Salesforce héberge d’énormes quantités de données client, et la protection de ces données est au cœur des bonnes pratiques de l’entreprise. Avec des données à caractère personnel (PII), des données personnelles à caractère bancaire (PCI), des listes de clients et plus encore stockées dans Salesforce, il n’a jamais été aussi important de sécuriser et de classer vos données sensibles.
Ben McCarthy, fondateur de Salesforce et David Gibson, vice-président senior des programmes stratégiques de Varonis, ont organisé une session dédiée à la protection de l’environnement Salesforce. Ils ont partagé les bonnes pratiques en matière de gestion des données sensibles au sein de plusieurs organisations Salesforce, comment configurer la classification des données à l’aide des fonctionnalités natives de Salesforce et comment Varonis peut vous aider à trouver vos données sensibles et à identifier les personnes autorisées à y accéder, le tout en quelques clics.
Obtenez une évaluation gratuite des risques liés aux données
Points à retenir
Le type de données trouvé dans Salesforce peut ne pas correspondre à ce que vous attendiez. Lorsque vous parcourez votre organisation Salesforce, certains types de données sensibles sont susceptibles de s’afficher : données à caractère personnel, données personnelles à caractère bancaire, listes de clients, informations sur les tarifs, etc.
Cependant, vous pourriez avoir quelques surprises de taille. Selon David, « chaque fois que des utilisateurs finaux sont impliqués, vos certitudes risquent d’être bousculées, parce que les données sensibles se retrouveront là où elles sont censées être, mais aussi là où vous ne vous y attendez peut-être pas ».
La façon la plus courante de retrouver ces informations dans Salesforce est par le biais d'intégrations, selon Ben.
D’après Ben, « si vous disposez de la fonctionnalité permettant à quiconque d’envoyer une pièce jointe, celle-ci sera également jointe au dossier. Les utilisateurs peuvent vous envoyer absolument n’importe quoi, et tout cela sera stocké dans Salesforce. »
Cela peut inclure des informations sensibles telles que des dossiers médicaux, des pièces jointes à des contrats, des documents juridiques ou même des clés API.
« Si vous utilisez correctement Salesforce, il sera au cœur de votre entreprise, a-t-il déclaré. Les informations provenant de différents systèmes vont naturellement se retrouver dans Salesforce. »
Protection et localisation des données
Avant de pouvoir protéger les données sensibles, vous devez d’abord les localiser. Fin 2020, Salesforce a mis en place une fonctionnalité de classification des données qui vous permet de configurer les niveaux de sensibilité, de personnaliser les catégories de conformité et de créer des rapports, en créant une image des informations stockées et de leur caractère sensible ou non.
Ce processus peut toutefois être laborieux et chronophage. Comme le dit Ben, « cela représente pas mal de travail, mais malheureusement, c’est nécessaire. »
Passez à l'automatisation.
Selon David, « compte tenu du nombre de champs et de données qui ne se trouvent pas dans les champs dans Salesforce, il est logique de conclure que l’automatisation est inévitable à un moment ou à un autre. » Cependant, lors d’essais d’automatisation de la classification, il convient d’éviter d’adopter le point de vue classique selon lequel Salesforce n’héberge que des données structurées.
« Beaucoup de gens considèrent Salesforce comme un dépôt de données structuré, et c’est certainement le cas : il comprend des tableaux, des colonnes, des lignes, et du point de vue de la classification, les données structurées sont plus faciles à maîtriser », a-t-il déclaré.
David a néanmoins fait remarquer que Salesforce avait évolué au fil des ans. Tout en restant très structuré, l’outil de gestion de la relation client est également devenu très collaboratif, ce qui peut rendre l’identification des données à caractère personnel un peu plus compliquée.
