Professional Documents
Culture Documents
Introduction
Devant la multiplication des o res de services hbergs par des tiers ces dernires annes, les entreprises accordent de plus en plus d'attention la scurit des services en ligne. L'mergence de di rents concepts et dnitions du cloud computing (informatique en nuage) a non seulement mis en exergue des questions lies la proprit et la protection des donnes, mais a galement lev le voile sur la manire dont di rents fournisseurs de technologies cloud computing laborent et mettent en place leurs services. Tous les acteurs, experts en scurit, utilisateurs nals et entreprises, rchissent aux implications du modle cloud computing pour la scurit. Google Apps (comprenant Gmail, Google Agenda, Google Documents et d'autres applications Web) propose des produits et services conviviaux destins aux entreprises. Ces services, caractriss par des environnements informatiques redondants et une allocation dynamique des ressources, permettent aux clients d'accder virtuellement leurs donnes, tout moment et n'importe o, partir de priphriques Internet. Cet environnement informatique, souvent appel cloud (nuage), permet de nombreux clients de partager et d'utiliser les ressources d'unit centrale, de mmoire et de stockage, et leur o re en outre des avantages en termes de scurit. Google fournit des services sur le cloud ables grce l'exprience tire de la gestion de ses propres activits, et propose de la mme faon des services essentiels, tels que la Recherche Google. Les contrles de scurit, qui isolent les donnes lors du traitement dans le cloud, ont, ds le dbut, t dvelopps paralllement la technologie principale. La scurit est, par consquent, un composant cl de chacun des lments de cloud computing, tels que la compartimentation, l'attribution des serveurs, le stockage des donnes et le traitement.
Introduction ................................................................... 2 Prsentation .................................................................. 3 Politique gnrale de scurit de Google ........... 3 Scurit organisationnelle ....................................... 3 Classication et contrle des actifs ..................... 4 Scurit physique et environnementale ............. 6 Scurit oprationnelle ............................................. 7 Contrle des accs ..................................................... 9 Dveloppement et maintenance des systmes ................................................................ 10 Reprise sur sinistre et plan de continuit de l'activit ..................................................................... 12 Conformit rglementaire ........................................ 12 Personnalisation des fonctionnalits de scurit ..................................................................... 13 Conclusion ..................................................................... 14 Pour plus d'informations sur Google Apps, consultez le site www.google.com/a
Google Graldine
Entreprise A Antoine
Google Grgoire
Entreprise B Batrice
Centre de donnes 2
Particulier Charles
Particulier Carole
Ce livre blanc explique comment Google cre une plate-forme base sur la scurit pour proposer ses produits Google Apps, en abordant des sujets tels que la scurit des informations, la scurit physique et la scurit oprationnelle. Cet expos a pour objet de dmontrer que la scurit fait partie intgrante du cloud computing de Google et reprsente un lment cl de ses processus de conception et de dveloppement. Les rgles dcrites dans ce livre blanc sont celles qui taient en vigueur au moment de sa rdaction. Certaines caractristiques peuvent changer au l du temps, dans la mesure o nous intgrons rgulirement de nouveaux produits et fonctionnalits dans Google Apps.
