Choix des paramètres de sécurité Salesforce adéquats
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Répertorier les fonctionnalités de sécurité intégrées que vous pouvez exploiter dès maintenant dans les produits basés sur Salesforce Platform
- Expliquer comment la mutualisation protège la sécurité de votre organisation
- Expliquer la différence entre la surveillance et l’audit
Niveaux de sécurité
Chez Salesforce, nous abordons la sécurité avec une stratégie de défense en profondeur. Cela signifie que nous superposons de nombreux contrôles de sécurité, de sorte que si l’un d’eux échoue, l’autre prend le relais pour protéger les ressources sensibles. Nous pensons que la protection des données Salesforce est une responsabilité commune entre nous et nos clients. C’est pourquoi nous avons intégré de nombreuses fonctionnalités de sécurité à la plate-forme Salesforce. C’est notre mission de vous permettre, à vous et à vos utilisateurs, de faire votre travail de manière efficace et sécurisée.
Un membre clé de l’équipe de sécurité
En tant qu’administrateur Salesforce, vous faites partie de l’équipe de sécurité de votre entreprise. La sécurité est le fondement des services Salesforce et un pilier de la confiance, notre valeur n° 1. Nous intégrons la sécurité à nos produits tout en leur permettant d’être suffisamment flexibles pour répondre aux besoins de votre entreprise.
Salesforce met en œuvre de nombreux niveaux de sécurité, qui fonctionnent ensemble pour protéger votre entreprise. Des contrôles de sécurité tels que l’authentification multifacteur (MFA) sont disponibles pour protéger votre implémentation contre les accès non autorisés externes à votre entreprise. Il est également important de protéger vos données Salesforce contre tout accès inapproprié par vos propres utilisateurs. Il est de notre responsabilité de stocker vos données de sorte à les protéger des menaces extérieures et nous les protégeons aussi lorsqu’elles sont transférées via le réseau. En tant qu’administrateur Salesforce, il est de votre responsabilité d’utiliser les contrôles de sécurité disponibles, de suivre les conseils de sécurité de Salesforce, de toujours savoir qui sont vos utilisateurs et de vous assurer qu’ils disposent des bons accès dans Salesforce.
Les administrateurs peuvent activer des fonctionnalités intégrées à la plate-forme pour apporter à votre entreprise l’expérience la plus sécurisée possible. Aucune stratégie de sécurité n’est infaillible, mais renforcer votre implémentation avec ces fonctionnalités permet néanmoins de réduire le risque que votre organisation soit compromise et peut aider à réduire les pertes de données si cela devait arriver.
L’activation des fonctionnalités intégrées dans Salesforce est le meilleur moyen de renforcer rapidement la sécurité de vos organisations Salesforce. Alors, lancez-vous et réalisez dès maintenant les tâches les plus simples. Les criminels s’attaquent en premier aux cibles les plus vulnérables. Faites de même en vous attelant à ce qu’il y a de plus facile ! Nous examinerons ces fonctionnalités par la suite.
Mutualisation
Salesforce est une plate-forme mutualisée. Cela signifie qu’elle emploie un seul groupement de ressources informatiques pour répondre aux besoins de nombreux clients. Salesforce isole les données de votre organisation de toutes les autres organisations client à l’aide d’un identifiant unique, associé à la session de chaque utilisateur. Lorsque vous vous connectez à votre organisation, vos demandes ultérieures sont associées à celle-ci grâce à cet identifiant.
Salesforce emploie certaines des technologies les plus avancées disponibles en matière de sécurité Internet. Lorsque vous accédez à l’application à l’aide d’un navigateur pris en charge par Salesforce, la technologie TLS (Transport Layer Security) protège vos informations à l’aide de l’authentification de serveur et du cryptage classique, ce qui garantit que vos données sont sécurisées et accessibles uniquement par les utilisateurs enregistrés de votre organisation.
