Google Workspace : configurer la protection avancée contre le phishing
Guide de configuration des protections anti-phishing de Google Workspace. DMARC, alertes admin, sandboxing et formation des utilisateurs pour les PME.
Mis à jour le 28 February 2024
Le phishing reste la première cause de compromission des PME. Selon le Verizon DBIR 2023, 74% des violations de données impliquaient un élément humain — et l’email reste le premier vecteur d’entrée. Même avec les filtres par défaut de Gmail, les attaques ciblées passent.
Chez LCMH, nous configurons systématiquement les protections avancées pour nos clients Google Workspace. Voici le guide complet.
Niveau 1 : Les protections natives à activer
Dans la Console d’administration > Apps > Google Workspace > Gmail > Sécurité :
Protection contre le spoofing et l’authentification
- ✅ Protéger contre le spoofing de domaine (usurpation de votre propre domaine)
- ✅ Protéger contre le spoofing de noms d’employés
- ✅ Protéger contre les emails entrants usurpant votre domaine
- ✅ Appliquer automatiquement les paramètres recommandés
Protection contre les pièces jointes
- ✅ Protéger contre les pièces jointes chiffrées provenant d’expéditeurs non approuvés
- ✅ Protéger contre les pièces jointes contenant des scripts
- ✅ Protéger contre les types de pièces jointes anormaux
Protection contre les liens
- ✅ Identifier les liens derrière des URLs raccourcies
- ✅ Analyser les images liées pour détecter des URLs cachées
- ✅ Afficher un avertissement quand un utilisateur clique sur un lien vers un domaine non approuvé
Ces paramètres sont désactivés par défaut sur les plans Business. Activez-les tous.
Niveau 2 : DMARC, SPF et DKIM
La protection la plus efficace contre l’usurpation de votre domaine est le trio SPF + DKIM + DMARC. Sans ça, n’importe qui peut envoyer des emails “depuis” votre domaine.
SPF (déjà en place si vous utilisez Workspace) :
v=spf1 include:_spf.google.com ~all
DKIM : activez la signature DKIM dans Console d’administration > Apps > Gmail > Authentifier les emails. Google génère la clé, vous ajoutez l’enregistrement DNS.
DMARC : commencez en mode surveillance :
v=DMARC1; p=none; rua=mailto:dmarc@votre-domaine.fr
Analysez les rapports pendant 4 semaines, puis passez progressivement à p=quarantine puis p=reject. C’est exactement le processus de hardening que nous recommandons.
Niveau 3 : Sandboxing et règles avancées
Sur les plans Enterprise, activez le Security Sandbox :
Console > Apps > Gmail > Spam, hameçonnage et logiciels malveillants > Security Sandbox
Le sandbox ouvre les pièces jointes dans un environnement isolé, exécute les macros et scripts, et bloque le fichier si un comportement malveillant est détecté. C’est votre dernière ligne de défense avant l’utilisateur.
Niveau 4 : Alertes et monitoring
Configurez des alertes admin pour :
- Tentatives de connexion suspectes (nouveau pays, appareil inconnu)
- Modifications de transfert d’emails (un attaquant redirige souvent les emails vers un compte externe)
- Suppressions massives de données Drive
Console > Sécurité > Centre d’alerte > Règles de reporting
Formation des utilisateurs : le maillon humain
Aucune protection technique n’arrête un utilisateur qui entre son mot de passe sur une page de phishing sophistiquée. Trois actions concrètes :
La mesure la plus efficace reste le MFA obligatoire pour tous — il bloque plus de 99% des prises de contrôle de compte selon Microsoft. Pour les comptes admin et les dirigeants, ajoutez des clés de sécurité physiques (YubiKey). Et planifiez des campagnes de simulation de phishing trimestrielles avec des outils comme KnowBe4 ou Gophish pour mesurer la vigilance réelle de vos équipes.
Le MFA bloque plus de 99% des prises de contrôle de compte selon une étude Microsoft. Si vous ne faites qu’une seule chose après avoir lu cet article, activez le MFA obligatoire pour tous les utilisateurs.
