Meilleures pratiques en matière de sécurité

Image

La sécurité est intégrée dans nos produits du début jusqu'à la fin. Salesforce fournit à nos clients des outils innovants et les ressources éducatives nécessaires à la protection de leurs données, mais nous sommes convaincus que la sécurité relève d’une responsabilité partagée. Nous recommandons vivement à tous nos clients d’adopter les meilleures pratiques suivantes pour mieux protéger leur instance Salesforce contre la divulgation et respecter les normes industrielles.

Microsite MFA

Activez l’authentification multifacteur

L’authentification multifacteur (MFA) ajoute une couche supplémentaire de protection contre les menaces courantes telles que les attaques de phishing, le bourrage d’identifiants (credential stuffing) et les piratages de compte. L’implémentation de la MFA constitue l’une des façons les plus efficaces pour votre entreprise d’accroître la sécurité de vos données Salesforce. C’est pourquoi, à compter du 1 février 2022, Salesforce commencera à exiger que les clients activent la MFA pour accéder aux produits Salesforce.

Image

Maîtrisez les concepts de base

Image

Implémentez la MFA ou l’ Authentification unique

Il n’a jamais été aussi important de mettre en place des mesures de sécurité strictes pour protéger votre entreprise et vos clients. Alors que les menaces qui compromettent les identifiants des utilisateurs sont de plus en plus fréquentes, les noms d’utilisateur et mots de passe ne suffisent plus à protéger contre l’accès aux comptes non autorisé. 

L’authentification multifacteur (MFA) ajoute une couche supplémentaire de protection contre les menaces courantes telles que les attaques de phishing, le bourrage d’identifiants (credential stuffing) et les piratages de compte. L’implémentation de la MFA constitue l’une des façons les plus efficaces pour votre entreprise d’accroître la sécurité de vos données Salesforce.

Afficher les Ressources de la MFA >

Exécutez un contrôle d’intégrité de la sécurité avec chaque version

Le Contrôle d’intégrité est un outil gratuit fourni avec les produits Salesforce. Basé sur la plate-forme principale, il permet aux administrateurs de gérer les paramètres de sécurité les plus importants de leur organisation dans un tableau de bord unique. Grâce au Contrôle d’intégrité, les administrateurs peuvent facilement identifier et corriger les paramètres de sécurité potentiellement vulnérables en un seul clic. Les clients peuvent aussi créer des normes de base personnalisées pour mieux répondre aux besoins en sécurité individuels de leur entreprise.

En savoir plus sur le Contrôle d’intégrité >

Image

Découvrez d’autres meilleures pratiques

  • Restez informé sur les renouvellements et rotations de certificat

    Salesforce recommande de ne pas épingler les certificats SSL/TLS feuille ou intermédiaires, car ils peuvent créer des problèmes de disponibilité lors de la rotation des certificats intermédiaires pendant des opérations de routine. Néanmoins, certains cas d’utilisation impliquant des intégrations middleware peuvent nécessiter l’épinglage des certificats. Si vous épinglez des certificats feuille/intermédiaires, épinglez uniquement le certificat racine. Pour recevoir des notifications en temps opportun sur les renouvellements et rotations de certificat à venir, rejoignez la Trailblazer Community des changements de certificat et abonnez-vous aux mises à jour d’e-mail du groupe.

  • Définissez des plages IP de connexion

    Les Plages IP de connexion limitent les accès non autorisés en demandant aux utilisateurs de se connecter à Salesforce à partir d'adresses IP désignées, qui correspondent généralement à votre réseau ou VPN d'entreprise. En utilisant des Plages IP de connexion, les administrateurs peuvent définir une plage d'adresses IP autorisées afin de contrôler l'accès à Salesforce. Si des utilisateurs tentent de se connecter à Salesforce à partir d'adresses IP extérieures à la plage désignée, l'accès leur est refusé. 

    • Si vous utilisez Professional Edition, Group Edition ou Personal Edition, vous pouvez configurer des Plages IP de connexion sous Contrôles de sécurité > Paramètres de session. 
    • Si vous utilisez Enterprise Edition, Unlimited Edition, Performance Edition ou Developer Edition, vous pouvez configurer des Plages IP de connexion sous Gérer les utilisateurs > Profils.

  • Salesforce Shield

    Dans le cadre de votre stratégie de sécurité globale, découvrez Salesforce Shield. Salesforce est dotée de nombreux contrôles de sécurité prêts à l’emploi, et Shield complète vos fonctionnalités de sécurité avec le cryptage amélioré, la surveillance de l’application et des données, et l’automatisation de la politique de sécurité. Grâce à Shield, les administrateurs et les développeurs renforcent le niveau de confiance et de transparence dans les applications d’entreprise critiques.