Prsentation
La vision de la scurit de Google s'articule autour d'une stratgie multicouches, proposant des contrles di rents niveaux du traitement des donnes (stockage, accs et transferts). Cette stratgie comprend les dix lments suivants : Politique gnrale de scurit de Google Scurit organisationnelle Classication et contrle des actifs Scurit par le personnel Scurit physique et environnementale Scurit oprationnelle Contrle des accs Dveloppement et maintenance des systmes Reprise sur sinistre et plan de continuit de l'activit Conformit rglementaire
Scurit organisationnelle
Scurit des informations Google emploie plein temps une quipe charge de la scurit des informations. Intgre dans l'organisation Gnie logiciel et oprations de Google, elle est compose d'experts mondiaux parmi les plus reconnus en matire de scurit des informations, des applications et des rseaux. Cette quipe s'occupe de la maintenance des systmes de dfense du primtre de l'entreprise, de la mise au point de processus d'examen de la scurit et de l'laboration d'une infrastructure de scurit personnalise. Elle joue galement un rle essentiel dans le dveloppement, la documentation et l'implmentation des rgles et normes de scurit de Google. Le personnel charg de la scurit des informations de Google excute les activits spciques suivantes : Rvision des plans de scurit des rseaux, systmes et services Google l'aide d'un processus rigoureux plusieurs phases Examen de la scurit au niveau conception et implmentation Services de conseil en continu sur les risques de scurit associs un projet donn et proposition de solutions aux enjeux de scurit Surveillance des rseaux Google la recherche d'activits suspectes, et application de processus formels de rponse sur incident an d'identier, d'analyser et d'carter rapidement les menaces visant la scurit des informations
3
Mise en conformit avec les rgles dnies par le biais d'valuations de la scurit et d'audits internes rguliers laboration de cours sur la conformit avec les rgles de scurit Google et formation des employs, notamment dans les domaines de la scurit des donnes et de la programmation scurise Recrutement d'experts en scurit extrieurs an d'valuer rgulirement la scurit de l'infrastructure et des applications Excution d'un programme de gestion des vulnrabilits pour mettre au jour les problmes propres aux rseaux, tout en s'assurant que les problmes connus devant tre rsolus le sont dans les dlais impartis L'quipe de scurit des informations travaille galement o ciellement avec la communaut de scurit externe Google : Publication de nouvelles techniques de scurisation de la programmation, dans le souci de rester au fait des dernires tendances et proccupations lies la scurit Collaboration avec des diteurs de logiciels et des professionnels de la maintenance an d'identier et de rsoudre les vulnrabilits des logiciels libres et ferms tiers laboration de normes internationales sur la condentialit Mise la disposition du public de documents de formation sur les problmes de scurit des informations, tels que la scurit des navigateurs (http://code.google.com/p/browsersec/wiki/Main) Organisation et participation des projets libres tels que skipsh, un outil actif de reconnaissance de la scurit des applications Web entirement automatis (http://code.google.com/p/skipsh) Cration d'un cursus de formation dans les meilleures universits Organisation et participation des confrences universitaires Une liste des publications relatives la scurit et la condentialit rdiges par les employs de Google est disponible l'adresse http://research.google.com/pubs/SecurityCryptographyandPrivacy.html. Audit interne global et conformit globale En plus de l'quipe plein temps en charge de la scurit des informations, Google conserve galement plusieurs fonctions axes sur la conformit lgale et rglementaire l'chelle mondiale. Google dispose d'un poste Conformit globale assurant la conformit lgale et rglementaire, ainsi que d'une fonction Audit interne global en charge de la revue et de l'adhrence d'audit aux exigences de conformit formules, telles que la loi Sarbanes-Oxley et les normes PCI (Payment Card Industry). Scurit physique Google gre une quipe internationale, installe aux tats-Unis, qui se consacre la scurit physique des locaux de Google et de son centre de donnes. Nos responsables de la scurit, hautement qualis, suivent des formations dans la protection d'environnements similaires de type infrastructure sous haute scurit.
E-mail Utilisateur 1
E-mail Utilisateur 2
E-mail Utilisateur 3
E-mail Utilisateur 4
asdfasdf jowiejf jwoieyto ghlawe j idslkjwf owe kas rwdfasdl taqwde zswefast Centre de donnes 1
awefwoi caowefkj eawe kja ilijawe mlkaswd oasd rawe kj xefsasdf zewfokjl Centre de donnes 2
basfawe deasd j fasd ok hljlijawe jlkjasdfe nasd oi poiwe kla yzwe kja zefojasl Centre de donnes 3
Figure 2 : Architecture du systme de chiers Google (GFS) Par exemple, un service frontal Gmail e ectue un appel de procdure distance vers un service principal Gmail pour demander un message d'une bote de rception d'un utilisateur particulier. Le service principal Gmail authentie et traite cette demande uniquement si le demandeur est e ectivement un service excut sous une identit autorise accder aux services principaux de Gmail. Le service principal Gmail s'authentie son tour pour accder aux chiers du systme de chiers distribu de Google et, s'il y parvient, n'obtient l'accs qu'en fonction des listes de contrle d'accs (ACL). L'accs des ingnieurs en charge de l'administration des applications de production aux environnements de production est rgi de manire similaire. Un systme centralis de gestion des groupes et des rles permet de dnir et de contrler l'accs des ingnieurs aux services de production, l'aide d'une extension du protocole de scurit mentionn ci-dessus, qui authentie les ingnieurs via l'utilisation d'un certicat x509 personnel mis leur intention. La rgle requiert que l'accs administratif l'environnement de production des ns de dbogage et de maintenance s'appuie sur des connexions authenties de cl publique SSH (shell scuris). Dans les deux cas de gure, l'appartenance un groupe octroyant l'accs aux services ou aux comptes de production est dnie la demande. Les contrles de scurit dcrits prcdemment reposent sur l'intgrit de la plate-forme de production Google. Cette plate-forme est elle-mme fonde sur : des protections de scurit physique de l'environnement de centre de donnes de Google ; l'intgrit de l'environnement du systme d'exploitation de production Google ; un accs au niveau administrateur systme (racine) limit et la demande aux htes de production, accord un groupe spcialis d'employs dont l'accs est surveill. Ces aspects des pratiques de scurit de Google sont expliqus plus en dtail dans les sections suivantes du prsent document. Donnes supprimes Aprs la suppression d'un message, d'un compte, d'un utilisateur ou d'un domaine par un utilisateur ou un administrateur Google Apps et la conrmation de cette suppression (par exemple, vidage de la corbeille), les donnes en question ne sont plus accessibles depuis l'interface Google Apps de l'utilisateur. Les donnes sont ensuite supprimes des serveurs actifs et des serveurs de rplication de Google. Les pointeurs vers les donnes sur les serveurs actifs et de rplication de Google sont supprims. Les donnes sans rfrence seront remplaces par d'autres donnes des clients au l du temps.
