Google Workspace renforce la sécurité de sa plateforme en rendant la validation en deux étapes (2SV) obligatoire pour tous les comptes Super Admin. Ce changement sera déployé progressivement tout au long de 2024 et obligera les Super Admins à activer la 2SV sur leurs comptes. Le déploiement débutera par les organisations équipées des éditions Enterprise de Google Workspace, avant de s'étendre progressivement à toutes les éditions de Google Workspace.
La validation en deux étapes (2SV) constitue une seconde couche de sécurité, également connue sous le nom d'authentification multifacteur (MFA) ou d'authentification à deux facteurs (2FA). Elle exige des utilisateurs qu'ils fournissent deux éléments d'information pour authentifier leur identité lors de la connexion. En plus du mot de passe du compte, une seconde méthode de vérification est nécessaire pour finaliser la connexion. Ce second facteur peut être une clé de sécurité (l'option la plus fiable), une invite Google Authenticator, ou la réception d'un code de vérification par appel téléphonique ou SMS (option considérée comme moins sécurisée).
Cette évolution constitue un pas important vers le renforcement de la sécurité des comptes Super Admin et complique la tâche des attaquants potentiels. Si elle est bienvenue pour les utilisateurs soucieux de la sécurité, elle peut représenter un défi pour les organisations qui doivent sécuriser leurs comptes de service. Il est essentiel de noter que ce changement concerne uniquement les comptes Super Admin : les administrateurs délégués et les utilisateurs standards ne seront pas soumis à l'application de la 2SV par Google. Les Super Admins recevront des notifications les invitant à activer la validation en deux étapes 60 jours avant l'application obligatoire, ainsi qu'un rappel d'activer la 2SV à la date indiquée à chaque connexion aux services Google. Il convient de rester vigilant, car ces notifications peuvent passer inaperçues si les comptes Super Admin ne sont pas consultés régulièrement. Un avis supplémentaire sera également envoyé 30 jours avant l'échéance aux adresses e-mail et numéros de téléphone mobile des Super Admins.
Les comptes de service sont parfois utilisés par des applications tierces pour accéder aux ressources Google Workspace. Sans validation en deux étapes, un compte de service devient vulnérable et peut être exploité par des attaquants, entraînant un accès non autorisé à des données sensibles, voire la prise de contrôle de l'ensemble du domaine Google Workspace.
Pour éviter toute interruption de service, les administrateurs Google Workspace doivent s'assurer que tous les comptes de service Super Admin sont bien inscrits à la 2SV. Pour cela, rendez-vous sur la page Menu > Rapports > Rapports utilisateur > Sécurité dans la console d'administration. En haut du rapport, les administrateurs peuvent appliquer un filtre Statut administrateur pour n'afficher que les comptes Super Admin.
Pour chaque compte Super Admin, l'administrateur verra une colonne intitulée Inscription à la validation en deux étapes indiquant le statut d'inscription à la 2SV. Cette colonne précisera si les comptes y sont inscrits ou non.
Section Rapports utilisateur filtrée pour afficher les comptes Super Admin.
Une fois les comptes Super Admin non inscrits à la validation en deux étapes identifiés, les administrateurs peuvent appliquer la politique 2SV. Pour consulter les politiques en vigueur, il suffit de se rendre sur la page Sécurité > Validation en deux étapes de la console d'administration. Le plan de mise en œuvre dépendra de la structure des unités organisationnelles de l'entreprise et de l'utilisation éventuelle d'un fournisseur d'identité tiers pour les utilisateurs non administrateurs accédant aux comptes Google Workspace. Une approche fréquemment retenue consiste à regrouper tous les comptes Super Admin dans un groupe dédié, puis à activer l'application de la validation en deux étapes pour ce groupe à partir d'une date donnée. Tout compte ajouté à ce groupe et n'ayant pas encore activé la 2SV sera alors invité par Google, à chaque nouvelle connexion, à s'inscrire à la validation en deux étapes. Pour gérer l'option " Période d'inscription des nouveaux utilisateurs " de manière sécurisée, mieux vaut la laisser sur Aucune et demander aux administrateurs de configurer la validation en deux étapes sur tout nouveau compte avant d'attribuer le rôle de Super Admin.
Paramètres d'application de la politique de validation en deux étapes.
En complément de l'inscription des comptes Super Admin à la validation en deux étapes Google, les administrateurs peuvent générer un mot de passe d'application à usage unique pour les intégrations qui ne prennent pas en charge l'authentification moderne OAuth2 (l'écran " Se connecter avec Google " bien connu). Cette mesure renforce la sécurité des comptes de service et garantit que le compte Google reste protégé par la politique 2SV, y compris lors d'interactions avec des applications ou services hérités.
En prenant ces dispositions pour garantir l'inscription de tous les Super Admins à la validation en deux étapes, les administrateurs renforcent la sécurité des comptes et limitent le risque de blocages et d'interruptions de service au moment où Google appliquera la politique.