Skip to main content

Formation des utilisateurs à protéger votre organisation

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Expliquer une stratégie de mot de passe fort
  • Décrire comment éviter d’être victime d’e-mails d’hameçonnage
  • Définir le principe du moindre privilège en matière d’autorisations pour les utilisateurs

Des données précieuses entre les mains des utilisateurs

Comme nous l’avons vu dans l’unité précédente, la cible de la cybercriminalité d’aujourd’hui est le plus souvent l’employé. Les employés qui ont accès à des données sensibles, telles que des dossiers financiers ou des données de santé, sont des cibles précieuses pour les pirates. C’est pourquoi faire la promotion des comportements sécurisés auprès de vos utilisateurs Salesforce peut grandement contribuer à sécuriser votre implémentation et les données de vos clients.

Chaque utilisateur joue un rôle essentiel dans la sécurité de vos données. Éduquer les utilisateurs quant à leur rôle dans la sécurité des données Salesforce portera ses fruits à long terme. L’atout le plus précieux qu’une entreprise puisse posséder est la confiance de ses clients. Il est de votre responsabilité de protéger leurs données afin de gagner leur confiance chaque jour. 

Échangez avec vos collègues ou d’autres administrateurs Salesforce pour découvrir les méthodes innovantes qu’ils ont pu utiliser pour sensibiliser davantage leurs utilisateurs et les motiver à jouer un rôle actif dans la protection des données. Si vous trouvez des moyens amusants d’éduquer les utilisateurs en matière de sécurité, comme organiser des compétitions ou des jeux pour voir qui peut enregistrer l’authentification multifacteur (MFA) le plus rapidement, les utilisateurs seront plus ouverts à l’adoption de comportements sécurisés. Vous pouvez également adopter une approche plus systématique et vous associer à vos équipes informatiques ou de cybersécurité pour effectuer des tests d’hameçonnage réguliers afin de former les utilisateurs à la vigilance face aux e-mails d’hameçonnage provenant de pirates.

Vigilance en matière de mots de passe

Les mots de passe sont votre première ligne de défense contre les accès non autorisés à votre implémentation Salesforce. Vous devez au minimum définir des exigences en matière d’historique, de longueur et de complexité des mots de passe pour renforcer la sécurité de ces derniers et vous devez préciser la marche à suivre si un utilisateur oublie son mot de passe.

Pour renforcer la protection des comptes utilisateur, nous demandons également aux clients d’utiliser la MFA pour accéder à Salesforce. Cela signifie que vous devez disposer de plusieurs formes d’authentification pour y accéder, en général quelque chose que vous connaissez, comme un mot de passe, et quelque chose que vous possédez, comme un code sur une application d’authentification mobile.

Aux États-Unis, le National Institute of Standards and Technology (NIST) publie régulièrement des lignes directrices pour la gestion de l’authentification et du cycle de vie de l’identité numérique. Ces bonnes pratiques simples aident à réduire les menaces relatives aux mots de passe, que vous utilisiez ou non des technologies complémentaires telles que la MFA et l’authentification unique (SSO) pour renforcer la protection.

Utilisation de mots de passe uniques

Nous l’avons tous fait : utiliser le même mot de passe pour plusieurs sites Web (Rex123, ça vous dit quelque chose ?). Certes, cette technique permet d’avoir un mot de passe facile à retenir. Toutefois, le schéma étant très courant, les pirates commencent par ajouter des variations mineures lorsqu’ils tentent de déchiffrer un mot de passe. L’utilisation de mots de passe non sécurisés comme ceux-ci permet couramment aux pirates d’accéder à des informations importantes lorsqu’un site Web ou une plate-forme est compromis (piraté) et que les identifiants des utilisateurs sont rendus publics ou vendus en ligne. Si le mot de passe utilisé pour le site Web compromis est également utilisé pour quelque chose d’important, comme votre banque en ligne ou l’accès à la base de données de l’entreprise, cela peut causer de graves problèmes. Si vous utilisez le même mot de passe avec des ajustements, même mineurs, les attaquants peuvent accéder à de nombreux sites en essayant simplement des variations. 

Utilisation de mots de passe complexes 

Exigez que les mots de passe comportent au moins 10 caractères, même si les plus longs sont encore meilleurs. Encouragez les utilisateurs à créer une phrase secrète (une chaîne de mots réels) plus facile à mémoriser, associée à au moins un chiffre et un caractère spécial. Voici un exemple de mot de passe fort : « DivanAigle$Volet9783Ventilateur ».

Modification annuelle des mots de passe

Exigez des utilisateurs qu’ils réinitialisent leurs mots de passe chaque année.

Mots de passe tenus secrets

Rappelez à vos utilisateurs de ne jamais partager leurs mots de passe, y compris celui qu’ils utilisent pour Salesforce, avec qui que ce soit, que ce soit en ligne ou au téléphone. 

Utilisation d’un gestionnaire de mots de passe

L’utilisation d’un gestionnaire de mots de passe, comme LastPass ou 1Password, est l’un des meilleurs moyens de vous assurer des mots de passe forts et sécurisés. Votre organisation peut vous en fournir un, mais si ce n’est pas le cas, vous pouvez toujours en choisir un vous-même. Les gestionnaires de mots de passe vous permettent d’enregistrer les identifiants de connexion pour n’importe quel site Web, de générer des mots de passe forts et complexes et de les stocker dans une base de données sécurisée sans vous obliger à les mémoriser pour chaque service que vous utilisez. Nous vous recommandons également d’activer la MFA pour votre gestionnaire de mots de passe afin de le rendre encore plus sécurisé. 

