Livre blanc scurit : Google Apps, une o re de messagerie et de collaboration scurise

Security Whitepaper | Google Apps Messaging and Collaboration Products

Livre blanc scurit : Google Apps, une o re de messagerie et de collaboration scurise

Table des matires

Introduction
Devant la multiplication des o res de services hbergs par des tiers ces dernires annes, les entreprises accordent de plus en plus d'attention la scurit des services en ligne. L'mergence de di rents concepts et dnitions du cloud computing (informatique en nuage) a non seulement mis en exergue des questions lies la proprit et la protection des donnes, mais a galement lev le voile sur la manire dont di rents fournisseurs de technologies cloud computing laborent et mettent en place leurs services. Tous les acteurs, experts en scurit, utilisateurs nals et entreprises, rchissent aux implications du modle cloud computing pour la scurit. Google Apps (comprenant Gmail, Google Agenda, Google Documents et d'autres applications Web) propose des produits et services conviviaux destins aux entreprises. Ces services, caractriss par des environnements informatiques redondants et une allocation dynamique des ressources, permettent aux clients d'accder virtuellement leurs donnes, tout moment et n'importe o, partir de priphriques Internet. Cet environnement informatique, souvent appel cloud (nuage), permet de nombreux clients de partager et d'utiliser les ressources d'unit centrale, de mmoire et de stockage, et leur o re en outre des avantages en termes de scurit. Google fournit des services sur le cloud ables grce l'exprience tire de la gestion de ses propres activits, et propose de la mme faon des services essentiels, tels que la Recherche Google. Les contrles de scurit, qui isolent les donnes lors du traitement dans le cloud, ont, ds le dbut, t dvelopps paralllement la technologie principale. La scurit est, par consquent, un composant cl de chacun des lments de cloud computing, tels que la compartimentation, l'attribution des serveurs, le stockage des donnes et le traitement.

Introduction ................................................................... 2 Prsentation .................................................................. 3 Politique gnrale de scurit de Google ........... 3 Scurit organisationnelle ....................................... 3 Classication et contrle des actifs ..................... 4 Scurit physique et environnementale ............. 6 Scurit oprationnelle ............................................. 7 Contrle des accs ..................................................... 9 Dveloppement et maintenance des systmes ................................................................ 10 Reprise sur sinistre et plan de continuit de l'activit ..................................................................... 12 Conformit rglementaire ........................................ 12 Personnalisation des fonctionnalits de scurit ..................................................................... 13 Conclusion ..................................................................... 14 Pour plus d'informations sur Google Apps, consultez le site www.google.com/a

Entreprise A Anne Centre de donnes 1

Google Graldine

Entreprise A Antoine

Google Grgoire

Entreprise B Batrice

Centre de donnes 2

Particulier Charles

Entreprise B Benot Centre de donnes 3

Particulier Carole

Figure 1 : Environnement distribu multiblocs de Google

Ce livre blanc explique comment Google cre une plate-forme base sur la scurit pour proposer ses produits Google Apps, en abordant des sujets tels que la scurit des informations, la scurit physique et la scurit oprationnelle. Cet expos a pour objet de dmontrer que la scurit fait partie intgrante du cloud computing de Google et reprsente un lment cl de ses processus de conception et de dveloppement. Les rgles dcrites dans ce livre blanc sont celles qui taient en vigueur au moment de sa rdaction. Certaines caractristiques peuvent changer au l du temps, dans la mesure o nous intgrons rgulirement de nouveaux produits et fonctionnalits dans Google Apps.

Prsentation
La vision de la scurit de Google s'articule autour d'une stratgie multicouches, proposant des contrles di rents niveaux du traitement des donnes (stockage, accs et transferts). Cette stratgie comprend les dix lments suivants : Politique gnrale de scurit de Google Scurit organisationnelle Classication et contrle des actifs Scurit par le personnel Scurit physique et environnementale Scurit oprationnelle Contrle des accs Dveloppement et maintenance des systmes Reprise sur sinistre et plan de continuit de l'activit Conformit rglementaire

Politique gnrale de scurit de Google

Google s'engage garantir la scurit de toutes les informations stockes sur ses systmes informatiques. Cet engagement est expos dans le Code de conduite de Google, consultable sur le site Web de Google l'adresse http://investor.google.com/corporate/code-of-conduct.html. Les grandes lignes de la philosophie de scurit de Google sont galement prsentes sur la page suivante : http://www.google.com/intl/fr/corporate/security.html. L'ensemble des rgles de scurit couvrant la scurit physique et la scurit des comptes, des donnes, des services de l'entreprise, des systmes rseau et informatiques, des services d'applications, de la gestion des modications, du systme de rponse aprs incident et des centres de donnes constitue le fondement de l'engagement de Google en matire de scurit. Ces rgles sont rgulirement rvises an de garantir leur e cacit et leur adquation. Tous les employs de Google doivent se conformer ces rgles de scurit. Ils se voient en outre remettre un livret sur la scurit, qui dcrit les aspects les plus importants des rgles de scurit des informations, tels que l'utilisation sans risques d'Internet, le tltravail scuris et la manire de libeller et de traiter les donnes sensibles. D'autres consignes sont rgulirement fournies sur des sujets utiles, notamment dans le domaine des technologies mergentes, telles que l'utilisation en toute scurit de priphriques mobiles et de logiciels de partage entre homologues (P2P). Les directives de ces documents sont prsentes sous une forme simple, conformment au principe fondamental de Google selon lequel les rgles crites ne sont e caces que si leurs informations sont assimiles.

