Rentrée 2026 Préparez votre rentrée : réservez dès maintenant votre session de septembre, octobre ou novembre. Réservez votre session de septembre à novembre. Voir les sessions de rentrée →
Excel Word PowerPoint Photoshop Webmarketing WordPress CAO 3D PAO Pack Office Google Sheets Google Workspace
À jour 2026
Formation Google Workspace Prochaine session à distance : lundi 22 juin 2026 · certifiante
dès499€
Réserver ma place — 22 juin Être rappelé
Google Workspace

Sécurité Google Workspace : 13 actions pour blinder votre domaine

Par Samy· 21 juin 2026· 9 min de lecture

Sécurité Google Workspace : 13 actions pour blinder votre domaine
Éligible CPF Certifié Qualiopi Certification ICDL ★★★★★ 4.8/5 sur Google
Sécurité Google Workspace : 13 actions pour blinder votre domaine

L'essentiel

Sécuriser un domaine Google Workspace demande moins d'efforts qu'avec Microsoft 365, car Google active beaucoup de protections par défaut. Il reste néanmoins 13 actions critiques à valider pour atteindre un niveau conforme aux recommandations de l'ANSSI : validation en 2 étapes obligatoire, Context-Aware Access, gouvernance du partage Drive, DLP, Google Vault, gestion des appareils et sauvegarde tierce. Ce guide détaille ces actions, les différences entre éditions et un plan de mise en conformité en 30 jours pour une TPE/PME de 5 à 50 utilisateurs. Les tarifs cités concernent l'outil Google et sont distincts du prix de la formation.

Google fournit une infrastructure ultra-résiliente, avec des datacenters certifiés ISO 27001, 27017 et 27018, et active de nombreuses protections par défaut. Mais la configuration du domaine, elle, reste de votre responsabilité. Ce guide passe en revue les 13 actions concrètes à mener pour blinder un environnement Google Workspace de TPE/PME, des réglages d'authentification à la sauvegarde, en passant par la gouvernance du partage Drive, qui constitue l'angle mort principal des entreprises sur Google.

Pourquoi auditer la sécurité de votre Google Workspace

Des millions d'organisations utilisent Google Workspace dans le monde. L'infrastructure est solide, mais les réglages laissés par défaut laissent souvent un domaine à 60 % de son potentiel de sécurité. Les chiffres observés sur le parc des TPE/PME sont éloquents :

  • environ 30 % des comptes n'ont pas la validation en 2 étapes activée ;
  • près de 50 % des PME laissent le partage Drive en mode « toute personne disposant du lien » ;
  • environ 25 % des incidents en PME passent par un compte employé compromis.

La cause principale est connue : beaucoup d'entreprises ignorent que des outils comme Vault, le DLP ou le Context-Aware Access existent, et ne les activent jamais. Les actions ci-dessous comblent ce retard, étape par étape.

Verrouiller l'authentification (actions 1 à 3)

Action 1 — Validation en 2 étapes obligatoire pour tous

C'est la première action absolue. Dans admin.google.com, rendez-vous dans Sécurité > Authentification > Validation en 2 étapes, puis appliquez les réglages suivants :

  1. autoriser les utilisateurs à activer la validation en 2 étapes : Oui ;
  2. application : activée pour tous ;
  3. méthodes autorisées : application d'authentification et clés de sécurité, à privilégier ;
  4. période d'inscription : 14 jours, pour laisser le temps de configurer ;
  5. à l'expiration : forcer la validation en 2 étapes.

Pour les comptes super-administrateurs, une clé de sécurité FIDO2 doit être obligatoire. Les détails sont dans notre formation Google Workspace certifiante, qui couvre l'administration et la sécurité de bout en bout.

Action 2 — Programme Protection Avancée pour les comptes critiques

Le Programme Protection Avancée de Google est le niveau de sécurité maximal pour les comptes très exposés : dirigeants, comptabilité, ressources humaines. Il impose des clés FIDO2, bloque automatiquement les téléchargements non vérifiés, ajoute une vérification supplémentaire lors des récupérations de compte et limite l'accès des applications tierces. L'activation se fait compte par compte depuis myaccount.google.com/advanced-protection.