Salesforce ne vous contactera jamais, ni vos utilisateurs, par e-mail ou par téléphone pour vous demander votre mot de passe. Si quelqu’un vous contacte en se faisant passer pour Salesforce et vous demande un mot de passe ou toute autre information sensible (par exemple, un numéro de sécurité sociale), signalez immédiatement l’incident à security@salesforce.com.

Vigilance face au hameçonnage

La plupart des attaques d’hameçonnage emploient des logiciels malveillants afin d’infecter un ordinateur avec du code conçu pour voler des mots de passe ou des données, ou encore pour perturber tout un terminal ou un réseau. Heureusement, ni vous, ni vos utilisateurs n’avez besoin d’être des experts en sécurité pour repérer un e-mail d’hameçonnage.

Trois images : un pêcheur avec une canne et un hameçon, qui attire quelqu’un avec un ordinateur portable ouvert, et le détourne vers un faux site Internet

Recherche de l’objet ou de l’adresse e-mail de l’expéditeur à l’aide d’un moteur de recherche

N’oubliez pas que les e-mails d’hameçonnage sont conçus pour exploiter le comportement humain normal et vous inciter à cliquer sur un lien malveillant ou à télécharger une pièce jointe. Ils peuvent être très crédibles et basés sur un postulat légitime, comme vous informer de la livraison d’un colis ou que votre fiche de paie est prête. Souvent, l’adresse e-mail de l’expéditeur peut alerter, car elle ne correspond pas au nom de l’entreprise à laquelle il prétend appartenir.  Si vous n’êtes pas sûr de la légitimité d’un e-mail, essayez de saisir l’objet ou l’adresse e-mail de l’expéditeur dans un moteur de recherche et voyez si d’autres sources ont signalé qu’il s’agissait d’une tentative d’hameçonnage.

Vérification de la source et des liens avant de cliquer

Ne cliquez jamais sur un lien et n’ouvrez jamais une pièce jointe dans un e-mail d’apparence suspecte ou un e-mail provenant d’un expéditeur inconnu. Demandez à vos utilisateurs de prendre le temps d’évaluer réellement un e-mail provenant d’un expéditeur inconnu avant de cliquer. Une autre bonne astuce pour vérifier que les liens à l’intérieur de l’e-mail sont légitimes est de les survoler pour vérifier où ils mènent. Par exemple, si un e-mail vous demande de cliquer sur un lien vers un livre blanc marketing Salesforce, survolez le lien pour voir si l’URL se termine par salesforce.com.

Vérification à l’aide de Salesforce

Si vous ne savez pas si un e-mail provient bien de Salesforce, contactez le service informatique ou de cybersécurité de votre entreprise. L’équipe de sécurité aura besoin des en-têtes d’e-mail. Vous devrez donc transférer une copie de l’e-mail suspect en pièce jointe à security@salesforce.com. Veuillez inclure les mots « phish » (hameçonnage) ou « malware » (logiciel malveillant) dans l’objet pour indiquer que l’e-mail est suspecté d’être une tentative d’hameçonnage. 

L’équipe de sécurité de votre entreprise travaille probablement en étroite collaboration avec l’équipe Salesforce Security pour identifier les e-mails malveillants. Vous pouvez également visiter security.salesforce.com pour consulter la liste des menaces par e-mail récentes dont l’équipe Security a connaissance.

Implication de vos utilisateurs en matière de sécurité

De petits changements dans le comportement des utilisateurs peuvent avoir un impact majeur. Chez Salesforce, lorsque l’équipe Security a envoyé des e-mails d’hameçonnage à nos propres employés, nous avons pu constater que les employés ayant suivi notre formation sur la sécurité étaient deux fois moins susceptibles de cliquer sur des liens d’hameçonnage et presque deux fois plus susceptibles de les signaler, par rapport à ceux n’ayant pas été formés. Envisagez d’effectuer des tests d’hameçonnage dans votre propre entreprise et rappelez régulièrement aux utilisateurs de suivre les recommandations de sécurité

Attribution parcimonieuse des droits d’accès

L’une des pratiques de sécurité essentielles consiste à fournir aux utilisateurs l’accès minimal dont ils ont besoin pour faire leur travail. Il s’agit du principe du moindre privilège

Par exemple, un analyste commercial n’a pas besoin de consulter les informations de facturation des clients. Il est recommandé de limiter le nombre d’utilisateurs dotés de droits d’administrateur (généralement, nous recommandons de ne pas dépasser cinq utilisateurs) et de vérifier régulièrement que ces personnes ont encore besoin de ces autorisations d’administrateur. Vous pouvez également limiter la visibilité et les autorisations au niveau du champ. Avec le temps, les besoins peuvent évoluer et il est donc important de mettre en place un mécanisme pour réévaluer régulièrement les privilèges d’accès.

Ressources

Partagez vos commentaires sur Trailhead dans l'aide Salesforce.

Nous aimerions connaître votre expérience avec Trailhead. Vous pouvez désormais accéder au nouveau formulaire de commentaires à tout moment depuis le site d'aide Salesforce.

En savoir plus Continuer à partager vos commentaires