Scurit organisationnelle
Scurit des informations Google emploie plein temps une quipe charge de la scurit des informations. Intgre dans l'organisation Gnie logiciel et oprations de Google, elle est compose d'experts mondiaux parmi les plus reconnus en matire de scurit des informations, des applications et des rseaux. Cette quipe s'occupe de la maintenance des systmes de dfense du primtre de l'entreprise, de la mise au point de processus d'examen de la scurit et de l'laboration d'une infrastructure de scurit personnalise. Elle joue galement un rle essentiel dans le dveloppement, la documentation et l'implmentation des rgles et normes de scurit de Google. Le personnel charg de la scurit des informations de Google excute les activits spciques suivantes : Rvision des plans de scurit des rseaux, systmes et services Google l'aide d'un processus rigoureux plusieurs phases Examen de la scurit au niveau conception et implmentation Services de conseil en continu sur les risques de scurit associs un projet donn et proposition de solutions aux enjeux de scurit Surveillance des rseaux Google la recherche d'activits suspectes, et application de processus formels de rponse sur incident an d'identier, d'analyser et d'carter rapidement les menaces visant la scurit des informations
3

Mise en conformit avec les rgles dnies par le biais d'valuations de la scurit et d'audits internes rguliers laboration de cours sur la conformit avec les rgles de scurit Google et formation des employs, notamment dans les domaines de la scurit des donnes et de la programmation scurise Recrutement d'experts en scurit extrieurs an d'valuer rgulirement la scurit de l'infrastructure et des applications Excution d'un programme de gestion des vulnrabilits pour mettre au jour les problmes propres aux rseaux, tout en s'assurant que les problmes connus devant tre rsolus le sont dans les dlais impartis L'quipe de scurit des informations travaille galement o ciellement avec la communaut de scurit externe Google : Publication de nouvelles techniques de scurisation de la programmation, dans le souci de rester au fait des dernires tendances et proccupations lies la scurit Collaboration avec des diteurs de logiciels et des professionnels de la maintenance an d'identier et de rsoudre les vulnrabilits des logiciels libres et ferms tiers laboration de normes internationales sur la condentialit Mise la disposition du public de documents de formation sur les problmes de scurit des informations, tels que la scurit des navigateurs (http://code.google.com/p/browsersec/wiki/Main) Organisation et participation des projets libres tels que skipsh, un outil actif de reconnaissance de la scurit des applications Web entirement automatis (http://code.google.com/p/skipsh) Cration d'un cursus de formation dans les meilleures universits Organisation et participation des confrences universitaires Une liste des publications relatives la scurit et la condentialit rdiges par les employs de Google est disponible l'adresse http://research.google.com/pubs/SecurityCryptographyandPrivacy.html. Audit interne global et conformit globale En plus de l'quipe plein temps en charge de la scurit des informations, Google conserve galement plusieurs fonctions axes sur la conformit lgale et rglementaire l'chelle mondiale. Google dispose d'un poste Conformit globale assurant la conformit lgale et rglementaire, ainsi que d'une fonction Audit interne global en charge de la revue et de l'adhrence d'audit aux exigences de conformit formules, telles que la loi Sarbanes-Oxley et les normes PCI (Payment Card Industry). Scurit physique Google gre une quipe internationale, installe aux tats-Unis, qui se consacre la scurit physique des locaux de Google et de son centre de donnes. Nos responsables de la scurit, hautement qualis, suivent des formations dans la protection d'environnements similaires de type infrastructure sous haute scurit.

Classication et contrle des actifs

Accs aux informations Google dispose de pratiques et de contrles complets pour assurer la scurit des informations des clients. Les applications Google fonctionnent dans un environnement distribu mutualis. Au lieu d'isoler les donnes de chaque client sur une machine ou sur un ensemble de machines, les donnes Google Apps de tous les clients Google (particuliers, entreprises et mme les propres donnes de Google) sont rparties sur une infrastructure partage compose de nombreuses machines homognes Google et situes dans les di rents centres de donnes de Google. Google Apps utilise un systme de chiers distribu destin stocker d'importantes quantits de donnes sur un grand nombre d'ordinateurs. Les donnes structures sont alors stockes dans une grande base de donnes distribue, au sommet du systme de chiers. Les donnes sont morceles et rpliques sur plusieurs systmes de sorte qu'aucun systme ne reprsente un point de dfaillance unique. Des noms de chiers alatoires sont attribus aux paquets de donnes, ceux-ci n'tant pas enregistrs en texte clair de manire n'tre pas lisibles par l'homme. Pour plus d'informations, veuillez tlcharger le rsum l'adresse http://labs.google.com/papers/gfs.html. Les couches de l'application Google et la pile de stockage requirent que les demandes provenant d'autres composants soient authenties et autorises. L'authentication entre services s'appuie sur un protocole de scurit reposant sur un systme Google qui permet de rpartir les canaux authentis entre les services d'application. La conance entre les instances de ce courtier d'authentication provient des certicats d'hte x509 mis vers chaque hte de production Google par une autorit de certication interne Google.

E-mail Utilisateur 1

E-mail Utilisateur 2

E-mail Utilisateur 3

E-mail Utilisateur 4

Plusieurs milliers de fichiers

asdfasdf jowiejf jwoieyto ghlawe j idslkjwf owe kas rwdfasdl taqwde zswefast Centre de donnes 1

awefwoi caowefkj eawe kja ilijawe mlkaswd oasd rawe kj xefsasdf zewfokjl Centre de donnes 2

basfawe deasd j fasd ok hljlijawe jlkjasdfe nasd oi poiwe kla yzwe kja zefojasl Centre de donnes 3

