Skip to main content

Premiers pas avec la protection des secrets

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Expliquer ce que sont les secrets d’applications
  • Expliquer contre qui nous devons protéger les secrets d’applications
  • Citer trois risques de divulgation des secrets de vos applications aux administrateurs Salesforce.

Introduction à la protection des secrets d’applications

Pratiquement toutes les applications traitent des données sensibles, sous une forme ou une autre. Un secret d’application peut être le mot de passe qu’un utilisateur saisit pour s’authentifier auprès de l’application ou une clé de cryptage qui protège des données au repos. Si des pirates ou des utilisateurs malveillants découvrent le secret, ils peuvent l’utiliser pour accéder à des informations ou à des systèmes confidentiels. 

La façon de protéger les secrets est un enjeu essentiel que les développeurs doivent prendre en compte sur toutes les plates-formes, y compris sur Salesforce. Dans ce module, vous apprenez comment identifier les secrets dans vos applications et comment déterminer la méthode la plus efficace pour les stocker et les protéger.

Qu’est-ce qu’un secret ?

Nous utilisons le terme « secret », mais que signifie-t-il concrètement ? Dans ce module, lorsque nous faisons référence à un secret, nous parlons des données qui peuvent être utilisées pour vérifier les privilèges d’un utilisateur dans une situation donnée. 

Voici quelques exemples courants :

  • Mots de passe et phrases secrètes
  • Clés de cryptage
  • Jetons OAuth
  • Informations de paiement, telles que les numéros de carte de crédit et les codes PIN utilisés pour authentifier une transaction de paiement.
  • Numéros de sécurité sociale, qui peuvent être utilisés pour vérifier l’identité d’un individu.

En plus de ces exemples, votre entreprise peut considérer d’autres formes de données comme secrètes et les soumettre à une protection supplémentaire. Par exemple, vous pouvez être soumis à une obligation réglementaire de cryptage de certains types de données utilisateur. Ordinateur portable ouvert sur une page de connexion. Une image entourée d’un cercle montre un doigt appuyant sur une icône de clé sur un téléphone pour valider une connexion avec authentification à deux facteurs.

Contre qui protégeons-nous les secrets ?

Maintenant que nous savons ce que nous avons à protéger, parlons de ceux contre qui nous protégeons ces informations. Vous imaginez peut-être un pirate. Nous voulons avant tout que les données sensibles soient protégées des attaques externes de personnes tentant de forcer l’accès à votre instance Salesforce. Mais nous devons également envisager le risque de révéler des secrets à d’autres utilisateurs, notamment aux administrateurs Salesforce, aux développeurs AppExchange et aux clients. 

Examinons les scénarios ci-dessous.

  1. Un utilisateur télécharge accidentellement un logiciel malveillant et sa session Salesforce est compromise.
  2. Un employé mécontent qui a été récemment licencié, mais qui a toujours accès aux systèmes de son entreprise.
  3. Un utilisateur de Communities découvre qu’il dispose d’un privilège d’accès à l’API.

Dans chacun de ces scénarios, un secret mal protégé peut devenir visible par quelqu’un qui ne devrait pas y avoir accès. Pour ces raisons, il est judicieux de protéger les secrets de différents types d’utilisateurs, notamment des :

  • Utilisateurs standard : utilisateurs disposant de licences Salesforce normales et de permissions moyennes.
  • Utilisateurs externes : utilisateurs ayant des permissions réduites, utilisant par exemple une licence Communities ou consultant les données depuis un site Force.com.
  • Utilisateurs administrateurs avec un accès administratif : utilisateurs ayant des licences Salesforce normales, mais des permissions supérieures à la moyenne, jusqu’à Modifier toutes les données.

Souvenez-vous que tous les secrets n’ont pas à être protégés de tous les types d’utilisateurs. L’objectif de ce module est de vous donner les outils qui vous permettront de protéger les secrets d’applications, afin que même les données les plus sensibles puissent être enregistrées dans Salesforce en toute sécurité. 

Pourquoi protéger des secrets contre les administrateurs ?

Les administrateurs sont dans une position de confiance supérieure à celle des autres utilisateurs, car ils disposent d’un accès plus élevé au système. Souvenez-vous du principe du moindre privilège. Il vaut mieux veiller à n’accorder que le strict minimum de privilèges nécessaires à un utilisateur, à un programme ou à un processus pour exécuter la fonction qui lui est attribuée. Il peut sembler inoffensif d’accorder aux administrateurs l’accès à des éléments supplémentaires tels que les clés de cryptage. Cependant, voici quelques éléments à prendre en compte. 

  • Si le secret enregistré est le mot de passe d’un service externe, l’administrateur Salesforce n’est peut-être pas autorisé à accéder directement à ce service. Ainsi, pour protéger ce service, vous devez vous assurer qu’il ne dispose pas d’une telle autorisation.
  • Le secret enregistré peut être une clé de cryptage à laquelle aucun utilisateur, administrateur compris, n’a le droit d’accéder. De la même manière, vous devez vous assurer qu’un administrateur ne peut pas y accéder.
  • Même si un administrateur ne peut pas voir le secret, une personne malveillante peut essayer de l’obtenir en compromettant le compte de l’administrateur.

Ce n’est pas parce que quelqu’un peut accéder à quelque chose que c’est une bonne idée ! 

À présent que vous connaissez l’importance de la sécurisation des secrets, vous pouvez déterminer la méthode la plus efficace pour stocker et protéger ces secrets lorsque vous terminez le développement de votre application. Nous examinerons ensuite comment utiliser les fonctionnalités de sécurité de Salesforce Platform. 

Ressources

Formez-vous gratuitement !
Créez un compte pour continuer.
S'inscrire Se connecter
Qu’est-ce que vous y gagnez ?
  • Obtenez des recommandations personnalisées pour vos objectifs de carrière
  • Mettez en pratique vos compétences grâce à des défis pratiques et à des questionnaires
  • Suivez et partagez vos progrès avec des employeurs
  • Découvrez des opportunités de mentorat et de carrière
Ignorer pour l'instant