Action 3 — Context-Aware Access

Disponible à partir de l'édition Business Plus, le Context-Aware Access est l'équivalent Google de l'accès conditionnel de Microsoft : il définit qui peut accéder à quoi, depuis où et comment. Quelques politiques de base très efficaces :

  • bloquer les connexions depuis les pays hors France et hors Union européenne ;
  • exiger un appareil chiffré pour accéder à Drive ;
  • exiger la validation en 2 étapes pour tout accès depuis une adresse IP hors de l'entreprise ;
  • bloquer les applications tierces non approuvées.

La configuration se trouve dans Sécurité > Accès et contrôle des données > Context-Aware Access.

Protéger les données et les e-mails (actions 4 à 7)

Action 4 — Gouvernance des partages Drive

C'est le risque numéro 1 des PME sur Google : des fichiers partagés en « toute personne disposant du lien ». Dans Applications > Google Workspace > Drive et Docs > Paramètres de partage, appliquez les réglages obligatoires suivants :

  1. partage extérieur à l'organisation : désactivé, ou limité aux domaines de confiance ;
  2. lien par défaut : restreint, aux seules personnes ajoutées explicitement ;
  3. avertissement systématique lors d'un partage externe ;
  4. blocage du téléchargement, de l'impression et de la copie pour les Drive externes sensibles.

Pour auditer l'existant, utilisez les journaux d'audit de Drive ou des outils tiers afin d'identifier les partages publics historiques.

Action 5 — Anti-hameçonnage et anti-spam avancés

Gmail intègre nativement l'un des filtres anti-hameçonnage les plus performants du marché. Encore faut-il pousser les réglages. Dans Applications > Google Workspace > Gmail > Sécurité, activez la protection avancée contre l'hameçonnage et les logiciels malveillants, la détection des liens malveillants, la protection contre l'usurpation d'identité, l'avertissement sur les e-mails externes inhabituels et, à partir de Business Plus, le bac à sable (sandbox) des pièces jointes.

Action 6 — DMARC, SPF et DKIM côté DNS

Votre domaine doit publier les trois enregistrements DNS d'authentification des e-mails. Sans eux, n'importe qui peut envoyer un message qui semble provenir de votre domaine :

  • SPF : v=spf1 include:_spf.google.com -all ;
  • DKIM : généré par Google, puis publié côté DNS, depuis Gmail > Authentifier l'e-mail ;
  • DMARC : commencez par une politique p=none pour observer, puis durcissez en p=quarantine avec une adresse de rapport.

Action 7 — Prévention de fuite de données (DLP)

Le DLP, inclus à partir de Business Plus, détecte automatiquement les données sensibles : numéros de carte bancaire, IBAN, numéros de sécurité sociale, données médicales, coordonnées clients. Quelques politiques recommandées : avertir l'utilisateur lors de l'envoi externe d'un fichier contenant plusieurs IBAN, bloquer le partage public d'un fichier contenant des numéros de sécurité sociale et journaliser toute mention de données sensibles dans Drive. La configuration se trouve dans Sécurité > Accès et contrôle des données > Protection contre la perte de données.

Archiver et sauvegarder (actions 8 et 9)

Action 8 — Google Vault, l'archivage légal

Google Vault, inclus dans Business Plus, Enterprise et Education, permet de définir des politiques de conservation des e-mails et de Drive (3, 5, 7 ou 10 ans), de rechercher dans toutes les boîtes mail de l'organisation, d'exporter à des fins forensiques en cas de litige ou de contrôle, et de suspendre la suppression sur des données ciblées. Il est indispensable pour les secteurs réglementés et pour la conformité RGPD, qui exige une traçabilité du droit d'accès et du droit à l'oubli.