Les noms de fichier sont anonymes sur le systme de fichiers

Donnes distribues sur plusieurs emplacements

Figure 2 : Architecture du systme de chiers Google (GFS) Par exemple, un service frontal Gmail e ectue un appel de procdure distance vers un service principal Gmail pour demander un message d'une bote de rception d'un utilisateur particulier. Le service principal Gmail authentie et traite cette demande uniquement si le demandeur est e ectivement un service excut sous une identit autorise accder aux services principaux de Gmail. Le service principal Gmail s'authentie son tour pour accder aux chiers du systme de chiers distribu de Google et, s'il y parvient, n'obtient l'accs qu'en fonction des listes de contrle d'accs (ACL). L'accs des ingnieurs en charge de l'administration des applications de production aux environnements de production est rgi de manire similaire. Un systme centralis de gestion des groupes et des rles permet de dnir et de contrler l'accs des ingnieurs aux services de production, l'aide d'une extension du protocole de scurit mentionn ci-dessus, qui authentie les ingnieurs via l'utilisation d'un certicat x509 personnel mis leur intention. La rgle requiert que l'accs administratif l'environnement de production des ns de dbogage et de maintenance s'appuie sur des connexions authenties de cl publique SSH (shell scuris). Dans les deux cas de gure, l'appartenance un groupe octroyant l'accs aux services ou aux comptes de production est dnie la demande. Les contrles de scurit dcrits prcdemment reposent sur l'intgrit de la plate-forme de production Google. Cette plate-forme est elle-mme fonde sur : des protections de scurit physique de l'environnement de centre de donnes de Google ; l'intgrit de l'environnement du systme d'exploitation de production Google ; un accs au niveau administrateur systme (racine) limit et la demande aux htes de production, accord un groupe spcialis d'employs dont l'accs est surveill. Ces aspects des pratiques de scurit de Google sont expliqus plus en dtail dans les sections suivantes du prsent document. Donnes supprimes Aprs la suppression d'un message, d'un compte, d'un utilisateur ou d'un domaine par un utilisateur ou un administrateur Google Apps et la conrmation de cette suppression (par exemple, vidage de la corbeille), les donnes en question ne sont plus accessibles depuis l'interface Google Apps de l'utilisateur. Les donnes sont ensuite supprimes des serveurs actifs et des serveurs de rplication de Google. Les pointeurs vers les donnes sur les serveurs actifs et de rplication de Google sont supprims. Les donnes sans rfrence seront remplaces par d'autres donnes des clients au l du temps.

Mise au rebut des supports Une fois qu'ils sont retirs des systmes Google, les disques contenant les informations des clients suivent un processus de destruction des donnes avant de quitter les locaux de Google. La rgle exige, dans un premier temps, que le disque soit e ac par des personnes habilites. L'opration consiste en une criture complte du lecteur avec des zros (0x00), suivie d'une lecture complte pour s'assurer que l'unit est vierge. Puis, une autre personne habilite doit procder une deuxime inspection an de conrmer que le disque a bien t e ac. Ces rsultats sont consigns par numro de srie du lecteur pour le suivi. Enn, le disque e ac est enregistr dans l'inventaire pour tre rutilis et redploy. Si le lecteur ne peut pas tre e ac en raison d'un incident matriel, il doit tre stock de manire scurise jusqu' sa destruction. Un audit est pratiqu toutes les semaines sur chaque site an de veiller au bon respect des rgles d'e acement des disques. Scurit par le personnel Les employs Google doivent adopter une conduite en accord avec la politique de l'entreprise en ce qui concerne la condentialit, la dontologie, l'utilisation approprie et l'adhsion aux normes professionnelles. l'embauche, Google se renseigne sur la formation et les fonctions prcdemment occupes par une personne, et procde des contrles de rfrence internes et externes. Lorsque le droit du travail ou les rglementations lgales l'autorisent, Google peut galement e ectuer des contrles en matire de condamnation, de solvabilit, d'immigration et de scurit. L'tendue de ces contrles dpend du poste vis. Une fois embauchs par Google, tous les employs doivent signer un accord de condentialit, accuser rception des rgles du guide de l'employ de Google et accepter de s'y conformer. L'accent est mis sur la condentialit des informations et donnes des clients dans le guide et au cours de l'orientation de la nouvelle recrue. Les employs reoivent une formation sur la scurit dans le cadre de leur embauche. En outre, chaque employ Google se doit de lire et comprendre le code de conduite de l'entreprise et de suivre une formation ce sujet. Le code met en vidence le fait que Google attend de ses employs qu'ils exercent leur activit en toute lgalit, selon la dontologie et en toute intgrit, dans le respect mutuel des utilisateurs, des partenaires et mme des concurrents. Le code de conduite de Google est consultable par tous l'adresse http://investor.google.com/corporate/code-of-conduct.html. Selon la fonction occupe par un employ, d'autres plans de formation et rgles de scurit peuvent s'appliquer. Les employs Google en charge de la gestion des donnes des clients doivent satisfaire aux exigences requises par ces rgles. La formation sur les donnes des clients insiste sur l'utilisation approprie des donnes conjointement aux processus mtier, ainsi que sur les consquences de toute violation. Chaque employ Google a l'obligation de communiquer d'ventuels problmes de scurit et de condentialit au personnel de la scurit Google dsign. L'entreprise propose des mcanismes de signalement condentiels pour permettre aux employs de signaler en tout anonymat une violation de la condentialit dont ils ont pu tre tmoins.

Scurit physique et environnementale

Contrles de scurit Les centres de donnes Google sont rpartis gographiquement et mettent en uvre di rentes mesures de scurit physique. Les mcanismes technologiques et scuritaires utiliss dans ces di rents sites peuvent varier en fonction des conditions locales, telles que l'emplacement des btiments et les risques rgionaux. Les contrles standard de scurit physique mis en uvre dans chaque centre de donnes Google utilisent des technologies connues et suivent les meilleures pratiques du secteur : systmes personnaliss de contrle d'accs par carte lectronique, systmes d'alarme, camras intrieures et extrieures et vigiles. L'accs aux zones o sont installs ou stocks des systmes ou des composants de ces systmes est di renci de celui des parties publiques, telles que les halls. La surveillance des camras et des alarmes installes dans chacune de ces zones est centralise pour permettre de dtecter toute activit suspecte. En outre, les locaux sont rgulirement inspects par des vigiles bicyclette, sur Segways ou mini vhicule lectrique (T3 motion). Les locaux Google sont quips de camras haute rsolution avec analyse vido et d'autres systmes permettant de dtecter et de traquer les intrus. Les enregistrements d'activit et les images sont conservs pour un examen ultrieur, le cas chant. D'autres dispositifs de scurit, tels que les camras thermiques, les cltures de primtre et la biomtrie peuvent tre utiliss, si ncessaire. L'accs toutes les installations du centre de donnes est limit aux employs Google autoriss, aux visiteurs approuvs et aux tierces parties agres dont la tche est de grer le centre de donnes. Google administre