  • Mon domaine

    Mon domaine vous permet d’ajouter un domaine personnalisé à votre URL d’organisation Salesforce. Le fait de disposer d’un domaine personnalisé vous permet de mettre en valeur votre marque et de mieux sécuriser votre organisation. En outre, cela vous permet de suivre nos meilleures pratiques et de ne pas spécifier de noms d’instance dans le code et les intégrations (par exemple, na1.salesforce.com). Grâce à cette meilleure pratique, vous et vos utilisateurs finaux bénéficierez d’une expérience plus transparente lors d’une maintenance future.

    Utilisez Mon domaine pour définir un domaine personnalisé faisant partie de votre domaine Salesforce. Un domaine personnalisé est en fait un sous-domaine d’un domaine principal. Si nous utilisons un exemple de conteneurs universels, leur sous-domaine serait « conteneurs-universels » dans cet exemple de Mon domaine : https://conteneurs-universels.my.salesforce.com.

    Un nom de domaine personnalisé vous permet de mieux gérer la connexion et l’authentification pour votre organisation, et ceci de différentes façons. Vous pouvez :

    • Bloquer ou rediriger les demandes de page qui n’utilisent pas le nouveau nom de domaine
    • Définir une politique de connexion personnalisée pour déterminer comment les utilisateurs sont authentifiés
    • Travailler simultanément dans des organisations Salesforce multiples
    • Permettre aux utilisateurs de se connecter à l’aide d’un compte social, comme Google et Facebook, à partir de la page de connexion
    • Permettre aux utilisateurs de se connecter une fois pour accéder aux services externes
    • Mettre en évidence votre identité professionnelle avec votre URL de domaine unique
    • Personnaliser votre écran de connexion avec votre marque ainsi que le contenu du cadre droit

  • Diminuez les seuils d’expiration d’une session

    Les utilisateurs laissent parfois leurs ordinateurs sans surveillance ou ne se déconnectent pas. Vous pouvez protéger vos applications contre l’accès non autorisé en fermant automatiquement les sessions lorsqu’il n’y a aucune activité de session pendant une certaine période de temps. La valeur d’expiration par défaut est de 2 heures ; vous pouvez la définir de 30 minutes à 8 heures. Pour modifier l’expiration d’une session, cliquez sur : Configuration > Contrôles de sécurité > Paramètres de session.

  • Activation de TLS 1.2 ou supérieur

    Transport Layer Security, ou TLS, est le protocole de sécurité le plus largement déployé et utilisé par les navigateurs Web et d’autres applications dont l'échange de données doit être sécurisé sur un réseau. Depuis octobre 2019, Salesforce exige que toutes les connexions d’organisation sécurisées utilisent le protocole TLS 1.2 ou supérieur pour garantir l’environnement le plus sécurisé et le maintien de la conformité aux normes de l'industrie des cartes de paiement (PCI).

  • Sensibilisation des utilisateurs au hameçonnage

    Salesforce recommande vivement de sensibiliser tous les utilisateurs Salesforce au hameçonnage. La plupart des cyberattaques utilisent des logiciels malveillants pour infecter un ordinateur avec du code malveillant conçu pour voler des mots de passe, des données ou perturber un ordinateur/réseau entier. Heureusement, vous n’avez pas besoin d’être un expert en sécurité pour bloquer les logiciels malveillants.

    Les tentatives d'escroquerie par hameçonnage utilisent des e-mails frauduleux pour inciter les utilisateurs à révéler des informations confidentielles. Ces e-mails semblent provenir d’une organisation légitime et peuvent contenir des liens vers ce qui semble être le site de l’organisation (par exemple, livraison d’un colis, salaire, IRS, réseau social), mais en réalité, il s’agit d’un faux site (ou d’une pièce jointe) conçu pour installer des logiciels malveillants et capturer des informations. Mais ces tentatives d’escroquerie deviennent tellement complexes qu’il est difficile de savoir si on a affaire à un vrai ou à un faux e-mail. Voici quelques recommandations à faire à vos utilisateurs Salesforce lorsqu’ils consultent leurs e-mails (et consultez notre page Avertissements de sécurité pour des exemples de tentatives d’escroquerie récentes) :

