Google Workspace : mettre en place le Zero Trust avec BeyondCorp Enterprise
Le modèle Zero Trust remplace le VPN traditionnel. Comment l'implémenter avec Google Workspace et BeyondCorp pour sécuriser l'accès à vos applications.
Mis à jour le 20 February 2025
Le VPN traditionnel a un défaut fondamental : une fois connecté, l’utilisateur a accès à tout le réseau. Un mot de passe volé, un appareil compromis, et l’attaquant se déplace latéralement sans obstacle.
Google a résolu ce problème en interne dès 2011 avec BeyondCorp — après l’attaque “Operation Aurora” qui avait compromis leur réseau classique. Depuis, 130 000 employés Google travaillent sans VPN. Le même modèle est disponible pour votre entreprise via Google Workspace.
Le principe : vérifier à chaque accès
Au lieu de faire confiance au réseau (VPN = je suis dedans = je suis de confiance), le Zero Trust vérifie à chaque requête :
- Qui demande l’accès (identité vérifiée par MFA)
- Depuis quel appareil (chiffré, à jour, conforme)
- Depuis où (géolocalisation, réseau connu ou inconnu)
- Pour accéder à quoi (principe du moindre privilège)
Si une condition n’est pas remplie, l’accès est bloqué ou restreint — même si l’utilisateur a le bon mot de passe.
Implémenter le Zero Trust sur Workspace : 3 niveaux
Niveau 1 : Accès conditionnel (Business Plus)
Dans Console d’administration > Sécurité > Accès contextualisé :
- Exiger le MFA pour les accès hors du bureau
- Bloquer l’accès depuis les pays où vous n’avez pas de collaborateurs
- Restreindre l’accès admin à des appareils gérés uniquement
- Forcer le chiffrement du disque pour accéder aux données Drive sensibles
Exemple de politique : “L’accès à Gmail est autorisé partout avec MFA. L’accès à la console Admin n’est autorisé que depuis un appareil d’entreprise chiffré, en France ou en Allemagne.”
Niveau 2 : Endpoint Verification (gratuit)
Installez l’extension Chrome “Endpoint Verification” sur les appareils de l’entreprise. Google collecte :
- Version OS et patches de sécurité
- État du chiffrement disque (FileVault/BitLocker)
- Identifiant unique de l’appareil
Vous pouvez ensuite créer des règles : “Bloquer l’accès à Drive si l’appareil n’a pas FileVault actif.”
Niveau 3 : BeyondCorp Enterprise (Enterprise Plus)
Le niveau maximal ajoute :
- Protection des applications web non-Google via Identity-Aware Proxy (IAP)
- Inspection du trafic en temps réel
- Politiques de DLP (Data Loss Prevention) contextuelles
Pour une PME avec des applications métier web (ERP, CRM interne, portail fournisseur), BeyondCorp remplace le VPN tout en améliorant la sécurité.
Comparaison VPN vs Zero Trust
| Critère | VPN traditionnel | Zero Trust / BeyondCorp |
|---|---|---|
| Expérience utilisateur | Client VPN, reconnexion fréquente | Transparent (juste Chrome) |
| Sécurité latérale | Accès réseau complet | Accès app par app |
| Appareils personnels | Complexe à gérer | Politiques contextuelles |
| Maintenance | Serveur VPN, licences, updates | Géré par Google |
| Coût pour 50 users | 200-500€/mois | Inclus dans Workspace |
Le cas d’usage typique PME
Un cabinet de 30 personnes en Alsace. 5 collaborateurs en télétravail régulier, 3 commerciaux itinérants, 2 stagiaires sur appareils personnels.
Avant : VPN pour accéder au serveur de fichiers et à l’ERP web. Problèmes récurrents de connexion, de lenteur, et un incident où un PC portable volé a donné accès au réseau pendant 48h.