une rgle d'accs visiteur et un ensemble de procdures mentionnant que les responsables de centres de donnes doivent approuver les visiteurs l'avance an que ceux-ci pntrent dans les zones internes spciques souhaites. La rgle concernant les visiteurs s'applique galement aux employs Google qui n'ont habituellement pas accs aux locaux du centre de donnes. Google pratique un audit trimestriel des personnes ayant accs ces centres de donnes an de s'assurer que seul le personnel habilit accde chacun des niveaux. Google limite l'accs ses centres de donnes selon la fonction et non la hirarchie. Par consquent, mme les cadres haut placs de Google n'ont pas accs ses centres de donnes. Contrles environnementaux Les clusters informatiques de Google sont conus dans le sens de la rsilience et de la redondance, an de permettre de minimiser les points individuels de dfaillance et de rduire l'impact des incidents courants de matriel et les risques pour l'environnement. Doubles circuits, commutateurs, rseaux et autres dispositifs requis sont utiliss pour garantir la redondance. L'infrastructure des locaux des centres de donnes a t conue pour tre robuste, tolrante aux pannes et faire preuve d'une maintenabilit concurrente. Alimentation lectrique Pour un fonctionnement en continu, 24 h/24 et 7 j/7, les systmes lectriques des centres de donnes Google incluent des systmes redondants. Une source d'alimentation principale et auxiliaire, de capacit gale, est disponible pour chaque composant critique du centre de donnes. Lors de la premire dfaillance de la source d'alimentation principale, due une baisse de tension, une extinction, une surtension, une sous-tension ou une condition de frquence hors tolrances, un onduleur est prvu pour fournir de l'nergie jusqu' ce que les gnrateurs de secours prennent le relais. Les gnrateurs de secours diesel sont en mesure de fournir une alimentation lectrique su sante pour faire fonctionner le centre de donnes pleine capacit pendant un certain temps. Climat et temprature Le refroidissement par circulation d'air est requis pour maintenir une temprature de service constante pour les serveurs et autre matriel informatique. Le refroidissement empche la surchau e et rduit les risques d'interruption de service. Les climatiseurs de la salle informatique sont aliments par des systmes lectriques normaux et de secours. Dtection et lutte contre l'incendie Des quipements automatiques de dtection et de lutte contre l'incendie permettent d'viter l'endommagement du matriel informatique. Les systmes de dtection d'incendie utilisent des capteurs de chaleur, de fume et d'eau placs dans les plafonds du centre de donnes et sous le faux-plancher. En cas d'incendie ou en prsence de fume, le systme de dtection se dclenche et met des alarmes audibles et visibles dans la zone concerne, au niveau de la console des oprations de scurit et du bureau de surveillance distance. Des extincteurs manuels sont galement rpartis dans les centres de donnes. Les techniciens des centres de donnes reoivent une formation sur la prvention d'incendie et l'extinction de feux naissants, l'aide notamment d'extincteurs. Plus d'informations Des informations complmentaires et une visite guide vido des centres de donnes Google sont disponibles sur la page http://www.google.com/corporate/green/datacentres/summit.html.

Scurit oprationnelle
Prvention contre les logiciels malveillants Les logiciels malveillants reprsentent un vrai danger pour les environnements informatiques d'aujourd'hui. Une o ensive e cace d'un logiciel malveillant peut compromettre l'intgrit d'un compte, entraner le vol de donnes et, ventuellement, conduire un accs non autoris un rseau. Google prend trs au srieux ces menaces l'encontre de ses rseaux et de ses clients et applique un certain nombre de mthodes pour prvenir, dtecter et radiquer les logiciels malveillants. La stratgie consiste dans un premier temps prvenir l'infection l'aide d'analyseurs manuels et automatiss an de passer au peigne n l'index de recherche de Google et vrier la prsence de sites Web susceptibles de contenir logiciels malveillants ou risques de phishing. Des informations complmentaires propos de ce procd sont disponibles sur la page http://googlewebmastercentral.blogspot.com/2008/10/malware-we-dont-need-no-stinking.html. Les listes noires rsultant de ces procdures d'analyse ont t intgres dans di rents navigateurs Web et dans la barre d'outils Google an de renforcer la protection des internautes contre les sites suspects. Ces outils, accessibles au public, sont galement utiliss par les employs Google. En outre, Google a recours plusieurs antivirus dans Gmail, sur les serveurs et les postes de travail an de capturer les logiciels malveillants ayant chapp aux signatures antivirus. Le personnel d'assistance est form pour identier et radiquer les logiciels malveillants risquant d'infecter le rseau Google, et transmet les cas inhabituels l'quipe en charge de rsoudre les incidents.
7

