Skip to main content

Exécution du contrôle d’intégrité

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Expliquer comment le contrôle d’intégrité peut assurer la sécurité de votre organisation
  • Utiliser les configurations du contrôle d’intégrité pour améliorer la sécurité des applications exécutées dans votre organisation Salesforce

Sécurité et applications personnalisées de Salesforce Platform

Lorsque vous créez des applications personnalisées qui s’exécutent sur votre organisation Salesforce, il est important de vous assurer que votre instance Salesforce est sécurisée, en plus de sécuriser les applications elles-mêmes. Étant donné que la majorité des applications personnalisées sont spécifiques à chaque entreprise, il est probable que celles que vous créez seront spécifiques à votre organisation Salesforce. 

Au sein de Salesforce, nous nous efforçons constamment de rendre notre plate-forme aussi sûre que possible et nous considérons la sécurité des applications que vous développez comme une responsabilité partagée. À cet égard, nous vous fournissons une partie de ce contrôle de sécurité afin que vous ayez la flexibilité nécessaire pour répondre aux besoins opérationnels de votre organisation. 

Les fonctionnalités de sécurité de Salesforce vous permettent de donner à vos utilisateurs les moyens de faire leur travail de manière sûre et efficace. Ce module aborde deux méthodes importantes permettant de garantir la sécurité de votre organisation Salesforce lors du développement et de l’exécution d’applications personnalisées. Commençons par le contrôle d’intégrité.

Une femme en uniforme d’infirmière utilise un stéthoscope sur un score de contrôle d’intégrité projeté sur un mur. Dans le sens des aiguilles d’une montre, le score de 87 est entouré par des icônes représentant Salesforce Shield, une pile de documents avec un cadenas, le monde, un bouclier et un téléphone, et le Cloud.

Présentation du contrôle d’intégrité

Le contrôle d’intégrité est un tableau de bord qui vous permet de voir dans quelle mesure les paramètres de sécurité de votre organisation s’alignent sur les recommandations de Salesforce. Un score entre 0 et 100 est affiché (100 étant la configuration des réglages la plus sûre). Depuis ce tableau de bord monopage, vous pouvez en un clic ajuster la fiabilité des mécanismes de sécurité intégrés à votre organisation et corriger les paramètres vulnérables. Tous vos paramètres de sécurité sont disponibles sur une seule page, ce qui vous permet d’avoir un aperçu de la sécurité globale de votre organisation. Un score récapitulatif indique dans quelle mesure votre organisation est en adéquation avec les normes recommandées par Salesforce.

Utilité du contrôle d’intégrité

Le contrôle d’intégrité peut exposer les mécanismes de sécurité inactifs dans les paramètres de sécurité de votre organisation. Vous pouvez utiliser ces informations pour améliorer la sécurité de votre organisation lorsque vous déployez des applications personnalisées. Cette fonctionnalité est importante, car, chaque création et déploiement d’une application personnalisée a des répercussions sur la sécurité de votre organisation dans son ensemble. La plupart des applications créées sur Salesforce Platform sont déployées dans l’organisation du propriétaire. Ainsi, l’exécution de votre code personnalisé dépend de la façon dont vous avez configuré les paramètres de sécurité de votre organisation. 

Sécurisation des applications Salesforce

Il est essentiel d’activer les autorisations de sécurité appropriées pour garantir que vos applications fonctionnent en toute sécurité lorsqu’elles sont déployées sur Salesforce. Vous pouvez créer des composants Lightning à l’aide de deux modèles de programmation : les composants Web Lightning et le modèle d’origine, les composants Aura. Cependant, de manière générale, Salesforce est en train d’abandonner l’utilisation des composants Aura pour les remplacer par les composants Web Lightning. 

Les composants Web Lightning sont des éléments HTML personnalisés, conçus à l’aide des formats HTML et JavaScript. Les composants Web Lightning et Aura peuvent coexister et interagir sur une page. Pour les administrateurs et les utilisateurs finaux, ils apparaissent tous comme des composants Lightning. Les composants Web Lightning utilisent les principales normes de composants Web et ne fournissent que ce qui est nécessaire pour assurer un fonctionnement correct dans les navigateurs pris en charge par Salesforce. Étant donné que les composants Web Lightning reposent sur du code qui s’exécute de manière native dans les navigateurs, ils sont légers et offrent des performances exceptionnelles. La majorité du code que vous écrivez est du JavaScript et du HTML standard.

