Eran Feigenbaum (Google) "Traiter des milliards de mails par jour nous confère une expérience hors du commun en sécurité"

Antivirus, chiffrement, réplication, audit... Le point sur la politique de sécurité mise en place par le groupe américain pour sécuriser sa suite bureautique en ligne.

Quels sont les accords de niveau de service que vous proposez à vos clients souscrivant à votre offre bureautique en ligne Google Apps ?

Nous déclinons la suite Google Apps en deux types d'offre. D'une part, la Standard Edition qui est gratuite. Elle est financée par la publicité, et cible le grand public. D'autre part, la Premier Edition qui s'adresse aux entreprises. Pour 40 euros par ans et par utilisateur, elle inclut l'ensemble de la suite : la messagerie Gmail, le calendrier Google Calendar, ainsi que le traitement de texte Google Doc et le tableur, et d'autres outils collaboratifs comme Google Video for Business ou Google Sites.

Avec la Premier Edition, nous réalisons une réplication des informations de l'entreprise sur deux de nos centres de données. Nous nous engageons sur un SLA de 99,99% de disponibilité. Nous faisons très attention à l'emplacement où sont stockées les données, et comment le stockage est géré.

Nos procédures de confidentialité sont conformes aux recommandations de l'International Safe Harbor. Ce label s'inscrit dans un programme de l'Union européenne ciblant les entreprises américaines [ndlr : son adoption remonte à 2000], cadrant un certain nombre de règles de protection des données, de sécurité, de transfert... [ndlr : ce label donne aux entreprises américaines le droit de transférer et d'utiliser les données concernant les internautes européens].

Que répondez-vous aux DSI et RSSI qui vous posent la question du Patriot Act américain, qui autorise le gouvernement fédéral des Etats-Unis à consulter n'importe quel contenu numérique stocké sur son sol ?

Le Patriot Act ne porte pas seulement sur les informations stockées dans des centres de données aux Etats-Unis. Il concerne l'ensemble des entreprises américaines à travers le monde. Mais ce dispositif est extrêmement encadré. Le gouvernement ne peut y avoir recours que dans des cas touchant à la protection des personnes.

Que proposez-vous en matière de réplication des données ?

Dans le cadre de la Premier Edition de l'offre Google Apps, nous répliquons en temps réel les informations des utilisateurs sur deux centres de données. En cas de panne de l'un d'entre eux, un mécanisme de basculement automatique sur la seconde infrastructure est mis en œuvre en vue d'assurer la continuité de service.

Au-delà de cet aspect, quels sont les outils et services que vous mettez en œuvre pour sécuriser l'environnement Google Apps, en matière d'antivirus par exemple ?

L'offre Premier Edition s'accompagne d'une console d'administration permettant à l'entreprise d'allouer des droits d'accès en fonction des applications. Le système SSL [ndlr Secure Socket Layer] est supporté pour chiffrer les transactions Web entre le terminal du client et notre plate-forme. Notez d'ailleurs que nous proposons un mode déconnecté qui permet aux utilisateurs de continuer à accéder aux applications Google Apps hors ligne, les données étant synchronisées avec nos serveurs une fois la connexion de nouveau opérationnelle.

"Il nous arrive souvent d'intercepter un code malicieux avant même que les éditeurs d'antivirus ne l'aient remarqué"

En matière d'antivirus, nous avons développé nos propres solutions. Avec Gmail, nous traitons des milliards de mails par jour, ce qui nous confère une expérience hors du commun dans ce domaine. Nous sommes capables de bloquer les virus bien en amont, dans le cloud. L'utilisateur final n'y voit que du feu. Avec le volume de message que nous traitons, il nous arrive souvent d'intercepter un code malveillant avant même que les éditeurs d'antivirus ne l'aient remarqué. 

Nous nous sommes appuyés sur les technologies issues du rachat il y a deux ans de Postini pour compléter la suite Google Apps de services d'archivage et de chiffrement des mails. Pour ce dernier point, nous proposons deux options : un cryptage des messages par le biais d'un système combinant clé publique et clé privée [ndlr équivalent à la technologie PGP], et un mode de chiffrement via le protocole TLS qui s'effectue entre les serveurs de messagerie de Google et ceux des destinataires.  

Une grande entreprise utilisant les Google Apps pour plusieurs milliers d'utilisateurs devra-t-elle prévoir de mettre en place un réseau ou une ligne dédiée pour accéder à vos centres de données ?

Nos applications sont conçues de telle sorte qu'un accès à Internet suffit pour les utiliser. Avec des universités américaines, nous avons l'expérience de projets de déploiement Google Apps avec plusieurs dizaines de milliers d'utilisateurs connectés depuis une dizaine de sites, et nous n'avons jamais eu de problème. Rappelons que Gmail compte plus d'une dizaine de millions d'utilisateurs .

Google est réputé être relativement opaque sur les technologies qu'il développe. Dans le cadre des contrats Google Apps que vous signez avec de grands groupes, comme c'est le cas en France avec Valeo ou Essilor, vos interlocuteurs ne vous demandent-ils pas plus de transparence, notamment en matière de sécurité ?

Les clients français ne sont pas ceux qui en demandent le plus. Plus globalement, nous avons appris à être transparents en matière de sécurité. Nous avons lancé un blog sur le sujet, et publions des livres blancs. Concernant nos clients, nous sommes également très transparents. Nous répondons à tout type de question, pour peu que le client ait signé un accord de non-divulgation.

Sur le plan de la sécurité informatique, nous faisons appel au cabinet d'audit Grant Thornton qui étudie chaque année l'ensemble de nos processus en la matière. Le document qui en résulte est également transmis à nos clients qui en font la demande.

Eran Feigenbaum est le directeur de la sécurité pour l'offre Google Apps, et l'ensemble de la plate-forme de cloud computing de Google.