Mise au rebut des supports Une fois qu'ils sont retirs des systmes Google, les disques contenant les informations des clients suivent un processus de destruction des donnes avant de quitter les locaux de Google. La rgle exige, dans un premier temps, que le disque soit e ac par des personnes habilites. L'opration consiste en une criture complte du lecteur avec des zros (0x00), suivie d'une lecture complte pour s'assurer que l'unit est vierge. Puis, une autre personne habilite doit procder une deuxime inspection an de conrmer que le disque a bien t e ac. Ces rsultats sont consigns par numro de srie du lecteur pour le suivi. Enn, le disque e ac est enregistr dans l'inventaire pour tre rutilis et redploy. Si le lecteur ne peut pas tre e ac en raison d'un incident matriel, il doit tre stock de manire scurise jusqu' sa destruction. Un audit est pratiqu toutes les semaines sur chaque site an de veiller au bon respect des rgles d'e acement des disques. Scurit par le personnel Les employs Google doivent adopter une conduite en accord avec la politique de l'entreprise en ce qui concerne la condentialit, la dontologie, l'utilisation approprie et l'adhsion aux normes professionnelles. l'embauche, Google se renseigne sur la formation et les fonctions prcdemment occupes par une personne, et procde des contrles de rfrence internes et externes. Lorsque le droit du travail ou les rglementations lgales l'autorisent, Google peut galement e ectuer des contrles en matire de condamnation, de solvabilit, d'immigration et de scurit. L'tendue de ces contrles dpend du poste vis. Une fois embauchs par Google, tous les employs doivent signer un accord de condentialit, accuser rception des rgles du guide de l'employ de Google et accepter de s'y conformer. L'accent est mis sur la condentialit des informations et donnes des clients dans le guide et au cours de l'orientation de la nouvelle recrue. Les employs reoivent une formation sur la scurit dans le cadre de leur embauche. En outre, chaque employ Google se doit de lire et comprendre le code de conduite de l'entreprise et de suivre une formation ce sujet. Le code met en vidence le fait que Google attend de ses employs qu'ils exercent leur activit en toute lgalit, selon la dontologie et en toute intgrit, dans le respect mutuel des utilisateurs, des partenaires et mme des concurrents. Le code de conduite de Google est consultable par tous l'adresse http://investor.google.com/corporate/code-of-conduct.html. Selon la fonction occupe par un employ, d'autres plans de formation et rgles de scurit peuvent s'appliquer. Les employs Google en charge de la gestion des donnes des clients doivent satisfaire aux exigences requises par ces rgles. La formation sur les donnes des clients insiste sur l'utilisation approprie des donnes conjointement aux processus mtier, ainsi que sur les consquences de toute violation. Chaque employ Google a l'obligation de communiquer d'ventuels problmes de scurit et de condentialit au personnel de la scurit Google dsign. L'entreprise propose des mcanismes de signalement condentiels pour permettre aux employs de signaler en tout anonymat une violation de la condentialit dont ils ont pu tre tmoins.
