Ce contenu a été mis à jour pour la dernière fois en septembre 2022, et correspond à l'état des connaissances à sa date de rédaction. Les règles et les systèmes de sécurité Google peuvent changer par la suite, car nous améliorons continuellement la protection de nos clients.
La priorité absolue de Google est de maintenir un environnement sûr et sécurisé pour les données client. Pour protéger les données des clients, nous exécutons une opération de sécurité des informations de premier ordre, qui combine des processus rigoureux, une équipe d'experts en gestion des incidents et une infrastructure multicouche de sécurité et de confidentialité des informations. Ce document explique notre approche concernant la gestion des incidents liés aux données dans Google Cloud. Cette approche est basée sur plusieurs principes.
L'Avenant relatif au traitement des données dans le cloud définit un incident lié aux données comme "une violation de la sécurité qui entraîne, de manière accidentelle ou illégale, la destruction, la perte ou l'altération des données client sur des systèmes gérés ou contrôlés par Google, ou bien encore l'accès non autorisé à ces données ou leur divulgation illicite." Nous prenons des mesures pour remédier aux menaces prévisibles pesant sur les données et les systèmes, mais les incidents liés aux données n'incluent pas les tentatives infructueuses ni les activités ne compromettant pas la sécurité des données client. Par exemple, les incidents liés aux données n'incluent pas les tentatives de connexion infructueuses, les pings, les balayages de ports, les attaques par déni de service, ni les autres attaques réseau touchant les pare-feu ou les systèmes en réseau.
La gestion des incidents est un aspect essentiel de notre programme global de sécurité et de confidentialité. Nous appliquons un processus rigoureux de gestion des incidents liés aux données. Ce processus spécifie les actions à entreprendre ainsi que les procédures de transmission, d'atténuation des risques, de résolution et de notification applicables en cas d'incidents qui affectent la confidentialité, l'intégrité ou la disponibilité des données client.
Pour en savoir plus sur la sécurité de Google Cloud, consultez les pages Présentation de la conception de sécurité d'infrastructure et Sécurité Google Cloud.
Gestion des incidents liés aux données
Notre programme de gestion des incidents est géré par des équipes d'experts qui assument de nombreuses fonctions spécialisées afin de garantir que chaque intervention est adaptée aux défis présentés par chaque incident. En fonction de la nature de l'incident, l'équipe professionnelle de gestion des incidents peut impliquer des experts des équipes suivantes :
- Gestion des incidents dans le cloud
- Ingénierie produit
- Ingénierie en fiabilité des sites
- Sécurité et confidentialité dans le cloud
- Investigation numérique
- Investigation globale
- Détection de signaux
- Conseils sur la sécurité, la confidentialité et les produits
- Fiabilité et sécurité
- Technologie contre les abus
- Cloud Customer Care
Les experts de ces équipes œuvrent de différentes manières. Par exemple, les chargés d'incidents coordonnent la gestion des incidents et, si nécessaire, l'équipe d'investigation numérique procède à des enquêtes et suit les attaques en cours. Les ingénieurs produit cherchent à limiter l'impact sur les clients et proposent des solutions visant à corriger les produits concernés. Les conseillers juridiques collaborent avec les membres de l'équipe responsable des questions de sécurité et de confidentialité afin de mettre en œuvre la stratégie adoptée par Google pour la collecte de preuves. Ils communiquent également avec les organismes chargés de l'application des lois et les autorités de réglementation gouvernementales, et fournissent des conseils sur les questions et les obligations légales. Le service client répond aux questions des clients ainsi qu'à leurs demandes d'informations et d'aide.
Organisation de l'équipe
Lorsque nous déclarons un incident, nous désignons un chargé d'incidents qui coordonne sa gestion et sa résolution. Le chargé d'incidents sélectionne des spécialistes issus de différentes équipes et forme une équipe de gestion des incidents. Le chargé d'incidents délègue le traitement de divers aspects de l'incident à ces experts, et gère celui-ci depuis sa déclaration jusqu'à sa résolution. Le schéma suivant décrit l'organisation des différents rôles et leurs responsabilités lors de la gestion d'un incident.