En outre, Salesforce est hébergé dans des environnements de serveur sécurisés afin d’empêcher toute interférence ou tout accès par des intrus extérieurs.
La MFA pour bloquer les attaques tout en autorisant les utilisateurs légitimes
Un moyen efficace d’augmenter la sécurité de votre organisation Salesforce consiste à exiger un deuxième niveau d’authentification lorsque les utilisateurs se connectent. L’authentification multifacteur (MFA) est l’un des moyens les plus simples et les plus efficaces d’empêcher les accès non autorisés aux comptes et de protéger vos données Salesforce. Nous pensons que l’authentification multifacteur est si importante que nous l’exigeons pour tous ceux qui accèdent à nos produits et services. Et pour aider les utilisateurs à satisfaire cette exigence, la MFA fait partie par défaut du processus de connexion des organisations de production Salesforce.
Avec la MFA, l’utilisateur doit fournir au moins deux éléments de preuve (ou facteurs) lorsqu’il se connecte. L’un de ces facteurs est la combinaison de son nom d’utilisateur et de son mot de passe. En tant que facteur supplémentaire, les utilisateurs fournissent une méthode de vérification qui confirme leur identité, comme une application d’authentification ou une clé de sécurité physique. La MFA ajoute une couche de protection supplémentaire (conformément à la stratégie de défense en profondeur !) de sorte que même si les identifiants d’un utilisateur sont compromis, son compte reste toujours protégé.
Les administrateurs n’ont rien à faire pour activer la MFA, car elle fait automatiquement partie du processus de connexion. De plus, il est simple et rapide pour les utilisateurs de mettre en place la MFA : ils peuvent simplement suivre les invites d’enregistrement de la MFA qui s’affichent lorsqu’ils se connectent.
Restriction des adresses IP à partir desquelles les utilisateurs peuvent se connecter
Pour une couche supplémentaire de sécurité d’accès, les administrateurs peuvent demander aux utilisateurs de se connecter à Salesforce à partir d’une adresse IP dans une plage d’adresses autorisée. Il s’agit généralement des adresses appartenant à votre réseau privé virtuel (VPN) d’entreprise. L’objectif de ce contrôle est d’interdire l’entrée à toute personne qui essaie de se connecter à Salesforce en dehors de la plage d’adresses désignée. En associant l’obligation de se connecter via la MFA aux restrictions de plage d’adresses IP, vous ajoutez deux couches de sécurité pour protéger vos comptes Salesforce des personnes malintentionnées. Vous pouvez aussi configurer des plages d’adresses IP de confiance pour l’ensemble de votre organisation ou pour des profils d’utilisateur spécifiques.
Désactivation des anciens utilisateurs
En tant qu’administrateur, vous le savez mieux que quiconque (enfin, peut-être à part les ressources humaines) : les utilisateurs Salesforce évoluent en permanence, au gré des départs de votre entreprise et de l’ajout de nouveaux utilisateurs. Lorsqu’un utilisateur ne travaille plus pour l’entreprise, il incombe à l’administrateur de supprimer rapidement son accès à Salesforce. Désactivez les utilisateurs sans attendre afin qu’ils ne puissent plus utiliser leurs identifiants Salesforce pour se connecter à votre organisation, ce qui vous aidera à garantir que seuls les utilisateurs autorisés y accèdent.
Limitation des possibilités offertes aux utilisateurs
Plusieurs niveaux d’accès et de contrôle déterminent « qui voit quoi » et « qui peut faire quoi » dans une organisation Salesforce. Si vous avez plusieurs organisations Salesforce, vous devrez configurer séparément ces contrôles d’accès dans chaque organisation.
Les administrateurs peuvent limiter l’accès à certains types de ressources en fonction du niveau de sécurité associé à la méthode d’authentification (connexion) de la session en cours de l’utilisateur. Par défaut, chaque méthode de connexion présente l’un des deux niveaux de sécurité suivants : standard ou assurance élevée. Vous pouvez modifier le niveau de sécurité d’une session et définir des stratégies afin que seuls les utilisateurs présentant un niveau d’assurance élevé puissent accéder aux ressources indiquées.