une rgle d'accs visiteur et un ensemble de procdures mentionnant que les responsables de centres de donnes doivent approuver les visiteurs l'avance an que ceux-ci pntrent dans les zones internes spciques souhaites. La rgle concernant les visiteurs s'applique galement aux employs Google qui n'ont habituellement pas accs aux locaux du centre de donnes. Google pratique un audit trimestriel des personnes ayant accs ces centres de donnes an de s'assurer que seul le personnel habilit accde chacun des niveaux. Google limite l'accs ses centres de donnes selon la fonction et non la hirarchie. Par consquent, mme les cadres haut placs de Google n'ont pas accs ses centres de donnes. Contrles environnementaux Les clusters informatiques de Google sont conus dans le sens de la rsilience et de la redondance, an de permettre de minimiser les points individuels de dfaillance et de rduire l'impact des incidents courants de matriel et les risques pour l'environnement. Doubles circuits, commutateurs, rseaux et autres dispositifs requis sont utiliss pour garantir la redondance. L'infrastructure des locaux des centres de donnes a t conue pour tre robuste, tolrante aux pannes et faire preuve d'une maintenabilit concurrente. Alimentation lectrique Pour un fonctionnement en continu, 24 h/24 et 7 j/7, les systmes lectriques des centres de donnes Google incluent des systmes redondants. Une source d'alimentation principale et auxiliaire, de capacit gale, est disponible pour chaque composant critique du centre de donnes. Lors de la premire dfaillance de la source d'alimentation principale, due une baisse de tension, une extinction, une surtension, une sous-tension ou une condition de frquence hors tolrances, un onduleur est prvu pour fournir de l'nergie jusqu' ce que les gnrateurs de secours prennent le relais. Les gnrateurs de secours diesel sont en mesure de fournir une alimentation lectrique su sante pour faire fonctionner le centre de donnes pleine capacit pendant un certain temps. Climat et temprature Le refroidissement par circulation d'air est requis pour maintenir une temprature de service constante pour les serveurs et autre matriel informatique. Le refroidissement empche la surchau e et rduit les risques d'interruption de service. Les climatiseurs de la salle informatique sont aliments par des systmes lectriques normaux et de secours. Dtection et lutte contre l'incendie Des quipements automatiques de dtection et de lutte contre l'incendie permettent d'viter l'endommagement du matriel informatique. Les systmes de dtection d'incendie utilisent des capteurs de chaleur, de fume et d'eau placs dans les plafonds du centre de donnes et sous le faux-plancher. En cas d'incendie ou en prsence de fume, le systme de dtection se dclenche et met des alarmes audibles et visibles dans la zone concerne, au niveau de la console des oprations de scurit et du bureau de surveillance distance. Des extincteurs manuels sont galement rpartis dans les centres de donnes. Les techniciens des centres de donnes reoivent une formation sur la prvention d'incendie et l'extinction de feux naissants, l'aide notamment d'extincteurs. Plus d'informations Des informations complmentaires et une visite guide vido des centres de donnes Google sont disponibles sur la page http://www.google.com/corporate/green/datacentres/summit.html.
Scurit oprationnelle
Prvention contre les logiciels malveillants Les logiciels malveillants reprsentent un vrai danger pour les environnements informatiques d'aujourd'hui. Une o ensive e cace d'un logiciel malveillant peut compromettre l'intgrit d'un compte, entraner le vol de donnes et, ventuellement, conduire un accs non autoris un rseau. Google prend trs au srieux ces menaces l'encontre de ses rseaux et de ses clients et applique un certain nombre de mthodes pour prvenir, dtecter et radiquer les logiciels malveillants. La stratgie consiste dans un premier temps prvenir l'infection l'aide d'analyseurs manuels et automatiss an de passer au peigne n l'index de recherche de Google et vrier la prsence de sites Web susceptibles de contenir logiciels malveillants ou risques de phishing. Des informations complmentaires propos de ce procd sont disponibles sur la page http://googlewebmastercentral.blogspot.com/2008/10/malware-we-dont-need-no-stinking.html. Les listes noires rsultant de ces procdures d'analyse ont t intgres dans di rents navigateurs Web et dans la barre d'outils Google an de renforcer la protection des internautes contre les sites suspects. Ces outils, accessibles au public, sont galement utiliss par les employs Google. En outre, Google a recours plusieurs antivirus dans Gmail, sur les serveurs et les postes de travail an de capturer les logiciels malveillants ayant chapp aux signatures antivirus. Le personnel d'assistance est form pour identier et radiquer les logiciels malveillants risquant d'infecter le rseau Google, et transmet les cas inhabituels l'quipe en charge de rsoudre les incidents.
