitivement perdues)
Email supprimé par l’utilisateur : dans la corbeille pendant 30 jours
Fichier Drive supprimé : dans la corbeille pendant 30 jours, puis perdu
Données supprimées par un script ou une application tierce : souvent non récupérables

Google Vault — inclus dans Business Plus et Enterprise — permet de définir des règles de conservation et d’effectuer des recherches dans les données archivées. C’est un outil de conformité légale, pas un outil de backup opérationnel. Vault ne restaure pas un dossier Drive supprimé en deux clics à la demande d’un utilisateur.

Pourquoi le backup tiers est nécessaire

Un scénario concret : un attaquant compromet un compte administrateur avec des droits étendus. Il supprime des boîtes mail, vide des Drive partagés, efface des calendriers. Avec Google seul, une partie de ces données ne sera pas récupérable au-delà des fenêtres de rétention natives. Avec une solution de backup tierce qui synchronise en continu, vous restaurez les données à l’état d’avant l’incident en quelques heures.

Ce scénario est également celui d’un collaborateur mécontent qui efface ses données avant de quitter l’entreprise, ou d’une erreur de manipulation lors d’une migration.

Solutions de backup pour Google Workspace :

Spanning Backup (SolarWinds) — sauvegarde quotidienne automatique de Gmail, Drive, Calendar, Contacts, avec restauration granulaire
Backupify (Datto) — historique de 365 jours, restauration par utilisateur ou par objet
Veeam Backup for Google Workspace — contrôle on-premises ou cloud, politiques de rétention flexibles

Pour les PME qui utilisent des Drive partagés et stockent des données contractuelles ou comptables dans Google Workspace, une solution de backup tierce est une exigence de continuité d’activité, pas un luxe.

Compléter par la sensibilisation des utilisateurs

Toutes les mesures techniques décrites dans ce guide réduisent la surface d’attaque. Aucune ne l’élimine.

Un utilisateur avec des droits Drive qui clique sur un lien de phishing et saisit ses identifiants sur une fausse page Google peut compromettre l’organisation même avec la MFA activée — si la MFA est basée sur TOTP et que l’attaque utilise un proxy AiTM. Un collaborateur qui approuve une demande de consentement OAuth pour une application inconnue contourne le blocage des applications non vérifiées s’il a les droits pour le faire.

La faille qui persiste, c’est le comportement humain sous pression ou par inattention.

La simulation de phishing permet de mesurer objectivement où en est votre organisation sur ce point. La première campagne établit un point de départ réaliste — les taux de clic initiaux sur des emails bien conçus se situent souvent entre 20 et 40 %, même dans des équipes qui se pensent sensibilisées. Ce chiffre n’est pas un jugement : il reflète que personne n’a jamais mis ces collaborateurs dans la situation de distinguer un vrai email d’un faux.

Avec des campagnes régulières associées à des micro-formations contextuelles (déclenchées au moment du clic), les organisations réduisent leur taux de clic de 60 à 80 % sur six mois. Cette progression est mesurable, documentable, et constitue une preuve concrète pour un audit de sécurité ou une négociation d’assurance cyber.

Les contrôles techniques et la formation sont complémentaires, pas substituables. Configurer Google Workspace correctement réduit la probabilité qu’une attaque réussisse. Former vos collaborateurs réduit la probabilité qu’ils contribuent involontairement à une compromission.

Vous avez durci votre Google Workspace. La prochaine étape est de mesurer la résilience de vos équipes face au phishing : lancez votre première simulation avec nophi.sh — 15 minutes de configuration, résultats en 24 heures.

Sécuriser Google Workspace : guide complet pour les PME