Processus de gestion des incidents liés aux données
Chaque incident lié aux données est unique. Notre processus de gestion des incidents liés aux données vise à protéger les données client, à restaurer un fonctionnement normal le plus rapidement possible, ainsi qu'à respecter les exigences de conformité réglementaires et contractuelles. Le tableau suivant décrit les principales étapes du programme de gestion des incidents de Google.
| Étape de l'incident | Goal | Description |
|---|---|---|
| Identification | Détection | Les processus automatisés et manuels détectent les failles et incidents potentiels. |
| Reporting | Les processus automatisés et manuels signalent le problème à l'équipe de gestion des incidents. | |
| Coordination | Évaluation | Les activités suivantes se produisent :
|
| Engagement de l'équipe de gestion des incidents | Les activités suivantes se produisent :
|
|
| Solution | Enquête | Les activités suivantes se produisent :
|
| Maîtrise et reprise | Le responsable des opérations prend immédiatement des mesures pour procéder aux actions suivantes :
|
|
| Communication | Les activités suivantes se produisent :
|
|
| Clôture | Leçons à retenir | Les activités suivantes se produisent :
|
| Amélioration continue | Élaboration de programmes | La maintenance des équipes, des formations, des processus, des ressources et des outils nécessaires est assurée. |
| Prévention | Les équipes améliorent le programme de gestion des incidents en s'appuyant sur les enseignements tirés de cette expérience. |
Les sections suivantes décrivent chaque étape plus en détail.
Identification
Pour pouvoir gérer efficacement les incidents, il est essentiel de les identifier rapidement et précisément. La phase d'identification a pour but de surveiller les événements liés à la sécurité afin de détecter et de signaler les éventuels incidents affectant les données.
L'équipe de détection des incidents emploie des outils de détection avancés, ainsi que des signaux et des mécanismes d'alerte qui permettent d'identifier rapidement les incidents potentiels. Nos sources de détection des incidents incluent les suivantes :
Analyse automatique des journaux système et réseau : l'analyse automatique du trafic réseau et de l'accès au système permet d'identifier les activités suspectes, abusives ou non autorisées. Elle est transmise au personnel de sécurité.
Tests : l'équipe de sécurité recherche activement les menaces de sécurité à l'aide de tests d'intrusion, de mesures de contrôle qualité, d'un processus de détection des intrusions et d'examens de la sécurité logicielle.
Examens de code internes : les examens du code source permettent d'identifier les failles cachées ou les défauts de conception, et de vérifier si les principaux contrôles de sécurité sont mis en œuvre.
Outils et processus propres au produit : des outils automatisés propres aux équipes sont employés autant que possible afin d'améliorer notre capacité à détecter les incidents au niveau du produit.
Détection des anomalies d'utilisation : Nous exploitons de nombreuses couches de systèmes de machine learning pour différencier les activités saines des activités anormales au niveau des navigateurs, des appareils ou des connexions aux applications, ainsi que lors d'autres événements d'utilisation.
Alertes de sécurité au niveau des centres de données et des lieux de travail : des alertes de sécurité déclenchées dans les centres de données permettent d'analyser les incidents susceptibles d'affecter notre infrastructure.
Employés Google : un employé Google détecte une anomalie et la signale.
Initiative Vulnerability Reward Program de Google : les éventuelles failles techniques qui affectent la confidentialité ou l'intégrité des données utilisateur dans les extensions de navigateur ou les applications mobiles et Web détenues par Google sont parfois signalées par des chercheurs en sécurité externes.
Coordination
Lorsqu'un incident est signalé, l'employé d'astreinte examine et évalue la nature du rapport d'incident pour déterminer s'il s'agit d'un éventuel incident lié aux données et lance notre processus de gestion des incidents.