7
Surveillance Le programme de surveillance de la scurit de Google s'intresse aux informations recueillies sur le trac rseau interne, les actions des employs sur les systmes et aux connaissances extrieures en matire de vulnrabilits. En de nombreux points de notre rseau global, une inspection du trac interne est pratique an de dtecter tout comportement suspect, tel que la prsence de trac indiquant des connexions un rseau de zombies. Cette analyse est e ectue l'aide d'une combinaison d'outils Open Source et commerciaux destins la capture et l'analyse du trac. Un systme de corrlation propritaire s'appuyant sur le meilleur de la technologie Google prend galement en charge cette analyse. L'analyse du rseau est complte par l'examen des journaux systme an d'identier tout comportement inhabituel, tel que l'activit non prvue dans les comptes d'anciens employs ou les tentatives d'accs aux donnes des clients. Les techniciens de la scurit Google placent des alertes de recherche sur les rfrentiels de donnes publics en qute d'incidents lis la scurit susceptibles de nuire l'infrastructure de l'entreprise. Ils passent activement en revue les rapports de scurit entrants et surveillent les listes de di usion publiques, les messages des blogs et les systmes de forum lectronique. L'analyse automatise du rseau, transmise au personnel de scurit Google, permet de dterminer quel moment une menace inconnue risque de se prsenter. L'analyse rseau est complte par l'analyse automatise des journaux systme. Gestion des vulnrabilits Google emploie une quipe temps plein charge de veiller ce que les vulnrabilits soient gres le plus rapidement possible. L'quipe de scurit Google e ectue des analyses la recherche de menaces pour la scurit l'aide d'outils commerciaux, d'actions intensives automatises et manuelles contre l'intrusion, de processus d'assurance qualit, de revues de scurit logicielle et d'audits externes. L'quipe de gestion des vulnrabilits est responsable du suivi de ces dernires. Lorsqu'une faille avre ncessitant un dpannage a t identie par l'quipe de scurit, elle est consigne, priorise en fonction de sa gravit et attribue un propritaire. L'quipe de gestion des vulnrabilits assure le suivi de ces cas jusqu' leur rsolution. Google gre galement des relations et des interfaces avec les membres de la communaut de recherche sur la scurit pour assurer le suivi de cas signals dans les services Google et les outils Open Source. Pour en savoir plus sur le signalement des problmes de scurit, consultez la page http://www.google.com/intl/fr/ corporate/security.html. Gestion des incidents Google dispose d'un processus de gestion des incidents s'appliquant aux vnements de scurit susceptibles de nuire la condentialit, l'intgrit et la disponibilit de ses systmes ou de ses donnes. Ce processus prcise le droulement des actions, les procdures de notication, d'escalade, d'attnuation et de documentation. Le programme de gestion des incidents de scurit Google s'articule autour des recommandations NIST sur la gestion des incidents (NIST SP 800-61). Le personnel cl est form en investigation numrique et en gestion des justicatifs en prparation d'un vnement, y compris l'utilisation d'outils tiers et propritaires. Les tests des plans de rsolution des incidents sont pratiqus pour des zones cls, telles que les systmes stockant des informations client sensibles. Ces tests tiennent compte d'une varit de scnarios, notamment les menaces internes et les failles de scurit des logiciels. Pour une rsolution rapide des incidents de scurit, l'quipe Google est disponible pour tous les employs 24 h/24 et 7 j/7. En cas d'incident concernant la scurit des informations, l'quipe Google rpond en consignant et en priorisant l'incident selon sa gravit. Les vnements ayant une rpercussion directe sur les clients sont traits avec la plus grande priorit. Une personne ou une quipe se consacre la rsolution du problme et se procure, le cas chant, l'aide des spcialistes du produit ou des experts en la matire. Les autres responsabilits sont di res jusqu' la rsolution du problme. Les ingnieurs de la scurit Google e ectuent des investigations rtrospectives, si ncessaire, an de dterminer la cause d'vnements isols, les tendances communes plusieurs vnements, et d'laborer de nouvelles stratgies pour empcher la rcurrence d'incidents similaires. Scurit du rseau Google utilise plusieurs niveaux de dfense pour protger le primtre rseau contre des attaques externes. Seuls les services et protocoles autoriss rpondant aux exigences de scurit de Google sont habilits balayer le rseau de l'entreprise. Les paquets non autoriss sont automatiquement carts.