Surveillance Le programme de surveillance de la scurit de Google s'intresse aux informations recueillies sur le trac rseau interne, les actions des employs sur les systmes et aux connaissances extrieures en matire de vulnrabilits. En de nombreux points de notre rseau global, une inspection du trac interne est pratique an de dtecter tout comportement suspect, tel que la prsence de trac indiquant des connexions un rseau de zombies. Cette analyse est e ectue l'aide d'une combinaison d'outils Open Source et commerciaux destins la capture et l'analyse du trac. Un systme de corrlation propritaire s'appuyant sur le meilleur de la technologie Google prend galement en charge cette analyse. L'analyse du rseau est complte par l'examen des journaux systme an d'identier tout comportement inhabituel, tel que l'activit non prvue dans les comptes d'anciens employs ou les tentatives d'accs aux donnes des clients. Les techniciens de la scurit Google placent des alertes de recherche sur les rfrentiels de donnes publics en qute d'incidents lis la scurit susceptibles de nuire l'infrastructure de l'entreprise. Ils passent activement en revue les rapports de scurit entrants et surveillent les listes de di usion publiques, les messages des blogs et les systmes de forum lectronique. L'analyse automatise du rseau, transmise au personnel de scurit Google, permet de dterminer quel moment une menace inconnue risque de se prsenter. L'analyse rseau est complte par l'analyse automatise des journaux systme. Gestion des vulnrabilits Google emploie une quipe temps plein charge de veiller ce que les vulnrabilits soient gres le plus rapidement possible. L'quipe de scurit Google e ectue des analyses la recherche de menaces pour la scurit l'aide d'outils commerciaux, d'actions intensives automatises et manuelles contre l'intrusion, de processus d'assurance qualit, de revues de scurit logicielle et d'audits externes. L'quipe de gestion des vulnrabilits est responsable du suivi de ces dernires. Lorsqu'une faille avre ncessitant un dpannage a t identie par l'quipe de scurit, elle est consigne, priorise en fonction de sa gravit et attribue un propritaire. L'quipe de gestion des vulnrabilits assure le suivi de ces cas jusqu' leur rsolution. Google gre galement des relations et des interfaces avec les membres de la communaut de recherche sur la scurit pour assurer le suivi de cas signals dans les services Google et les outils Open Source. Pour en savoir plus sur le signalement des problmes de scurit, consultez la page http://www.google.com/intl/fr/ corporate/security.html. Gestion des incidents Google dispose d'un processus de gestion des incidents s'appliquant aux vnements de scurit susceptibles de nuire la condentialit, l'intgrit et la disponibilit de ses systmes ou de ses donnes. Ce processus prcise le droulement des actions, les procdures de notication, d'escalade, d'attnuation et de documentation. Le programme de gestion des incidents de scurit Google s'articule autour des recommandations NIST sur la gestion des incidents (NIST SP 800-61). Le personnel cl est form en investigation numrique et en gestion des justicatifs en prparation d'un vnement, y compris l'utilisation d'outils tiers et propritaires. Les tests des plans de rsolution des incidents sont pratiqus pour des zones cls, telles que les systmes stockant des informations client sensibles. Ces tests tiennent compte d'une varit de scnarios, notamment les menaces internes et les failles de scurit des logiciels. Pour une rsolution rapide des incidents de scurit, l'quipe Google est disponible pour tous les employs 24 h/24 et 7 j/7. En cas d'incident concernant la scurit des informations, l'quipe Google rpond en consignant et en priorisant l'incident selon sa gravit. Les vnements ayant une rpercussion directe sur les clients sont traits avec la plus grande priorit. Une personne ou une quipe se consacre la rsolution du problme et se procure, le cas chant, l'aide des spcialistes du produit ou des experts en la matire. Les autres responsabilits sont di res jusqu' la rsolution du problme. Les ingnieurs de la scurit Google e ectuent des investigations rtrospectives, si ncessaire, an de dterminer la cause d'vnements isols, les tendances communes plusieurs vnements, et d'laborer de nouvelles stratgies pour empcher la rcurrence d'incidents similaires. Scurit du rseau Google utilise plusieurs niveaux de dfense pour protger le primtre rseau contre des attaques externes. Seuls les services et protocoles autoriss rpondant aux exigences de scurit de Google sont habilits balayer le rseau de l'entreprise. Les paquets non autoriss sont automatiquement carts.

La stratgie de la scurit rseau de Google comprend les lments suivants : Contrle de la dimension et de la cration du primtre rseau ; application de la sgrgation des rseaux l'aide de pare-feu normaliss et de la technologie ACL Gestion systmatique des rgles de pare-feu rseau et ACL utilisant la gestion des changements, le contrle par les pairs et les tests automatiss Restriction de l'accs aux dispositifs en rseau au personnel autoris Acheminement de tout le trac via des serveurs frontaux personnaliss qui permettent de dtecter et d'arrter les requtes malveillantes Cration de points d'agrgation internes an d'amliorer la surveillance Examen des chiers journaux an d'exploiter les erreurs de programmation (par exemple, les failles XSS) et gnration d'alertes de haute priorit si un vnement est dtect Scurit du systme d'exploitation Conus en interne du dbut la n, les serveurs de production de Google sont bass sur une version dpouille et durcie de Linux qui a t personnalise pour inclure les composants ncessaires l'excution d'applications Google, telles que les services requis pour administrer le systme et traiter le trac utilisateur. Le systme est conu pour que Google soit en mesure de conserver le contrle de l'ensemble de la pile matrielle et logicielle et pour garantir la scurit de l'environnement d'application. Les serveurs de production de Google sont bass sur un systme d'exploitation durci standard, et les correctifs de scurit sont dploys de manire uniforme sur l'ensemble de l'infrastructure de l'entreprise. La maintenance de cet environnement homogne est assure par des logiciels propritaires qui surveillent en permanence les systmes en qute de modications binaires. Si une modication dtecte est di rente de l'image Google standard, le systme revient automatiquement son tat o ciel. Ces mcanismes d'autortablissement sont conus pour permettre Google de surveiller et de rsoudre des vnements dstabilisants, de recevoir des notications sur les incidents et de ralentir les mfaits potentiels sur le rseau. l'aide d'un systme e cace de gestion des modications permettant la fourniture d'un mcanisme centralis pour l'enregistrement, l'approbation et le suivi des modications concernant tous les systmes, Google rduit les risques de modications non autorises apportes au systme d'exploitation Google standard.

Contrle des accs

Contrles d'authentication Google requiert l'utilisation d'un identiant utilisateur unique pour chaque employ. Ce compte permet d'identier l'activit de chaque personne sur le rseau Google, y compris l'accs aux donnes des employs ou des clients. Ce compte unique est utilis pour chaque systme de Google. Aprs son embauche, un employ se voit attribuer un identiant utilisateur par les ressources humaines et dispose d'un ensemble de droits par dfaut dcrits ci-aprs. Lorsque l'emploi d'une personne prend n, la rgle exige la dsactivation de l'accs du compte au rseau Google depuis le systme des ressources humaines. Lorsque des mots de passe servent l'authentication (par exemple, pour la connexion des postes de travail), les systmes appliquent les rgles rigoureuses de mot de passe de Google, notamment la date d'expiration du mot de passe, les restrictions relatives la rutilisation d'un mot de passe et un niveau de scurit du mot de passe su sant. Google utilise trs largement des mcanismes d'authentication deux facteurs, tels que les certicats et les gnrateurs de mots de passe usage unique. Contrles d'autorisation Les droits et les niveaux d'accs sont bass sur la fonction et le rle occups par l'employ. Un droit d'accs minimal et l'accs des informations potentiellement utiles l'utilisateur sont galement pris en compte. Les employs Google ne disposent que d'un ensemble limit d'autorisations par dfaut pour accder aux ressources de l'entreprise, telles que la messagerie lectronique, le portail interne de Google et les informations RH. Les demandes d'accs complmentaire suivent un processus formel impliquant une requte et une approbation de la part d'un propritaire de donnes ou de systme, d'un gestionnaire ou d'autres responsables, conformment aux rgles de scurit nonces par Google. Les approbations sont gres par les outils de ux de travail qui conservent les enregistrements d'audit de toutes les modications. Ces outils contrlent la fois les modications des paramtres d'autorisations et le processus d'approbation an de garantir l'application cohrente des systmes d'acceptation. Les paramtres d'autorisation d'un employ permettent de contrler l'accs toutes les ressources, y compris les donnes et les systmes des produits Google Apps.