Une fois la confirmation effectuée, l'employé transmet l'incident à un chargé d'incidents qui en évalue la nature et met en œuvre une approche coordonnée de l'intervention requise. À ce stade, l'intervention se traduit par l'évaluation de la nature de l'incident, l'ajustement de son niveau de gravité si nécessaire et le déploiement d'une équipe d'intervention adaptée, dont les responsables opérationnels et techniques appropriés examinent les faits et identifient les principaux domaines nécessitant une enquête. Nous désignons un chef de produit et un responsable juridique qui sont chargés de prendre les décisions clés concernant la démarche à suivre. Le chargé d'incidents attribue les rôles pour l'enquête et les faits sont rassemblés.
De nombreux aspects de notre intervention dépendent de l'évaluation de la gravité, qui est basée sur les principaux faits recueillis et analysés par l'équipe de gestion des incidents. Ces points clés incluent les suivants :
Le risque de préjudice pour les clients, les tiers et Google
La nature de l'incident (par exemple, si des données ont été potentiellement détruites, si elles ont été consultées ou si elles sont devenues indisponibles)
Les types de données pouvant être affectés
L'impact de l'incident sur la capacité de nos clients à utiliser le service
L'état de l'incident (par exemple s'il est isolé, continu ou maîtrisé)
Le chargé d'incidents et les autres responsables réévaluent régulièrement ces facteurs tout au long du processus à mesure que de nouvelles informations sont disponibles, afin de veiller à ce que le degré d'urgence soit correctement déterminé et que les ressources appropriées soient engagées. Les événements présentant l'impact le plus critique se voient attribuer le niveau de gravité le plus élevé. Un responsable des communications est nommé pour établir un plan de communication avec les autres responsables.
Solution
À l'étape de solution, l'accent est mis sur la recherche de la cause première, la limitation de l'impact de l'incident, la résolution des risques de sécurité immédiats (le cas échéant), la mise en œuvre des correctifs nécessaires dans le cadre de la résolution ainsi que la restauration des systèmes, données et services affectés.
Les données concernées sont restaurées à leur état d'origine dès que possible. En fonction des mesures nécessaires pour remédier à un incident spécifique, nous pouvons mettre en œuvre d'autres procédures afin de le résoudre. Par exemple, une investigation technique ou numérique peut être nécessaire pour détecter la cause première d'un problème ou identifier l'impact sur les données client. Nous pouvons tenter de récupérer des copies des données à partir de nos copies de sauvegarde si les données ont été altérées ou détruites de façon inappropriée.
Un aspect important de la résolution consiste à informer les clients des incidents qui affectent leurs données. Les principaux faits sont évalués tout au long de l'incident afin de déterminer si des données client ont été touchées ou non. S'il est nécessaire d'informer le client d'un incident, le chargé d'incidents lance le processus de notification. Le responsable des communications élabore un plan de communication à l'aide des rapports établis par le chef de produit et le responsable juridique, informe les personnes concernées et traite les demandes du client après la notification avec l'aide du service client.
Nous nous efforçons de fournir des notifications rapides, claires et précises, et d'y inclure les informations connues concernant l'incident lié aux données, les mesures que nous avons prises pour limiter les risques éventuels et les actions que nous recommandons aux clients pour la gestion de l'incident. Nous faisons de notre mieux pour offrir une vision claire de l'incident, et pour permettre aux clients d'évaluer et de remplir leurs obligations de notification.
Clôture
Une fois qu'un incident lié aux données est résolu, l'équipe de gestion des incidents évalue les enseignements qu'elle a tirés de celui-ci. Lorsque l'incident soulève des problèmes critiques, le chargé d'incidents peut lancer une analyse post-mortem. Lors de ce processus, l'équipe de gestion des incidents examine les causes de l'incident ainsi que notre intervention, puis identifie les principaux points à améliorer. Dans certains cas, il peut être nécessaire d'instaurer un dialogue entre différentes équipes produit, opérationnelles et d'ingénierie, et d'œuvrer à l'amélioration du produit. Si un travail de suivi est requis, l'équipe de gestion des incidents élabore un plan d'action à cet effet et nomme des chefs de projet afin de mener à bien cette tâche sur le long terme. L'incident est clos une fois le travail de résolution terminé.