La stratgie de la scurit rseau de Google comprend les lments suivants : Contrle de la dimension et de la cration du primtre rseau ; application de la sgrgation des rseaux l'aide de pare-feu normaliss et de la technologie ACL Gestion systmatique des rgles de pare-feu rseau et ACL utilisant la gestion des changements, le contrle par les pairs et les tests automatiss Restriction de l'accs aux dispositifs en rseau au personnel autoris Acheminement de tout le trac via des serveurs frontaux personnaliss qui permettent de dtecter et d'arrter les requtes malveillantes Cration de points d'agrgation internes an d'amliorer la surveillance Examen des chiers journaux an d'exploiter les erreurs de programmation (par exemple, les failles XSS) et gnration d'alertes de haute priorit si un vnement est dtect Scurit du systme d'exploitation Conus en interne du dbut la n, les serveurs de production de Google sont bass sur une version dpouille et durcie de Linux qui a t personnalise pour inclure les composants ncessaires l'excution d'applications Google, telles que les services requis pour administrer le systme et traiter le trac utilisateur. Le systme est conu pour que Google soit en mesure de conserver le contrle de l'ensemble de la pile matrielle et logicielle et pour garantir la scurit de l'environnement d'application. Les serveurs de production de Google sont bass sur un systme d'exploitation durci standard, et les correctifs de scurit sont dploys de manire uniforme sur l'ensemble de l'infrastructure de l'entreprise. La maintenance de cet environnement homogne est assure par des logiciels propritaires qui surveillent en permanence les systmes en qute de modications binaires. Si une modication dtecte est di rente de l'image Google standard, le systme revient automatiquement son tat o ciel. Ces mcanismes d'autortablissement sont conus pour permettre Google de surveiller et de rsoudre des vnements dstabilisants, de recevoir des notications sur les incidents et de ralentir les mfaits potentiels sur le rseau. l'aide d'un systme e cace de gestion des modications permettant la fourniture d'un mcanisme centralis pour l'enregistrement, l'approbation et le suivi des modications concernant tous les systmes, Google rduit les risques de modications non autorises apportes au systme d'exploitation Google standard.
Comptabilit La rgle de Google consiste enregistrer l'accs administratif chaque systme de production Google et toutes les donnes. Ces chiers journaux sont consultables par l'quipe de scurit Google selon les besoins.
10
Conception des logiciels Logiciels termins Assurance qualit Les ingnieurs de la scurit Les ingnieurs de la scurit Les ingnieurs de la scurit analysent la conception procdent une inspection e ectuent une analyse des logiciels statique du code dynamique de l'application en cours d'excution
Figure 3 : Stratgie de dveloppement et de maintenance systmes de Google Les processus de revue de la scurit de Google sont prvus pour fonctionner dans la structure choisie. Leur russite dpend de la culture technique en matire de qualit de Google et de quelques exigences dnies par la direction technique des processus de dveloppement de projet : Documentation de conception revue par les pairs Conformit aux lignes directrices de style de codage Revue de code par les pairs Tests de scurit multicouches Les mandats ci-dessus reprsentent la culture d'ingnierie logicielle de Google, dans laquelle les objectifs cls sont la qualit, la abilit et la maintenabilit des logiciels. Tandis que la nalit premire de ces mandats est d'encourager la cration d'artefacts logiciels irrprochables en matire de qualit logicielle, l'quipe de scurit Google suggre galement qu'ils reprsentent des moteurs signicatifs et volutifs en faveur de la rduction de l'incidence de failles de scurit dans la conception logicielle : L'existence d'une documentation de conception su samment dtaille constitue une condition pralable du processus de revue de scurit au niveau de la conception, dans la mesure o lors des premires phases du projet, c'est en gnral le seul artefact disponible pour laborer les valuations de scurit. Bon nombre de classes de failles de scurit au niveau implmentation s'apparentent nalement des dfauts fonctionnels courants, faible risque. La plupart des failles au niveau implmentation sont le rsultat d'omissions trs simples de la part du dveloppeur. Avec des dveloppeurs et des rviseurs de code forms aux schmas de vulnrabilit en vigueur et aux mthodes permettant de les viter, une culture