Selon David, « un numéro de téléphone individuel n’est peut-être pas considéré en soi comme une donnée à caractère personnel dans le cadre de certaines de ces réglementations, mais si on y ajoute d’autres informations telles qu’une adresse ou un nom, cela change tout. » Ainsi, si l’on cherche à automatiser la classification dans Salesforce en procédant avec un état d’esprit structuré, champ par champ, le risque est de manquer les données sensibles situées là où elles ne devraient pas.
Réduire votre surface d’exposition.
Une fois que vous aurez déterminé quelles informations sont stockées dans Salesforce et que vous aurez clarifié si ces informations sont vraiment sensibles, vous pourrez prendre les mesures nécessaires pour remédier aux risques.
Selon David, si vous trouvez des données surexposées, vous avez plusieurs options :
- Verrouiller les données : corrigez les paramètres par défaut à l’échelle de l’organisation et les règles de partage générales telles que « Tout lire », « Tout modifier » et « Exporter les rapports ».
- Bloquez l'accès aux données. Chiffrez, masquez ou tokénisez les informations.
- Déplacez les données. Limitez les droits d'exportation sur ces types d'enregistrements.
Une fois que vous pouvez visualiser votre surface d’exposition (c-à-d où sont les données sensibles, où elles sont exposées et qui les utilise), vous pouvez commencer à la réduire et à la gérer à l’avenir.
Protégez vos données Salesforce sensibles grâce à Varonis.
Avec ses rôles complexes, ses ensembles d’autorisations et ses configurations applicables à toute l’entreprise, Salesforce rend quasiment impossible l’identification des utilisateurs susceptibles de faire le plus de dégâts. Varonis vous donne une vue complète de l’accès réel de chaque utilisateur Salesforce afin que vous puissiez facilement ajuster les autorisations et déployer un modèle de moindre privilège, garantissant la conformité en limitant l’accès aux données sensibles aux personnes autorisées.
En savoir plus
Regardez l’intégralité de la discussion pour découvrir comment protéger vos données sensibles dans Salesforce. Et, pendant que vous y êtes, inscrivez-vous pour connaître les dates de nos futurs webcasts.
Megan Garza
Megan est rédactrice de contenu pour Varonis et une fervente adepte de tout ce qui concerne le style AP. Quand Megan n'est pas en train de débattre pour savoir si "cybersécurité" devrait être un ou deux mots, elle aime voyager avec son mari et chouchouter leur pitbull, Bear.
Comment traiter les données sensibles dans Salesforce : guide de classification des données
Contents
Salesforce héberge d’énormes quantités de données client, et la protection de ces données est au cœur des bonnes pratiques de l’entreprise. Avec des données à caractère personnel (PII), des données personnelles à caractère bancaire (PCI), des listes de clients et plus encore stockées dans Salesforce, il n’a jamais été aussi important de sécuriser et de classer vos données sensibles.
Ben McCarthy, fondateur de Salesforce et David Gibson, vice-président senior des programmes stratégiques de Varonis, ont organisé une session dédiée à la protection de l’environnement Salesforce. Ils ont partagé les bonnes pratiques en matière de gestion des données sensibles au sein de plusieurs organisations Salesforce, comment configurer la classification des données à l’aide des fonctionnalités natives de Salesforce et comment Varonis peut vous aider à trouver vos données sensibles et à identifier les personnes autorisées à y accéder, le tout en quelques clics.
Obtenez une évaluation gratuite des risques liés aux données
Points à retenir
Le type de données trouvé dans Salesforce peut ne pas correspondre à ce que vous attendiez. Lorsque vous parcourez votre organisation Salesforce, certains types de données sensibles sont susceptibles de s’afficher : données à caractère personnel, données personnelles à caractère bancaire, listes de clients, informations sur les tarifs, etc.
Cependant, vous pourriez avoir quelques surprises de taille. Selon David, « chaque fois que des utilisateurs finaux sont impliqués, vos certitudes risquent d’être bousculées, parce que les données sensibles se retrouveront là où elles sont censées être, mais aussi là où vous ne vous y attendez peut-être pas ».