Comptabilit La rgle de Google consiste enregistrer l'accs administratif chaque systme de production Google et toutes les donnes. Ces chiers journaux sont consultables par l'quipe de scurit Google selon les besoins.

Dveloppement et maintenance des systmes

La stratgie de Google se doit d'envisager les proprits et les implications de scurit des applications, des systmes et des services utiliss ou fournis par Google tout au long du cycle de vie d'un projet. La rgle de scurit des applications, systmes et services de Google prvoit que les quipes et les personnes mettent en uvre les mesures de scurit appropries dans les applications, les systmes et les services en cours de dveloppement, en fonction des risques et proccupations de scurit identis. La rgle mentionne que Google dispose d'une quipe de scurit dont la mission est de fournir des lignes directrices de scurit et d'assurer l'valuation des risques. Google met en uvre un certain nombre de mesures visant garantir que les produits logiciels et services qu'il propose aux utilisateurs sont conformes aux normes les plus strictes sur la scurit logicielle. Cette section dcrit l'approche actuelle de Google en matire de scurit logicielle ; celle-ci peut s'adapter et voluer avec le temps. Consultation et revue de scurit S'agissant de la conception, du dveloppement et du fonctionnement des applications et services, l'quipe de scurit Google propose les catgories principales de services de consultation suivantes aux quipes techniques et de production Google : Revues de scurit au niveau de la conception : valuations au niveau de la conception des risques de scurit d'un projet et mesures d'attnuation correspondantes, tout en considrant leur caractre appropri et leur e cacit. Revues de scurit au niveau de l'implmentation : valuation au niveau de l'implmentation des artefacts de code pour mesurer leur abilit par rapport aux menaces de scurit applicables. Consultation de scurit : consultation en continu des risques de scurit associs un projet donn et solutions ventuelles aux problmes de scurit, souvent sous forme d'exploration de l'espace de conception dans les phases initiales des cycles de vie des projets. Google reconnat qu'une multitude de types de problmes de scurit interviennent au niveau de la conception du produit. C'est pourquoi ils doivent tre pris en considration et rsolus lors de la phase de conception du produit ou du service. La nalit essentielle de la revue de scurit au niveau conception est de garantir la prise en compte de ces considrations. Dans ce cadre, la revue de scurit au niveau de la conception se xe les objectifs suivants : Fournir une valuation de haut-niveau des risques de scurit associs au projet, sur la base d'une recherche des menaces relles Procurer aux dcideurs du projet les informations ncessaires an qu'ils puissent faire des choix clairs en matire de gestion des risques et intgrer les considrations de scurit dans les objectifs d'un projet Fournir des lignes directrices quant au choix et la mise en uvre correcte de contrles de scurit planis (par exemple, protocoles d'authentication ou cryptage) S'assurer que l'quipe de dveloppement dispose de la formation adquate eu gard aux classes de vulnrabilits applicables, aux schmas d'attaque et aux stratgies d'attnuation appropries Lorsque des projets impliquent des fonctionnalits ou des technologies innovantes, l'quipe de scurit est charge de rechercher et d'explorer les menaces, les schmas d'attaque potentiels et les classes de vulnrabilits spciques des technologies et fonctionnalits en question. Le cas chant, Google sous-traite des entreprises tierces de consultation de scurit pour complter les comptences de l'quipe de scurit et obtenir une revue indpendante an de valider les revues de scurit internes. Scurit dans le contexte du cycle de vie des logiciels Google La scurit est au cur de notre processus de conception et de dveloppement. L'organisation technique de Google ne requiert pas que les quipes de dveloppement de produits suivent un processus de dveloppement logiciel particulier ; au contraire, les quipes choisissent et mettent en uvre des processus adapts aux besoins du projet. Dans ce cadre, un certain nombre de processus de dveloppement logiciel sont utiliss chez Google, allant des mthodologies de dveloppement Agile Software des processus plus classiques, par tapes.

10

01010101 01010101 01010101 01010101 01010101 01010101

Conception des logiciels Logiciels termins Assurance qualit Les ingnieurs de la scurit Les ingnieurs de la scurit Les ingnieurs de la scurit analysent la conception procdent une inspection e ectuent une analyse des logiciels statique du code dynamique de l'application en cours d'excution

Dploiement Examen priodique et rponse rapide aux problmes signals

Figure 3 : Stratgie de dveloppement et de maintenance systmes de Google Les processus de revue de la scurit de Google sont prvus pour fonctionner dans la structure choisie. Leur russite dpend de la culture technique en matire de qualit de Google et de quelques exigences dnies par la direction technique des processus de dveloppement de projet : Documentation de conception revue par les pairs Conformit aux lignes directrices de style de codage Revue de code par les pairs Tests de scurit multicouches Les mandats ci-dessus reprsentent la culture d'ingnierie logicielle de Google, dans laquelle les objectifs cls sont la qualit, la abilit et la maintenabilit des logiciels. Tandis que la nalit premire de ces mandats est d'encourager la cration d'artefacts logiciels irrprochables en matire de qualit logicielle, l'quipe de scurit Google suggre galement qu'ils reprsentent des moteurs signicatifs et volutifs en faveur de la rduction de l'incidence de failles de scurit dans la conception logicielle : L'existence d'une documentation de conception su samment dtaille constitue une condition pralable du processus de revue de scurit au niveau de la conception, dans la mesure o lors des premires phases du projet, c'est en gnral le seul artefact disponible pour laborer les valuations de scurit. Bon nombre de classes de failles de scurit au niveau implmentation s'apparentent nalement des dfauts fonctionnels courants, faible risque. La plupart des failles au niveau implmentation sont le rsultat d'omissions trs simples de la part du dveloppeur. Avec des dveloppeurs et des rviseurs de code forms aux schmas de vulnrabilit en vigueur et aux mthodes permettant de les viter, une culture du dveloppement base sur la revue par les pairs, insistant sur la cration d'un code de haute qualit est un moteur important et volutif vers une base de code scurise. Les ingnieurs logiciels de l'quipe de scurit Google collaborent avec d'autres ingnieurs Google sur le dveloppement et la validation de composants rutilisables conus et implments pour permettre aux projets logiciels d'viter certaines classes de vulnrabilits. Parmi les exemples gurent les couches d'accs aux donnes conues pour rsister aux failles d'injection de langage de requte, ou les structures de modles HTML avec dfenses intgres contre les vulnrabilits XSS (comme le mcanisme d'chappement automatique de la bibliothque libre Google CTemplate). Formation la scurit Reconnaissant l'importance d'une main-d'uvre technique forme aux pratiques de codage scuris, l'quipe de scurit Google met en place une campagne de communication et un programme de formation l'intention des ingnieurs, dont le contenu actuel est le suivant : Formation des nouveaux ingnieurs la scurit Cration et gestion d'une documentation complte sur les pratiques scurises de codage et de conception Rfrences cibles et contextuelles la documentation et aux supports de la formation (par exemple, des outils automatiss de test des vulnrabilits fournissent aux ingnieurs des rfrences la documentation de formation et de fond en rapport avec les bugs ou classes de bugs spciques mis en vidence par l'outil) Prsentations techniques sur les rubriques relatives la scurit Newsletter sur la scurit distribue l'ensemble des ingnieurs et destine informer la main-d'uvre technique Google des menaces, schmas d'attaque, techniques d'attnuation, bibliothques lies la scurit, meilleures pratiques et lignes directrices, etc. recenss rcemment