du dveloppement base sur la revue par les pairs, insistant sur la cration d'un code de haute qualit est un moteur important et volutif vers une base de code scurise. Les ingnieurs logiciels de l'quipe de scurit Google collaborent avec d'autres ingnieurs Google sur le dveloppement et la validation de composants rutilisables conus et implments pour permettre aux projets logiciels d'viter certaines classes de vulnrabilits. Parmi les exemples gurent les couches d'accs aux donnes conues pour rsister aux failles d'injection de langage de requte, ou les structures de modles HTML avec dfenses intgres contre les vulnrabilits XSS (comme le mcanisme d'chappement automatique de la bibliothque libre Google CTemplate). Formation la scurit Reconnaissant l'importance d'une main-d'uvre technique forme aux pratiques de codage scuris, l'quipe de scurit Google met en place une campagne de communication et un programme de formation l'intention des ingnieurs, dont le contenu actuel est le suivant : Formation des nouveaux ingnieurs la scurit Cration et gestion d'une documentation complte sur les pratiques scurises de codage et de conception Rfrences cibles et contextuelles la documentation et aux supports de la formation (par exemple, des outils automatiss de test des vulnrabilits fournissent aux ingnieurs des rfrences la documentation de formation et de fond en rapport avec les bugs ou classes de bugs spciques mis en vidence par l'outil) Prsentations techniques sur les rubriques relatives la scurit Newsletter sur la scurit distribue l'ensemble des ingnieurs et destine informer la main-d'uvre technique Google des menaces, schmas d'attaque, techniques d'attnuation, bibliothques lies la scurit, meilleures pratiques et lignes directrices, etc. recenss rcemment
11
Le sommet de la scurit, confrence rcurrente l'chelle de Google, qui runit les ingnieurs des di rentes quipes Google travaillant sur la scurit et propose des prsentations techniques dtailles sur les sujets de scurit Tests et revue de scurit au niveau implmentation Google applique un certain nombre d'approches pour continuer de rduire l'incidence de failles de la scurit au niveau implmentation dans ses produits et services : Revues de scurit au niveau implmentation : ralises par les membres de l'quipe de scurit Google, gnralement lors des dernires phases du dveloppement de produits, les revues de scurit au niveau implmentation visent valider la rsistance d'un artefact logiciel aux menaces de scurit applicables. Ces revues sont gnralement constitues d'une rvaluation des menaces et contremesures identies lors de la revue de scurit au niveau conception, de revues cibles sur le code critique pour la scurit, de revues de code slectives permettant d'valuer la qualit du code du point de vue de la scurit, et de tests de scurit cibls. Tests automatiss des failles dans certaines classes de vulnrabilits pertinentes. Pour ces tests, nous utilisons aussi bien des outils dvelopps en interne que des outils disponibles sur le march. Tests de scurit raliss par des ingnieurs de la qualit logicielle dans le contexte des actions menes en matire de test et d'valuation de la qualit logicielle globale du projet.
Conformit rglementaire
Processus d'accs aux informations lgales Google applique des processus lgaux standard pour rpondre aux requtes d'informations utilisateur de la part de tiers. Des informations peuvent uniquement tre obtenues par des parties tierces par le biais de processus lgaux tels que les mandats de perquisition, les ordonnances du tribunal, les citations comparatre, via l'exemption statutaire ou encore avec le consentement de l'utilisateur. rception d'une demande de divulgation d'informations, l'quipe juridique Google examine la demande et vrie sa conformit avec la loi en vigueur. Si la requte est lgalement recevable, la rgle de Google mentionne qu'il faut notier l'utilisateur ou l'organisation dont les informations font l'objet d'une demande, sauf en cas d'urgence ou d'interdiction lgale. Condentialit Google applique une rgle de condentialit trs stricte pour assurer la protection des donnes de ses clients. Cette rgle est dtaille sur la page http://www.google.com/a/help/intl/fr/users/privacy.html et est valable dans le cadre de chaque application de Google Apps. Pour en savoir plus sur les rgles et pratiques du centre de condentialit Google, accdez la page http://www.google.com/privacy.html. En deux mots, Google n'est pas propritaire des donnes de ses clients et nous pensons qu'il doit en demeurer ainsi.