La façon la plus courante de retrouver ces informations dans Salesforce est par le biais d'intégrations, selon Ben.
D’après Ben, « si vous disposez de la fonctionnalité permettant à quiconque d’envoyer une pièce jointe, celle-ci sera également jointe au dossier. Les utilisateurs peuvent vous envoyer absolument n’importe quoi, et tout cela sera stocké dans Salesforce. »
Cela peut inclure des informations sensibles telles que des dossiers médicaux, des pièces jointes à des contrats, des documents juridiques ou même des clés API.
« Si vous utilisez correctement Salesforce, il sera au cœur de votre entreprise, a-t-il déclaré. Les informations provenant de différents systèmes vont naturellement se retrouver dans Salesforce. »
Protection et localisation des données
Avant de pouvoir protéger les données sensibles, vous devez d’abord les localiser. Fin 2020, Salesforce a mis en place une fonctionnalité de classification des données qui vous permet de configurer les niveaux de sensibilité, de personnaliser les catégories de conformité et de créer des rapports, en créant une image des informations stockées et de leur caractère sensible ou non.
Ce processus peut toutefois être laborieux et chronophage. Comme le dit Ben, « cela représente pas mal de travail, mais malheureusement, c’est nécessaire. »
Passez à l'automatisation.
Selon David, « compte tenu du nombre de champs et de données qui ne se trouvent pas dans les champs dans Salesforce, il est logique de conclure que l’automatisation est inévitable à un moment ou à un autre. » Cependant, lors d’essais d’automatisation de la classification, il convient d’éviter d’adopter le point de vue classique selon lequel Salesforce n’héberge que des données structurées.
« Beaucoup de gens considèrent Salesforce comme un dépôt de données structuré, et c’est certainement le cas : il comprend des tableaux, des colonnes, des lignes, et du point de vue de la classification, les données structurées sont plus faciles à maîtriser », a-t-il déclaré.
David a néanmoins fait remarquer que Salesforce avait évolué au fil des ans. Tout en restant très structuré, l’outil de gestion de la relation client est également devenu très collaboratif, ce qui peut rendre l’identification des données à caractère personnel un peu plus compliquée.
Selon David, « un numéro de téléphone individuel n’est peut-être pas considéré en soi comme une donnée à caractère personnel dans le cadre de certaines de ces réglementations, mais si on y ajoute d’autres informations telles qu’une adresse ou un nom, cela change tout. » Ainsi, si l’on cherche à automatiser la classification dans Salesforce en procédant avec un état d’esprit structuré, champ par champ, le risque est de manquer les données sensibles situées là où elles ne devraient pas.
Réduire votre surface d’exposition.
Une fois que vous aurez déterminé quelles informations sont stockées dans Salesforce et que vous aurez clarifié si ces informations sont vraiment sensibles, vous pourrez prendre les mesures nécessaires pour remédier aux risques.
Selon David, si vous trouvez des données surexposées, vous avez plusieurs options :
Protégez vos données Salesforce sensibles grâce à Varonis.
Avec ses rôles complexes, ses ensembles d’autorisations et ses configurations applicables à toute l’entreprise, Salesforce rend quasiment impossible l’identification des utilisateurs susceptibles de faire le plus de dégâts. Varonis vous donne une vue complète de l’accès réel de chaque utilisateur Salesforce afin que vous puissiez facilement ajuster les autorisations et déployer un modèle de moindre privilège, garantissant la conformité en limitant l’accès aux données sensibles aux personnes autorisées.
En savoir plus
Regardez l’intégralité de la discussion pour découvrir comment protéger vos données sensibles dans Salesforce. Et, pendant que vous y êtes, inscrivez-vous pour connaître les dates de nos futurs webcasts.
What should I do now?
Below are three ways you can continue your journey to reduce data risk at your company:
Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.
See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.
Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.
Try Varonis free.
Deploys in minutes.
Keep reading
Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.