11

Le sommet de la scurit, confrence rcurrente l'chelle de Google, qui runit les ingnieurs des di rentes quipes Google travaillant sur la scurit et propose des prsentations techniques dtailles sur les sujets de scurit Tests et revue de scurit au niveau implmentation Google applique un certain nombre d'approches pour continuer de rduire l'incidence de failles de la scurit au niveau implmentation dans ses produits et services : Revues de scurit au niveau implmentation : ralises par les membres de l'quipe de scurit Google, gnralement lors des dernires phases du dveloppement de produits, les revues de scurit au niveau implmentation visent valider la rsistance d'un artefact logiciel aux menaces de scurit applicables. Ces revues sont gnralement constitues d'une rvaluation des menaces et contremesures identies lors de la revue de scurit au niveau conception, de revues cibles sur le code critique pour la scurit, de revues de code slectives permettant d'valuer la qualit du code du point de vue de la scurit, et de tests de scurit cibls. Tests automatiss des failles dans certaines classes de vulnrabilits pertinentes. Pour ces tests, nous utilisons aussi bien des outils dvelopps en interne que des outils disponibles sur le march. Tests de scurit raliss par des ingnieurs de la qualit logicielle dans le contexte des actions menes en matire de test et d'valuation de la qualit logicielle globale du projet.

Reprise sur sinistre et plan de continuit de l'activit

An de rduire l'interruption de service due une panne de matriel, une catastrophe naturelle ou autre, Google met en uvre un programme de reprise sur sinistre sur tous les sites de ses centres de donnes. Ce programme inclut plusieurs composants destins rduire le risque de point de dfaillance unique, dont les suivants : Rplication et sauvegarde des donnes : pour garantir la disponibilit en cas de sinistre, les donnes Google Apps sont rpliques sur plusieurs systmes au sein d'un mme centre de donnes, mais aussi dans un centre de donnes secondaire. Google gre un ensemble de centres de donnes rpartis gographiquement, conu pour garantir la continuit de service en cas de sinistre ou autre incident se produisant dans une rgion particulire. Les connexions grande vitesse entre les centres de donnes permettent un basculement rapide. La gestion des centres de donnes est galement distribue an de fournir une couverture permanente indpendante du lieu et d'assurer l'administration systme. Outre la redondance des donnes et la dispersion rgionale des centres de donnes, Google dispose galement d'un plan de continuit de l'activit pour son sige Mountain View en Californie. Ce plan tient compte des sinistres majeurs, tels qu'un sisme ou une crise sanitaire publique, et suppose que les personnes et les services peuvent tre indisponibles pendant un maximum de 30 jours. Ce plan est conu pour assurer la continuit des oprations des services destins nos clients. Notre plan de reprise sur sinistre fait l'objet de tests rguliers.

Conformit rglementaire
Processus d'accs aux informations lgales Google applique des processus lgaux standard pour rpondre aux requtes d'informations utilisateur de la part de tiers. Des informations peuvent uniquement tre obtenues par des parties tierces par le biais de processus lgaux tels que les mandats de perquisition, les ordonnances du tribunal, les citations comparatre, via l'exemption statutaire ou encore avec le consentement de l'utilisateur. rception d'une demande de divulgation d'informations, l'quipe juridique Google examine la demande et vrie sa conformit avec la loi en vigueur. Si la requte est lgalement recevable, la rgle de Google mentionne qu'il faut notier l'utilisateur ou l'organisation dont les informations font l'objet d'une demande, sauf en cas d'urgence ou d'interdiction lgale. Condentialit Google applique une rgle de condentialit trs stricte pour assurer la protection des donnes de ses clients. Cette rgle est dtaille sur la page http://www.google.com/a/help/intl/fr/users/privacy.html et est valable dans le cadre de chaque application de Google Apps. Pour en savoir plus sur les rgles et pratiques du centre de condentialit Google, accdez la page http://www.google.com/privacy.html. En deux mots, Google n'est pas propritaire des donnes de ses clients et nous pensons qu'il doit en demeurer ainsi.

