Dans l'écosystème Google Workspace, la flexibilité est une force. Nous installons des modules complémentaires pour Sheets, des outils de planification ou des scripts d'automatisation. Mais cette ouverture possède une contrepartie : la sécurité de vos données.
Voici comment comprendre et configurer la limitation des accès API pour protéger votre organisation.
1. De quoi s'agit-il ? (La notion de "OAuth")
Lorsqu'une application tierce demande à se connecter à votre compte Google, elle utilise un protocole nommé OAuth. Plutôt que de donner votre mot de passe, vous donnez une "clé d'accès" spécifique à cette application.
2. Pourquoi est-ce important ? Le scénario du "Script Pirate"
Le problème, c'est que des acteurs mal intentionnés peuvent vous manipuler pour vous amener à autoriser une application pirate à accéder non seulement à vos données, mais aussi à vos applications.
Voilà pourquoi il est essentiel de se méfier lorsque l'on autorise un accès applicatif, et de toujours se poser la question :
- suis-je certain de vouloir autoriser cette application ?
- suis-je certain de vouloir lui donner accès aux données réclamées ?
Pour limiter sensiblement les risques, il est recommandé aux administrateurs systèmes d'interdire par défaut les accès à des applications tierces, leur permettant de pré-valider les applications légitimes avant que les utilisateurs ne puissent accepter la connexion.
3. Comment configurer la limitation des accès ?
Pour sécuriser votre console d'administration Google Workspace, suivez ces étapes :
Étape A : Accéder au contrôle des applications
Connectez-vous à votre
Console d'administration Google Dans le menu de gauche, allez dans Sécurité > Contrôle des accès et des données > Commandes d'API.
Étape B : Gérer la liste blanche (Allowlist)
Avant de restreindre les accès, validez les applications déjà utilisées que vous souhaitez conserver, pour éviter qu'elles ne soient bloquées par la suite.
Pour cela, accédez à la rubrique "gérer l'accès des applications".
Vous pourrez ainsi cocher les applications souhaitées puis cliquer sur "modifier l'accès".
Suivez les étapes et sélectionnez "Approuvées".
Étape C : Paramétrer les restrictions
Revenez au menu d'accueil "Commandes des APIs" et accédez à la rubrique à gauche : "Gérer les services Google".
C'est ici que vous allez pouvoir restreindre l'accès à vos différentes applications Google, pour les seules applications que vous aurez autorisé en étape B.
Sélectionnez les services à restreindre puis "modifier l'accès".
Conseil : ne cochez pas le service "Google Sign-in". Il permet à une application de vous connecter "avec Google" mais ne donne accès à aucune données autre que votre nom et adresse e-mail.
Choisissez ensuite l'option "Accès limité".
Optionnellement, vous pouvez cocher cette case : "Pour les applications non approuvées, autoriser les utilisateurs à accorder un accès aux habilitations OAuth ne présentant pas un risque élevé".
Elle évite la mise en liste blanche d'applications qui réclament un accès très limité à vos données.
Par exemple : une extension pour Sheets qui ne réclame l'accès qu'à un seul document Sheets.
4. Les bonnes pratiques pour le consultant
Auditez régulièrement : Une fois par mois, consultez la liste des applications installées. Si une application n'est plus utilisée, révoquez son accès. 🗑️
Éduquez les utilisateurs : Rappelez-leur que le message "Cette application n'est pas validée par Google" est une alerte sérieuse, pas un simple détail technique.
Principe du moindre privilège : N'autorisez que les accès strictement nécessaires au fonctionnement de l'outil.
Conclusion
La limitation des accès API n'est pas une barrière à la productivité, c'est un filet de sécurité. En reprenant le contrôle sur qui peut "lire" vos données, vous réduisez drastiquement la surface d'attaque de votre entreprise.