Consultation de ce qui a déjà été fait
Le Journal d’audit des champs, qui fait partie du module complémentaire Salesforce Shield, vous permet de définir une stratégie permettant de stocker jusqu’à dix ans d’archives de données d’historique des champs, indépendamment du suivi de l’historique des champs. Pour en savoir plus sur le journal d’audit des champs, consultez le guide d’implémentation du journal d’audit des champs. Cette fonctionnalité vous aide à vous conformer aux réglementations du secteur en matière de capacité d’audit et de rétention de données. L’historique fourni par le Journal d’audit de configuration suit les modifications récentes apportées à la configuration de votre organisation par vous-même ainsi que par les autres administrateurs. L’Historique d’audit peut être particulièrement utile dans les organisations disposant de plusieurs administrateurs.
La série de vidéos Salesforce Qui voit quoi (en anglais) montre comment vous pouvez contrôler qui peut faire quoi dans votre organisation.
Davantage d’options de sécurité avec Salesforce Shield
Cryptage de vos données
Il existe tout un éventail de fonctionnalités de sécurité améliorées disponibles dans notre produit complémentaire Salesforce Shield. Platform Encryption, qui fait partie de Shield, offre à vos données une couche de sécurité supplémentaire tout en préservant les fonctionnalités critiques de la plate-forme. Vous pouvez ainsi protéger les données de manière plus précise que jamais, afin que votre entreprise puisse se conformer en toute confiance aux politiques de confidentialité, aux exigences réglementaires et aux obligations contractuelles relatives au traitement des données à caractère personnel.
Déclenchement d’actions automatiques sur des événements de sécurité
Les stratégies de sécurité des transactions évaluent l’activité à partir d’événements que vous indiquez. Pour chaque politique, vous définissez des actions en temps réel, telles que des notifications automatiques, des blocages pour arrêter des opérations spécifiques ou la possibilité de mettre fin à une session. Prenons un exemple.
Votre entreprise exige que vos employés utilisent Salesforce pour afficher des rapports et exporter des données. Pour des raisons de sécurité, vous voulez vous assurer qu’ils n’exportent pas de grandes quantités de données à partir de rapports. Cela permet de minimiser le risque de fuite de données sensibles et exclusives. Vous pouvez utiliser le générateur de conditions pour la sécurité des transactions pour créer une stratégie personnalisée qui bloque automatiquement les exportations de rapports lorsqu’elles incluent un volume d’enregistrements supérieur à celui que vous autorisez.
Surveillance des événements dans votre organisation
La fonctionnalité Surveillance des événements vous permet d’accéder aux fichiers journaux des événements pour suivre l’activité des utilisateurs et l’adoption des fonctionnalités, ainsi que pour résoudre les différents problèmes. Vous pouvez également intégrer le journal de données à votre propre outil d’analyse de données. La surveillance des événements vous aide à détecter toute anomalie dans votre implémentation Salesforce qui pourrait indiquer des risques de sécurité, comme une fuite de données.
Ressources
- Aide Salesforce : Authentification multifacteur
- Salesforce : Salesforce Authenticator
- Blog Salesforce : Authentification multifacteur : aussi facile que de se laver les mains
- Blog Salesforce : Tout ce que les administrateurs doivent savoir sur l’obligation d’utiliser la MFA
- Vidéo : Qui voit quoi : présentation (Lightning Experience) : Salesforce
- Aide Salesforce : Définition de plages IP de confiance pour votre organisation
- Aide Salesforce : Sécurité des sessions
- Trailhead : Protection de vos applications avec Salesforce Shield
- Trailhead : Concepts de base de la plate-forme Salesforce