Le bouclier anti-ransomware de Google Drive activé pour les utilisateurs d'entreprise
Google a annoncé le 1er avril 2026 que son système de détection de ransomware alimenté par l'intelligence artificielle pour Google Drive est passé des tests bêta à la disponibilité générale. La fonctionnalité de sécurité surveille automatiquement les modèles d'activité des fichiers sur Google Workspace et les comptes Google One pour identifier les tentatives potentielles de chiffrement par ransomware en temps réel. Cela marque une expansion significative des capacités de sécurité cloud de Google, apportant une détection des menaces de niveau entreprise à des millions d'utilisateurs payants dans le monde entier.
Le système de détection AI utilise des algorithmes d'apprentissage automatique entraînés sur des modèles de comportement de ransomware connus, y compris des séquences de chiffrement rapide de fichiers, des changements suspects d'extension de fichier et des volumes de téléchargement anormaux. Lorsque le système détecte une activité potentielle de ransomware, il met immédiatement en quarantaine les fichiers affectés et alerte les administrateurs via la console d'administration Google. La fonctionnalité fonctionne en continu en arrière-plan sans nécessiter de configuration manuelle ou d'intervention de l'utilisateur.
L'équipe d'ingénierie de sécurité de Google a développé cette capacité suite à une augmentation des attaques de ransomware ciblant le cloud tout au long de 2025. Les données de renseignement sur les menaces de l'entreprise ont montré une augmentation de 340 % des tentatives de chiffrement de fichiers stockés sur des plateformes cloud, Google Drive étant une cible principale en raison de son adoption généralisée par les entreprises. Le système AI peut distinguer entre les opérations légitimes de fichiers en masse et les modèles de chiffrement malveillants en analysant les changements de métadonnées, la vitesse d'accès aux fichiers et les comportements de base des utilisateurs.
Le déploiement représente l'aboutissement d'un cycle de développement de 18 mois qui a commencé par des tests bêta limités parmi certains clients Google Workspace Enterprise. Pendant la phase bêta, le système a bloqué avec succès plus de 15 000 tentatives de ransomware tout en maintenant un taux de faux positifs inférieur à 0,02 %. Les chercheurs en sécurité de Google ont collaboré avec des entreprises de cybersécurité externes pour affiner les algorithmes de détection et garantir la compatibilité avec les flux de travail commerciaux légitimes impliquant de grandes opérations de fichiers.
La couverture s'étend à tous les abonnés Google Workspace et Google One
La fonctionnalité de détection de ransomware protège automatiquement tous les utilisateurs avec des comptes Google payants, y compris les éditions Google Workspace Business Starter, Business Standard, Business Plus et Enterprise. Les abonnés Google One à tous les niveaux de stockage bénéficient également de la protection sans coût supplémentaire. Cela englobe environ 3 milliards de comptes utilisateurs dans le monde, en faisant l'un des plus grands déploiements de sécurité cloud de l'histoire. Les utilisateurs gratuits de Gmail et Google Drive restent exclus de ce niveau de protection, bien que Google n'ait pas exclu une future extension aux comptes gratuits.
Les clients d'entreprise avec Google Workspace Enterprise Plus reçoivent des capacités de détection améliorées, y compris des outils avancés de chasse aux menaces et une intégration avec des plateformes tierces de gestion des informations et des événements de sécurité. Ces organisations peuvent personnaliser les niveaux de sensibilité de détection et établir des flux de travail de réponse automatisés via la console d'administration. Les établissements d'enseignement utilisant Google Workspace for Education Plus ont également accès à l'ensemble complet des fonctionnalités, répondant à la menace croissante des ransomwares ciblant les réseaux académiques et les données de recherche.
Les petites et moyennes entreprises utilisant les éditions Google Workspace Business reçoivent la fonctionnalité de détection de base avec des alertes standard par notifications par e-mail et tableaux de bord de la console d'administration. Le système surveille les disques partagés, le stockage des utilisateurs individuels et les documents collaboratifs sur tous les types de fichiers pris en charge, y compris Google Docs, Sheets, Slides et les téléchargements tiers. Les organisations peuvent consulter les journaux de détection et les fichiers mis en quarantaine via le centre de sécurité dans les 24 heures suivant tout incident.
L'implémentation ne nécessite aucune configuration des administrateurs
La détection de ransomware AI s'active automatiquement pour tous les comptes éligibles sans nécessiter d'intervention de l'administrateur ou de modifications de politique. Les administrateurs Google Workspace peuvent accéder aux paramètres de détection via la console d'administration sous Sécurité > Protection avancée, où ils peuvent consulter les fichiers mis en quarantaine, ajuster les niveaux de sensibilité et configurer les préférences de notification. Le système maintient une période de rétention de 30 jours pour les fichiers mis en quarantaine, permettant aux organisations de récupérer les fichiers légitimes qui auraient pu être incorrectement signalés pendant la période d'apprentissage initiale.
Lorsque l'activité de ransomware est détectée, le système isole immédiatement les fichiers affectés et empêche d'autres tentatives de chiffrement depuis le compte compromis. Les administrateurs reçoivent des alertes en temps réel par e-mail, notifications mobiles et tableaux de bord de la console d'administration détaillant l'étendue de l'attaque et les actions de réponse recommandées. Le processus de quarantaine préserve les métadonnées des fichiers et l'historique des versions, permettant une récupération complète des documents chiffrés une fois la menace neutralisée. Les organisations peuvent également intégrer ces alertes avec les plateformes d'orchestration de sécurité existantes via l'API du Cloud Security Command Center de Google.
Pour les organisations nécessitant des règles de détection personnalisées, Google fournit des options de configuration avancées via la console Cloud Identity and Access Management. Les équipes de sécurité peuvent établir des listes d'autorisation pour des applications spécifiques ou des groupes d'utilisateurs qui effectuent régulièrement des opérations de fichiers en masse, réduisant les faux positifs dans les environnements avec un traitement de données volumineux légitime. Le système prend également en charge l'intégration avec le catalogue des vulnérabilités exploitées connues de la CISA pour améliorer la corrélation des renseignements sur les menaces et fournir un contexte pour les attaques détectées.