    • Analyser la ligne d’objet pour voir si elle contient des messages inattendus et un libellé étrange
    • Vérifier la personne et l’organisation (par exemple, survoler le nom de l’expéditeur et les URL, mais ne pas cliquer)
    • Ne pas cliquer sur les pièces jointes suspectes (par exemple, format ou nom étrange)
    • Ne pas donner d’informations sur les identifiants (par exemple, nom d’utilisateur, mot de passe) sauf si vous êtes sûr que l’e-mail provient d’un expéditeur de confiance
    • Vérifier soigneusement la langue (par exemple, la grammaire, l’orthographe)
    • Se méfier des messages urgents et immédiats, notamment des messages dans lesquels on vous demande de l’argent

    Si vous ou vos utilisateurs n’êtes pas sûr de la légitimité d’un e-mail Salesforce, transmettez une copie de l’e-mail suspect en pièce jointe à l’adresse security@salesforce.com. Veuillez inclure les mots «hameçonnage» ou «logiciel malveillant » dans la ligne d’objet pour indiquer qu’il s’agit d’un e-mail d’hameçonnage suspect.

    Pour des instructions sur la façon de transmettre un e-mail en pièce jointe à l’aide de Gmail, consultez Envoyer des e-mails en pièces jointes dans l’Aide Google.

  • Politiques de mot de passe

    La sécurité par mot de passe fort est une étape importante dans la protection de vos comptes Salesforce et Salesforce recommande les meilleures pratiques suivantes : 

    • Expiration du mot de passe – Salesforce recommande aux utilisateurs de réinitialiser leurs mots de passe dans un délai maximum de 90 jours
    • Longueur du mot de passe – Salesforce suggère d’utiliser des mots de passe dont la longueur minimum est comprise entre 8 et 10 caractères
    • Complexité du mot de passe – Les administrateurs doivent demander aux utilisateurs d’inclure une combinaison de caractères alphanumériques, numériques et spéciaux dans leur mot de passe Salesforce

    En outre, il convient de rappeler aux utilisateurs de ne jamais réutiliser des mots de passe sur plusieurs comptes car ils risquent de compromettre plusieurs de leurs comptes. Pour finir, les utilisateurs doivent comprendre qu’ils ne doivent jamais partager leurs mots de passe avec qui que ce soit, que ce soit en ligne ou en personne (cela inclut leur mot de passe Salesforce).

  • Forcez le contrôle d’accès précis à l’aide des profils et ensembles d’autorisations

    Un ensemble d’autorisations est une série de paramètres et d’autorisations qui donnent accès aux utilisateurs à divers outils et fonctions. Les ensembles d’autorisations étendent l’accès fonctionnel des utilisateurs sans changer leurs profils.

    Créez des ensembles d’autorisations pour accorder un accès à des regroupements logiques d’utilisateurs, quelle que soit leur fonction principale. Par exemple, supposons que vous avez plusieurs utilisateurs qui doivent supprimer et transférer des pistes. Vous pouvez créer un ensemble d’autorisations en fonction des tâches que doivent effectuer ces utilisateurs et inclure l’ensemble d’autorisations dans les groupes d’ensembles d’autorisations selon les fonctions. Les utilisateurs ne peuvent avoir qu’un seul profil, mais peuvent avoir plusieurs ensembles d’autorisations. 

  • Audit et connexion

    Les journaux d’audit fournissent un enregistrement chronologique de toutes les activités dans votre système, telles que les connexions, les changements d’autorisations, et l’ajout/suppression d’enregistrements. Ils sont utilisés pour détecter une utilisation anormale du système et sont indispensables pour diagnostiquer les problèmes de sécurité réels ou potentiels.

    Nous vous recommandons de configurer des journaux d’audit pour votre instance Salesforce, et d’effectuer des audits réguliers pour surveiller les changements inattendus ou les tendances d’utilisation.

  • Utilisation d’un HSM (Module Matériel de Sécurité) comme racine de confiance

    Un Module Matériel de Sécurité est un système virtuel ou physique renforcé utilisé pour fournir et administrer des fonctions cryptographiques dans les environnements d’entreprise. Les HSM sont utilisés avec des fonctions essentielles de sécurité comprenant le cryptage, le décryptage et l’authentification.

    Nous recommandons d’utiliser des HSM comme racine de confiance afin de protéger les clés utilisées pour sécuriser les données dans les environnements cloud multiples et sur site. Ils doivent être certifiés aux plus hautes normes de sécurité (FIPS 140-2 et Common Criteria, par exemple), isolés des réseaux d’entreprises de l’organisation et restreindre l’accès uniquement au personnel autorisé.