Après :
- Fichiers sur Drive (accès Direct, pas de VPN)
- ERP web protégé par IAP (accès conditionnel : appareil conforme + MFA + France)
- Stagiaires : accès lecture seule sur Drive, pas d’accès ERP
- PC volé : accès immédiatement bloqué via la console admin
Par où commencer
La transition peut être progressive. Commencez par le MFA obligatoire (c’est le socle), installez Endpoint Verification pour avoir de la visibilité sur votre flotte, créez 2-3 politiques d’accès conditionnel (en commençant par la console Admin), migrez vos fichiers hors du VPN vers Drive, et évaluez BeyondCorp pour vos apps web internes une fois que le reste est en place. Vous n’avez pas besoin de supprimer le VPN du jour au lendemain — réduisez simplement le nombre d’applications qui en dépendent.
La transition peut être progressive. Vous n’avez pas besoin de supprimer le VPN du jour au lendemain — réduisez simplement le nombre d’applications qui en dépendent.
À lire aussi
- Configurer l’anti-phishing Google Workspace — La première couche de protection
- NIS2 : obligations cybersécurité pour les PME — Le Zero Trust répond à plusieurs exigences NIS2
- Souveraineté numérique en 2026 — Données en Europe + sécurité renforcée
Votre VPN est un point de défaillance unique. Nous migrons vos PME vers le Zero Trust en 2 semaines — sans interruption de service. Audit de votre posture actuelle inclus. Parlons-en →
Questions fréquentes
- Qu'est-ce que le Zero Trust en entreprise ?
- Le Zero Trust part du principe que rien n'est fiable par défaut — ni les utilisateurs internes, ni les appareils du réseau d'entreprise. Chaque accès est vérifié en temps réel selon l'identité, l'appareil, la localisation et le contexte. C'est l'opposé du modèle 'château fort' (VPN = à l'intérieur = de confiance).
- BeyondCorp remplace-t-il un VPN ?
- Oui. BeyondCorp permet d'accéder aux applications d'entreprise depuis n'importe où sans VPN, en appliquant des politiques d'accès contextuelles. L'utilisateur se connecte directement à l'application, Google vérifie en temps réel son identité, son appareil et son contexte.
- Faut-il Google Workspace Enterprise pour le Zero Trust ?
- Les fonctionnalités de base (accès conditionnel, vérification des appareils) sont disponibles dès Business Plus. BeyondCorp Enterprise (accès contextualisé aux applications web, protection des données en transit) nécessite Enterprise Plus ou un add-on.
- Comment Google vérifie-t-il la sécurité d'un appareil ?
- Via l'extension Chrome Endpoint Verification ou le MDM natif Workspace. Google vérifie : chiffrement du disque, version de l'OS, présence d'un antivirus, état du jailbreak/root, et conformité aux politiques de l'organisation.
- Le Zero Trust fonctionne-t-il avec des applications non-Google ?
- Oui. BeyondCorp Enterprise protège aussi les applications web internes (SaaS, portails, APIs) via un connecteur IAP (Identity-Aware Proxy). L'utilisateur accède à l'URL de l'app, Google vérifie les conditions avant d'autoriser l'accès.
Articles similaires
Google Workspace : configurer la protection avancée contre le phishing
Guide de configuration des protections anti-phishing de Google Workspace. DMARC, alertes admin, sandboxing et formation des utilisateurs pour les PME.
Créer un agent IA sans coder avec Gemini Enterprise Agent Designer
Google Agent Designer permet de créer des agents IA personnalisés dans Workspace sans écrire une ligne de code. Exemples concrets, comparaison avec Apps Script, et limites.
Google Workspace : migrer vos données vers les data centers européens pas-à-pas
Guide technique pour activer les régions de données européennes dans Google Workspace. Procédure, limitations et impact sur vos utilisateurs.
Google Workspace Backup : pourquoi et comment sauvegarder vos données cloud
Google Workspace ne sauvegarde pas vos données à votre place. Pourquoi une stratégie de backup est essentielle et quelles solutions existent.
Google Drive : les bonnes pratiques de sécurité pour les PME
Comment sécuriser vos fichiers Google Drive en entreprise : permissions, partage externe, DLP et bonnes pratiques d'organisation.
Google Workspace : les réglages essentiels de la console d'administration
Les paramètres de sécurité et de gestion à configurer dès le déploiement de Google Workspace pour protéger votre entreprise.