Remarque

Étant donné que les composants Web Lightning sont en train de devenir la norme pour le développement des applications Web, ce module aborde uniquement leurs paramètres et conditions de sécurité. 

Sécurisation de vos paramètres de session des composants Web Lightning

Pour exécuter une application optimisée par Salesforce, vous disposez généralement des éléments suivants : 

  1. Une organisation Salesforce.
  2. Du code côté navigateur dans les composants Web Lightning.
  3. Du code côté serveur dans Apex.

En activant les autorisations de sécurité appropriées, vous pouvez modifier le fonctionnement de vos applications lorsqu’elles sont déployées sur Salesforce. Pour accéder aux autorisations de sécurité, accédez à Configuration | Sécurité, ou accédez à Configuration et utilisez la zone de recherche pour trouver le paramètre exact que vous recherchez. La plupart des paramètres de sécurité sont de simples commutateurs activer/désactiver. Nous vous recommandons d’activer les paramètres de sécurité suivants.

Demander l’attribut HttpOnly

La définition de l’attribut HttpOnly modifiera la manière dont une application communique avec le serveur Salesforce en augmentant la sécurité de chaque cookie que l’application envoie. Étant donné que HttpOnly empêche la lecture des cookies par JavaScript, le navigateur peut recevoir le cookie, mais pas le modifier. 

HttpOnly est un indicateur supplémentaire inclus dans l’en-tête de réponse HTTP Set-Cookie. L’utilisation de l’indicateur HttpOnly lors de la génération d’un cookie permet d’amoindrir le risque qu’un script côté client accède au cookie protégé.

Autoriser les certificats utilisateur

Utilisez ce paramètre pour autoriser l’authentification par certificat à utiliser des certificats numériques X.509 au format PEM pour authentifier des utilisateurs spécifiques dans votre organisation.

Activer la protection contre le détournement de clics

Vous pouvez définir la protection contre le détournement de clic d’un site à l’un de ces niveaux.

  • Autoriser le tramage par n’importe quelle page (aucune protection)
  • Autoriser le tramage par la même origine uniquement (recommandé)
  • Ne pas autoriser le tramage par n’importe quelle page (protection maximale)

La protection contre le détournement de clic des Salesforce Communities est divisée en deux parties. Nous vous recommandons de les définir toutes deux au même niveau.

  • Site de communautés Force.com (définition depuis la page de détails du site Force.com).
  • Site de communautés Site.com (définition depuis la page de configuration de Site.com).

Demander HTTPS

Ce paramètre doit être activé à deux endroits. 

  • Activez HSTS pour les sites et les communautés dans les paramètres de session.
  • Activez Demander des connexions sécurisées (HTTPS) dans les paramètres de sécurité de la communauté ou du site Salesforce.

Délai d’expiration de la session

Il vaut mieux définir une courte période d’expiration si votre organisation dispose d’informations sensibles et que vous souhaitez appliquer une sécurité renforcée.

Vous pouvez définir différentes valeurs, notamment : 

  • Valeur d’expiration
  • Forcer la déconnexion à l'expiration de la session
  • Désactiver la fenêtre d’avertissement d’expiration

Activer la protection contre les scripts inter-site (XSS)

Activez le paramètre de protection XSS pour vous protéger contre les attaques de script inter-site reflétées. Si une attaque de script inter-site reflétée est détectée, le navigateur affiche une page vierge. En l’absence de contenu, les scripts ne peuvent pas être utilisés pour injecter des attaques. 

Vous savez à présent comment sécuriser votre organisation avec les fonctionnalités intégrées des composants Web Lightning. Dans l’unité suivante, nous verrons comment Shield vous aide à protéger vos applications.

Ressources

Formez-vous gratuitement !
Créez un compte pour continuer.
S'inscrire Se connecter
Qu’est-ce que vous y gagnez ?
  • Obtenez des recommandations personnalisées pour vos objectifs de carrière
  • Mettez en pratique vos compétences grâce à des défis pratiques et à des questionnaires
  • Suivez et partagez vos progrès avec des employeurs
  • Découvrez des opportunités de mentorat et de carrière
Ignorer pour l'instant