Checklist configuration complète
- Protections anti-spoofing activées
- Protections pièces jointes activées
- Protections liens activées
- SPF configuré en DNS
- DKIM activé et vérifié
- DMARC en place (au minimum p=none)
- MFA obligatoire pour tous
- Alertes admin configurées
- Sandboxing activé (si Enterprise)
- Simulation phishing planifiée
Cette configuration prend moins de 2 heures. Elle bloque la majorité des attaques qui ciblent les PME quotidiennement.
À lire aussi
- Zero Trust avec BeyondCorp — L’étape suivante après l’anti-phishing
- NIS2 pour les PME — Ces mesures répondent aux exigences NIS2
- Cybersécurité PME : 10 mesures essentielles — Vue d’ensemble de la posture sécurité
Activez le MFA et les protections anti-phishing aujourd’hui — ça prend 2 heures et ça bloque 99% des attaques. Nous configurons et formons votre équipe en une demi-journée. Sécurisez votre Workspace →
Questions fréquentes
- Google Workspace bloque-t-il le phishing par défaut ?
- Gmail intègre un filtre anti-phishing actif par défaut qui [bloque plus de 99,9% des menaces](https://workspace.google.com/blog/identity-and-security/how-guide-defending-against-malware-and-phishing-attacks) avant qu'elles n'atteignent les boîtes de réception. Mais les attaques ciblées (spear phishing) nécessitent des couches de protection supplémentaires que l'administrateur doit activer manuellement.
- DMARC est-il inclus dans Google Workspace ?
- Google Workspace respecte les politiques DMARC entrantes par défaut. Pour protéger VOTRE domaine (empêcher l'usurpation), vous devez configurer SPF, DKIM et DMARC dans vos DNS. Ce sont des enregistrements DNS, pas des fonctionnalités Workspace.
- Le sandboxing des pièces jointes ralentit-il la réception des emails ?
- Légèrement. Le sandboxing ajoute 1-3 minutes de délai pour les pièces jointes suspectes (exécutables, macros Office). Les emails texte et PDF standard ne sont pas retardés. C'est un compromis sécurité/vitesse acceptable.
- Peut-on simuler des attaques de phishing pour former les employés ?
- Google ne propose pas nativement de simulation de phishing. Des outils tiers comme KnowBe4, Gophish (open source) ou Proofpoint s'intègrent avec Workspace pour lancer des campagnes de test et mesurer le taux de clic des employés.
- Quelle est la différence entre SPF, DKIM et DMARC ?
- SPF vérifie que le serveur expéditeur est autorisé. DKIM signe cryptographiquement le message pour prouver qu'il n'a pas été altéré. DMARC indique aux serveurs destinataires quoi faire quand SPF ou DKIM échoue (rejeter, quarantaine, rien). Les trois sont complémentaires.
Articles similaires
Google Workspace : mettre en place le Zero Trust avec BeyondCorp Enterprise
Le modèle Zero Trust remplace le VPN traditionnel. Comment l'implémenter avec Google Workspace et BeyondCorp pour sécuriser l'accès à vos applications.
Google Drive : les bonnes pratiques de sécurité pour les PME
Comment sécuriser vos fichiers Google Drive en entreprise : permissions, partage externe, DLP et bonnes pratiques d'organisation.
Google Workspace : les réglages essentiels de la console d'administration
Les paramètres de sécurité et de gestion à configurer dès le déploiement de Google Workspace pour protéger votre entreprise.
Google Workspace : migrer vos données vers les data centers européens pas-à-pas
Guide technique pour activer les régions de données européennes dans Google Workspace. Procédure, limitations et impact sur vos utilisateurs.
Créer un agent IA sans coder avec Gemini Enterprise Agent Designer
Google Agent Designer permet de créer des agents IA personnalisés dans Workspace sans écrire une ligne de code. Exemples concrets, comparaison avec Apps Script, et limites.
NotebookLM : votre assistant IA qui ne répond qu'à partir de VOS documents
Google NotebookLM transforme vos PDFs, Docs et fichiers audio en base de connaissances interrogeable par IA. Zéro hallucination : il ne cite que vos sources.