12
Google adhre aux principes suivants concernant les donnes de ses clients : Google ne partagera pas les donnes avec d'autres, sauf indication contraire dans les Rgles de condentialit Google. Google propose aux clients des fonctionnalits leur permettant d'emporter les donnes s'ils souhaitent utiliser des services externes conjointement Google Apps ou arrter d'utiliser tous les services Google. Le contenu des utilisateurs est analys ou index uniquement dans les cas suivants, an de fournir aux clients un service de haute qualit : Certaines donnes utilisateur, telles que les e-mails et les documents, sont analyses et indexes, de sorte que les utilisateurs au sein du domaine d'un client puissent les rechercher dans leurs propres comptes Google Apps. Les e-mails sont analyss pour que Google puisse procder au ltrage anti-spam et la dtection de virus. Les e-mails sont analyss de sorte que Google puisse a cher en contexte les publicits pertinentes dans certaines circonstances. Except lorsque les utilisateurs choisissent de rendre des informations publiques, les donnes Google Apps ne font pas partie de l'index gnral google.com. Les procdures d'analyse et d'indexation sont automatises et n'impliquent pas d'interaction humaine. Google peut galement supprimer tout contenu non conforme aux Conditions d'utilisation des produits Google Apps. Safe Harbor Google adhre aux principes de sphre de scurit (Safe Harbor) des tats-Unis relatifs aux avis, au choix, au transfert continu, la scurit, l'intgrit des donnes, l'accs et l'application, et est inscrit au programme Safe Harbor du Dpartement du commerce amricain. SAS 70 Google a obtenu une attestation de conformit la norme SAS 70 Type II et s'e orcera d'obtenir des attestations similaires pour les produits de messagerie et de collaboration Google Apps, ainsi que pour ses produits de scurit et de conformit, fournis par Postini. Un audit SAS 70 est une valuation indpendante pratique par une socit d'audit externe qui valide l'adhsion de l'entreprise concerne aux contrles qu'elle s'est dni, et conrme que ceux-ci fonctionnent de manire e cace. Une fois qu'elle a termin, la socit d'audit produit un rapport dtaillant la conformit de l'entreprise ces contrles.
13
Combine la capacit existante des administrateurs rinitialiser les mots de passe utilisateur, cette fonctionnalit consistant rinitialiser les cookies de connexion des utilisateurs amliore la scurit du cloud en cas de vol ou de perte du priphrique. Connexions de navigateur scurises (HTTPS) Google Apps for Business, Google Apps for Education, Google Apps for Government et Google Apps for ISPs proposent aux administrateurs de domaine de forcer tous les utilisateurs de leur domaine utiliser le protocole HTTPS (Hypertext Transfer Protocol Secure) pour les services tels que Gmail, Google Documents, Google Agenda, Google Sites, etc. Les informations envoyes via HTTPS sont cryptes partir du moment o elles quittent Google et jusqu' ce qu'elles soient reues par l'ordinateur du destinataire. Transfert de messages scuris contrl par des rgles (TLS pour SMTP) Avec la fonction TLS (Transfer Layer Security) contrle par des rgles pour SMTP (Simple Mail Transfer Protocol), les administrateurs peuvent dnir des rgles conues pour envoyer et recevoir des messages entre domaines spciques. Par exemple, un administrateur peut spcier que tous les messages externes envoys par les membres de l'quipe de comptabilit leur banque doivent tre scuriss avec TLS ou di rs si TLS n'est pas possible. De mme, un administrateur peut mandater une connexion TLS scurise entre leur domaine et leur conseiller juridique externe, leurs auditeurs ou autres partenaires avec lesquels les employs peuvent avoir des communications sensibles. Google Recherche d'archives Google est conscient que les services d'archives peuvent aider les clients respecter les di rentes exigences de l'industrie. En mettant en uvre Google Message Discovery, gr par Postini, les clients peuvent crer pour leur organisation un rfrentiel de messagerie centralis et disponible la recherche permettant d'explorer les archives pour localiser et exporter des e-mails. Le produit peut enregistrer et indexer tous les messages en fonction de rgles de conservation dnies par le client. Les clients peuvent identier les messages pertinents et conserver, rechercher et exporter les donnes partager, selon les besoins, avec des fournisseurs externes.
Conclusion
Google s'engage conserver en toute scurit les informations stockes sur ses systmes informatiques. Chacun des dix composants de la stratgie de scurit multicouches de Google est soutenu et dfendu dans toute l'organisation. Google Apps propose des contrles chaque niveau du stockage, de l'accs et du transfert des donnes. Des millions d'organisations, y compris Google, travaillent avec Google Apps, et Google investit dans cette conance jour aprs jour. Avec Google Apps, les utilisateurs peuvent tre assurs que Google valorise la condentialit, l'intgrit et la disponibilit de leurs donnes.
2010 Google Inc. Tous droits rservs. Google, YouTube, le logo Google et le logo YouTube sont des marques commerciales de Google Inc. Les autres noms de socits et de produits peuvent tre des marques des socits auxquelles ils sont associs. WP64-1007_FR