Action 9 — La sauvegarde tierce, indispensable

Une idée fausse persiste : « Google sauvegarde mon Drive. » En réalité, Google assure la résilience de l'infrastructure, pas la sauvegarde longue durée. Un fichier supprimé puis vidé de la corbeille au bout de 30 jours est perdu définitivement, et un rançongiciel qui chiffre un Drive synchronisé réplique le chiffrement dans le cloud. Plusieurs solutions de sauvegarde tierce existent, autour de 3 à 4 dollars par utilisateur et par mois ; pour les TPE techniques, une synchronisation vers un NAS local reste possible, au prix d'une administration manuelle.

Maîtriser les appareils et les accès (actions 10 et 11)

Action 10 — Gestion des appareils

Dans Appareils > Endpoint Management, imposez un verrouillage d'écran obligatoire sur les mobiles et ordinateurs accédant à Workspace, un mot de passe d'appareil d'au moins 8 caractères, le chiffrement de l'appareil, l'effacement à distance et une liste blanche d'applications autorisées. Pour les postes Windows et Mac, le module de vérification d'appareil valide la conformité avant d'autoriser l'accès.

Action 11 — Revue des super-administrateurs

La règle issue des recommandations de l'ANSSI est claire : 2 à 4 super-administrateurs au maximum, même en PME. Trop d'administrateurs démultiplie la surface d'attaque. Concrètement :

  1. rétrogradez les administrateurs non essentiels vers des rôles métier (administrateur de la messagerie, administrateur de Drive) ;
  2. placez les comptes super-administrateurs sur une adresse dédiée plutôt que sur un compte nominatif utilisé au quotidien ;
  3. protégez ces comptes par une clé FIDO2 obligatoire ;
  4. évitez de recevoir des e-mails sur le compte super-administrateur, afin de limiter l'exposition à l'hameçonnage direct.

Superviser et former (actions 12 et 13)

Action 12 — Tableau de bord de sécurité et alertes

Toutes les éditions disposent d'un tableau de bord de sécurité (et d'un centre de sécurité avancé à partir de Business Plus) qui donne une vue des menaces actives, des comptes potentiellement compromis, des tentatives d'hameçonnage reçues et des partages externes inhabituels. Configurez des règles d'alerte sur les événements sensibles : connexion depuis un pays inhabituel, désactivation de la validation en 2 étapes, création d'un nouveau super-administrateur. Les notifications doivent partir vers vous et vers une adresse de groupe dédiée à la sécurité.

Action 13 — Formation des utilisateurs

Les protections techniques s'effondrent si un utilisateur clique sur un lien d'hameçonnage. Une formation annuelle, complétée par des simulations, est donc obligatoire. Un plan type combine quelques heures de théorie par an et des simulations trimestrielles, avec un objectif simple : faire passer le taux de clic sur les faux e-mails de 25 % à moins de 5 % en six mois.

Plan de mise en conformité en 30 jours

Plutôt que de tout activer d'un coup, étalez le chantier sur quatre semaines pour ne rien casser et embarquer les équipes :

  • Semaine 1 : validation en 2 étapes obligatoire pour tous, clés FIDO2 pour les super-administrateurs, revue des administrateurs.
  • Semaine 2 : gouvernance Drive, partage par défaut en mode restreint, audit des partages existants.
  • Semaine 3 : DMARC en mode observation, DKIM publié, protection avancée de Gmail.
  • Semaine 4 : DLP de base orienté RGPD, gestion des appareils, souscription d'une sauvegarde tierce.

Pour une PME de 10 personnes, le coût combiné d'un passage en Business Plus et d'une sauvegarde tierce reste sans commune mesure avec le coût moyen d'un incident, qui se chiffre en dizaines de milliers d'euros.

Comparatif des éditions côté sécurité

Les fonctions de sécurité varient nettement d'une édition à l'autre. Voici les principaux jalons, sachant que les tarifs concernent l'outil Google par mois et par utilisateur, indépendamment du prix d'une formation :

FonctionStarter (≈ 6 €)Standard (≈ 12 €)Plus (≈ 18 €)Enterprise
Validation en 2 étapes forcéeOuiOuiOuiOui
Vault (archivage)NonNonOuiOui
DLP avancéNonLimitéOuiOui
Context-Aware AccessNonNonOuiOui
Sandbox des pièces jointesNonNonOuiOui
Centre de sécurité avancéNonNonOuiOui

Pour une TPE/PME, Business Plus est le meilleur compromis sécurité : il débloque Vault, le DLP avancé, le Context-Aware Access et le centre de sécurité avancé. Pour comparer plus largement les deux écosystèmes, consultez notre guide Google Workspace face à Microsoft 365 ; et pour le détail des abonnements, notre guide des prix de Google Workspace.