Amélioration continue
Nous mettons tout en œuvre pour tirer des leçons de chaque incident et établir des mesures préventives afin d'éviter que d'autres ne se produisent à l'avenir.
Les insights exploitables obtenus lors de l'analyse des incidents nous permettent d'améliorer nos outils, nos formations, nos processus, notre programme global de sécurité et de protection des données confidentielles, nos règles de sécurité et nos efforts d'intervention. Ces enseignements facilitent également la hiérarchisation des démarches d'ingénierie à mener et la conception de meilleurs produits.
Les professionnels de la sécurité et de la confidentialité améliorent notre programme en examinant nos plans de sécurité pour tous les réseaux, systèmes et services, et en fournissant des services de conseil propres aux projets aux équipes produit et d'ingénieurs. Les professionnels de la sécurité et de la confidentialité déploient des outils de machine learning et d'analyse de données, ainsi que d'autres techniques innovantes qui permettent de surveiller les activités suspectes sur nos réseaux, de gérer les menaces liées à la sécurité des informations, de procéder fréquemment à des évaluations et audits de sécurité, et de faire appel à des experts externes qui évaluent régulièrement la sécurité. En outre, Project Zero vise à prévenir les attaques ciblées en signalant les bugs aux fournisseurs de logiciels et en les archivant dans une base de données externe.
Nous organisons régulièrement des campagnes de formation et de sensibilisation pour stimuler l'innovation dans le domaine de la sécurité et de la confidentialité des données. Le personnel dédié à la gestion des incidents est formé à l'investigation numérique et au traitement des preuves, y compris à l'utilisation d'outils tiers et propriétaires. Les tests des processus et procédures de gestion des incidents sont menés sur des zones clés, telles que les systèmes stockant des informations client sensibles. Ces tests tiennent compte de divers scénarios (tels que la présence de menaces internes et de failles logicielles) et nous aident à mieux nous préparer aux incidents de sécurité et de confidentialité.
Nos processus sont régulièrement testés dans le cadre de nos programmes ISO-27017, ISO-27018, ISO-27001, PCI-DSS, SOC 2 et FedRAMP. Cela garantit à nos clients et aux autorités de réglementation que nos dispositifs de contrôle de la sécurité, de la confidentialité et de la conformité sont vérifiés de façon indépendante. Pour obtenir la liste des certifications tierces pour Google Cloud, consultez le centre de ressources pour la conformité.
Résumé
La protection des données se trouve au cœur de notre démarche. Nous investissons en permanence dans notre programme de sécurité global afin d'acquérir davantage de ressources et d'étendre notre expertise. Nos clients peuvent ainsi compter sur nous pour réagir efficacement en cas d'incident, pour protéger les données client et pour offrir un service dont le degré de fiabilité est conforme à la qualité Google.
Notre programme de gestion des incidents d'envergure mondiale fournit les fonctions clés suivantes :
Un processus de résolution des incidents reposant sur des techniques de pointe et adapté pour fonctionner efficacement à l'échelle de Google.
Des systèmes innovants de surveillance, d'analyse des données et de machine learning permettant de détecter et de contenir les incidents de manière proactive.
Des experts dédiés pouvant répondre à tous les types d'incidents liés aux données, quelle que soit leur taille.
Un processus éprouvé permettant d'informer rapidement les clients concernés, conformément aux engagements de Google stipulés dans ses conditions d'utilisation et ses contrats client.
Étapes suivantes
Pour en savoir plus sur la protection de notre infrastructure, consultez la page Créer des systèmes sécurisés et fiables (livre O'Reilly).
Pour en savoir plus sur la mise en œuvre de la sécurité pour les charges de travail client dans Google Cloud, consultez le plan de base de l'entreprise et le framework d'architecture.