La validation en deux étapes de Google en détail
La validation en deux étapes (2SV), aussi appelée authentification multifacteur (MFA) ou authentification à deux facteurs (2FA), constitue une seconde couche de sécurité qui exige de l'utilisateur deux éléments distincts pour authentifier son identité au moment de la connexion. En complément du mot de passe, une seconde méthode de vérification est nécessaire pour finaliser la connexion. Ce second facteur peut prendre la forme d'une clé de sécurité (la plus fiable), d'une invite Google Authenticator, ou de la réception d'un code de vérification par appel téléphonique ou SMS (jugé moins fiable).
Cette évolution représente une avancée notable pour la sécurité des comptes Super Admin et complique sérieusement la tâche des attaquants potentiels. Si elle réjouira les profils sensibles aux questions de sécurité, elle peut représenter un véritable défi pour les organisations qui doivent encore se pencher sur la sécurisation de leurs comptes de service. À noter : ce changement ne concerne que les comptes Super Admin ; les administrateurs délégués et les utilisateurs standard ne seront pas soumis à cette obligation par Google. Les Super Admins recevront une notification les invitant à activer la validation en deux étapes 60 jours avant l'application obligatoire, ainsi qu'un rappel à chaque connexion aux services Google jusqu'à la date butoir. Mieux vaut rester vigilant : ces notifications peuvent passer inaperçues si les comptes Super Admin ne sont pas consultés régulièrement. Un préavis supplémentaire de 30 jours sera également envoyé par e-mail et SMS aux Super Admins avant l'application effective.
Vérifier l'état de la validation en deux étapes
Les comptes de service sont parfois utilisés par des applications tierces pour accéder aux ressources Google Workspace. Sans validation en deux étapes, un compte de service devient une cible de choix pour les attaquants, avec à la clé un risque d'accès non autorisé à des données sensibles, voire de prise de contrôle de l'ensemble du domaine Google Workspace.
Pour éviter toute interruption de service, les administrateurs Google Workspace doivent s'assurer que tous les comptes de service Super Admin sont inscrits à la 2SV. Pour cela, rendez-vous sur la page Menu > Rapports > Rapports utilisateurs > Sécurité de la console d'administration. En haut du rapport, les administrateurs peuvent appliquer le filtre Statut administrateur pour n'afficher que les comptes Super Admin.
Pour chaque compte Super Admin, une colonne intitulée Inscription à la validation en deux étapes indique le statut d'inscription à la 2SV. Elle précise si le compte est inscrit ou non.
Section Rapports utilisateurs filtrée pour afficher les comptes Super Admin.
Correction et application de la validation en deux étapes
Une fois identifiés les comptes Super Admin non inscrits à la validation en deux étapes de Google, les administrateurs peuvent passer à l'application de la politique 2SV. Pour consulter les politiques en vigueur, rendez-vous sur la page Sécurité > Validation en deux étapes de la console d'administration. Le plan de déploiement précis dépendra de la structure des unités organisationnelles de l'entreprise et de l'utilisation éventuelle d'un fournisseur d'identité tiers pour les utilisateurs non administrateurs qui accèdent aux comptes Google Workspace. Une approche couramment retenue consiste à regrouper tous les comptes Super Admin dans un groupe dédié, puis à activer l'application de la validation en deux étapes pour ce groupe à compter d'une date future choisie. Avec ce paramétrage, tout compte ajouté au groupe et non encore inscrit à la 2SV sera invité par Google, à chaque nouvelle connexion, à s'inscrire à la validation en deux étapes. Pour gérer l'option Période d'inscription des nouveaux utilisateurs en toute sécurité, mieux vaut la laisser sur Aucune et demander aux administrateurs de configurer la validation en deux étapes sur tout nouveau compte avant d'attribuer le rôle Super Admin.
Paramètres d'application de la politique de validation en deux étapes.
En complément de l'inscription des comptes Super Admin à la validation en deux étapes de Google, les administrateurs peuvent recourir à un mot de passe d'application à usage unique pour les intégrations qui ne prennent pas en charge l'authentification OAuth2 moderne (l'écran familier Se connecter avec Google). Cette précaution renforce la sécurité des comptes de service : le compte Google reste protégé par la politique 2SV, y compris lors des échanges avec des applications ou services hérités.
En adoptant ces mesures proactives pour inscrire tous les Super Admins à la validation en deux étapes, les administrateurs consolident la sécurité des comptes et réduisent au minimum le risque de verrouillages et d'interruptions de service au moment où Google appliquera la politique.