Se former à l'administration et à la sécurité

Activer correctement ces 13 actions suppose de savoir naviguer dans la console d'administration et de comprendre la logique de chaque réglage. C'est exactement l'objet de notre formation Google Workspace certifiante, qui couvre l'administration, la gouvernance de Drive, la conformité RGPD et la sécurité du domaine.

La formation coûte 499 € et débouche sur une certification ICDL reconnue. Vous la suivez à distance ou en présentiel, avec un démarrage immédiat et un paiement en 3 fois sans frais. Pour les TPE/PME qui équipent aussi leurs équipes en bureautique Microsoft, notre formation Pack Office complète ce socle de compétences.

Questions fréquentes sur la sécurité Google Workspace

Business Plus (environ 18 € par mois et par utilisateur) est l'édition recommandée pour la sécurité : Google Vault inclus, DLP avancé, Context-Aware Access, sandbox des pièces jointes et centre de sécurité avancé. Pour un budget serré, Business Standard (environ 12 €) reste correct si vous activez toutes les options gratuites et ajoutez une sauvegarde tierce. Business Starter est insuffisant dès qu'il y a du partage externe.

Dans admin.google.com, allez dans Sécurité, Authentification, Validation en 2 étapes. Autorisez les utilisateurs à l'activer, appliquez-la à tous, définissez une période d'inscription de 14 jours puis basculez en mode forcé. Privilégiez Google Authenticator et, pour les super-administrateurs, des clés de sécurité FIDO2.

Non au sens classique. Google assure la résilience de l'infrastructure, pas la sauvegarde longue durée. Un fichier supprimé puis vidé de la corbeille (30 jours) est perdu définitivement, et un rançongiciel qui chiffre un Drive synchronisé réplique le chiffrement. Une sauvegarde tierce (3 à 4 dollars par utilisateur et par mois) est indispensable pour une rétention longue et une restauration granulaire.

Google Vault est un service d'archivage légal et d'e-discovery inclus dans Business Plus, Enterprise et Education. Il permet de définir des politiques de rétention, de rechercher dans toutes les boîtes mail, d'exporter en cas de litige et de suspendre la suppression sur des données ciblées. Il est indispensable pour les secteurs réglementés et la conformité RGPD, et doit être activé dès la création du domaine.

À lire ensuite

Google Workspace c'est quoi : guide complet Google Workspace c'est quoi : guide complet Google Workspace face à Microsoft 365 Google Workspace face à Microsoft 365 Prix de Google Workspace Prix de Google Workspace : tous les plans Gemini dans Google Workspace Gemini : l'IA intégrée à Google Workspace
Voir tous nos tutoriels Google Workspace →
S

Samy, formateur certifié

6 ans d'expérience sur les formations bureautiques (Excel, Word, PowerPoint, Pack Office, Photoshop). Centaines de stagiaires accompagnés en présentiel à Marseille et en classe virtuelle dans toute la France.

→ En savoir plus sur France Formation Groupe

Cet article vous a été utile ? Partagez-le

Formation certifiante

Vous voulez maîtriser Google Workspace de A à Z ?

Accompagnement personnalisé, exercices corrigés et certification reconnue par les employeurs. À distance ou en présentiel.

dès 499€3× sans frais 4,8/5 Google Certifié Qualiopi
Réserver ma place — 22 juin → Être rappelé
Voir les sessions
Formation Google Workspace
dès 499€
Réserver →

Une question sur nos formations ?

Notre équipe vous répond et vous oriente vers la bonne solution.

Nous contacter

Vous formez une équipe ?

Devis sous 24h · financement OPCO géré de A à Z · tarifs dégressifs dès 3 collaborateurs.

Demander un devis