12

Google adhre aux principes suivants concernant les donnes de ses clients : Google ne partagera pas les donnes avec d'autres, sauf indication contraire dans les Rgles de condentialit Google. Google propose aux clients des fonctionnalits leur permettant d'emporter les donnes s'ils souhaitent utiliser des services externes conjointement Google Apps ou arrter d'utiliser tous les services Google. Le contenu des utilisateurs est analys ou index uniquement dans les cas suivants, an de fournir aux clients un service de haute qualit : Certaines donnes utilisateur, telles que les e-mails et les documents, sont analyses et indexes, de sorte que les utilisateurs au sein du domaine d'un client puissent les rechercher dans leurs propres comptes Google Apps. Les e-mails sont analyss pour que Google puisse procder au ltrage anti-spam et la dtection de virus. Les e-mails sont analyss de sorte que Google puisse a cher en contexte les publicits pertinentes dans certaines circonstances. Except lorsque les utilisateurs choisissent de rendre des informations publiques, les donnes Google Apps ne font pas partie de l'index gnral google.com. Les procdures d'analyse et d'indexation sont automatises et n'impliquent pas d'interaction humaine. Google peut galement supprimer tout contenu non conforme aux Conditions d'utilisation des produits Google Apps. Safe Harbor Google adhre aux principes de sphre de scurit (Safe Harbor) des tats-Unis relatifs aux avis, au choix, au transfert continu, la scurit, l'intgrit des donnes, l'accs et l'application, et est inscrit au programme Safe Harbor du Dpartement du commerce amricain. SAS 70 Google a obtenu une attestation de conformit la norme SAS 70 Type II et s'e orcera d'obtenir des attestations similaires pour les produits de messagerie et de collaboration Google Apps, ainsi que pour ses produits de scurit et de conformit, fournis par Postini. Un audit SAS 70 est une valuation indpendante pratique par une socit d'audit externe qui valide l'adhsion de l'entreprise concerne aux contrles qu'elle s'est dni, et conrme que ceux-ci fonctionnent de manire e cace. Une fois qu'elle a termin, la socit d'audit produit un rapport dtaillant la conformit de l'entreprise ces contrles.

Personnalisation des fonctionnalits de scurit

Outre les di rents contrles de scurit dcrits prcdemment que Google met en place pour assurer la scurit et la condentialit des donnes des clients, Google Apps fournit galement d'autres options de scurit pouvant tre utilises par les administrateurs de domaine d'un client. Nous nous e orons de proposer davantage de choix aux clients dans la gestion des contrles de scurit de leur domaine. Authentication unique (SSO) Google Apps o re le service dauthentication unique (Single Sign-On, SSO) aux clients de Google Apps for Business, Google Apps for Education, Google Apps for Government et Google Apps for ISPs. Ces versions de Google Apps disposent dune API dauthentication unique, base sur le standard SAML, que les administrateurs peuvent intgrer dans un systme LDAP ou dautres systmes dauthentication unique. Cette fonctionnalit permet aux administrateurs d'utiliser le mcanisme d'authentication de leur choix, tel que les certicats, les jetons matriels, la biomtrie et autres. Longueur et niveau de scurit du mot de passe Les administrateurs peuvent dnir la longueur minimale des mots de passe des utilisateurs de leur domaine et contrler leur complexit l'aide d'indicateurs (pour identier les mots de passe qui respectent les critres de longueur, mais ne sont pas su samment complexes). Les indicateurs de niveau de scurit d'un mot de passe peuvent valuer en temps rel le niveau de scurit d'un mot de passe, et permettent aux administrateurs de reprer les mots de passe susceptibles d'tre moins scuriss avec le temps en fonction de l'mergence de nouveaux schmas d'attaque. Dconnexion unique au niveau de l'administrateur Les administrateurs peuvent rinitialiser les cookies de connexion d'un utilisateur pour empcher l'accs non autoris son compte. Cette opration dconnecte cet utilisateur de toutes les sessions actives de navigateur Web et ncessite une nouvelle authentication lors de la prochaine tentative d'accs de l'utilisateur Google Apps.

13

Combine la capacit existante des administrateurs rinitialiser les mots de passe utilisateur, cette fonctionnalit consistant rinitialiser les cookies de connexion des utilisateurs amliore la scurit du cloud en cas de vol ou de perte du priphrique. Connexions de navigateur scurises (HTTPS) Google Apps for Business, Google Apps for Education, Google Apps for Government et Google Apps for ISPs proposent aux administrateurs de domaine de forcer tous les utilisateurs de leur domaine utiliser le protocole HTTPS (Hypertext Transfer Protocol Secure) pour les services tels que Gmail, Google Documents, Google Agenda, Google Sites, etc. Les informations envoyes via HTTPS sont cryptes partir du moment o elles quittent Google et jusqu' ce qu'elles soient reues par l'ordinateur du destinataire. Transfert de messages scuris contrl par des rgles (TLS pour SMTP) Avec la fonction TLS (Transfer Layer Security) contrle par des rgles pour SMTP (Simple Mail Transfer Protocol), les administrateurs peuvent dnir des rgles conues pour envoyer et recevoir des messages entre domaines spciques. Par exemple, un administrateur peut spcier que tous les messages externes envoys par les membres de l'quipe de comptabilit leur banque doivent tre scuriss avec TLS ou di rs si TLS n'est pas possible. De mme, un administrateur peut mandater une connexion TLS scurise entre leur domaine et leur conseiller juridique externe, leurs auditeurs ou autres partenaires avec lesquels les employs peuvent avoir des communications sensibles. Google Recherche d'archives Google est conscient que les services d'archives peuvent aider les clients respecter les di rentes exigences de l'industrie. En mettant en uvre Google Message Discovery, gr par Postini, les clients peuvent crer pour leur organisation un rfrentiel de messagerie centralis et disponible la recherche permettant d'explorer les archives pour localiser et exporter des e-mails. Le produit peut enregistrer et indexer tous les messages en fonction de rgles de conservation dnies par le client. Les clients peuvent identier les messages pertinents et conserver, rechercher et exporter les donnes partager, selon les besoins, avec des fournisseurs externes.

Conclusion
Google s'engage conserver en toute scurit les informations stockes sur ses systmes informatiques. Chacun des dix composants de la stratgie de scurit multicouches de Google est soutenu et dfendu dans toute l'organisation. Google Apps propose des contrles chaque niveau du stockage, de l'accs et du transfert des donnes. Des millions d'organisations, y compris Google, travaillent avec Google Apps, et Google investit dans cette conance jour aprs jour. Avec Google Apps, les utilisateurs peuvent tre assurs que Google valorise la condentialit, l'intgrit et la disponibilit de leurs donnes.

2010 Google Inc. Tous droits rservs. Google, YouTube, le logo Google et le logo YouTube sont des marques commerciales de Google Inc. Les autres noms de socits et de produits peuvent tre des marques des socits auxquelles ils sont associs. WP64-1007_FR