Blog Sécurité des données

Anatomie d’une fuite de données Salesforce : stopper l’usurpation d’identité des utilisateurs

Comment un acteur malveillant usurpe systématiquement l’identité d’utilisateurs pour exfiltrer des millions d’enregistrements Salesforce.
 

Veuillez noter que cet article a été traduit avec l'aide de l'IA et révisé par un traducteur humain.

Nolan Necoechea
3 minute de lecture
Dernière mise à jour 1 septembre 2025
Salesforce breach story

Contents

    Il est incroyablement difficile de détecter un acteur malveillant se faisant passer pour des utilisateurs dans Salesforce. Une fois qu’un acteur malveillant obtient des informations d’identification légitimes, il peut usurper l’identité des administrateurs, accéder à des données sensibles et les exfiltrer, souvent sans déclencher d’alarme. 

    En changeant d’identité utilisateur, les attaquants peuvent se fondre dans le bruit des grandes organisations. Avec des hiérarchies complexes de profils, d’ ensembles d’autorisations, de rôles et d’autorisations système, ces attaques sont difficiles à identifier et à prévenir dans Salesforce. 

    Dans cet article, nous allons décomposer une attaque d’usurpation d’identité réelle qui a conduit à l’exfiltration de millions d’enregistrements et comment vous pouvez prévenir ce type de menaces. 

    Anatomie de la fuite 

    Une grande multinationale nous a contactés après avoir découvert que des millions d’enregistrements avaient été exfiltrés de leur CRM Salesforce. Après une enquête approfondie, nous avons déterminé comment l’acteur malveillant a réussi à s’échapper sans se faire remarquer. 

    Voici comment l’intrusion s’est déroulée : 

    • Un ancien employé, familier avec l’environnement Salesforce de l’organisation, a convaincu le service d’assistance de réinitialiser son mot de passe. 
    • Une fois réinitialisé, ils ont débloqué son compte, lui rendant toutes ses autorisations précédentes. Ils ont ensuite élevé son niveau d’autorisation à celui de super administrateur.
    • Une fois qu’il eut obtenu les privilèges de super administrateur, il commença à usurper systématiquement l’identité des utilisateurs et à rechercher des données sensibles. 
    • À première vue, ces sessions semblaient routinières. Sans examen minutieux, elles ressemblaient à des activités de support informatique habituel, mais leur fréquence et leur calendrier ont suscité des inquiétudes lors de notre évaluation des risques. 
    • Enfin, l’attaquant a utilisé une application tierce non sécurisée pour exfiltrer des millions d’enregistrements sans être détecté. 

    Diagnostic des risques de données Salesforce 

    Avec plus d’un million d’utilisateurs, cet environnement était intrinsèquement difficile à gérer, mais certains risques clés évitables ont contribué à la fuite de données.  

    Voici ce que nous avons découvert : 

    1. Comptes gelés avec des droits d'administrateur

    L’organisation possédait plus de 600 comptes super administrateur, dont beaucoup étaient gelés. Pourtant, ces comptes gelés conservaient toutes leurs autorisations. Dans Salesforce, le gel d’un compte ne supprime pas ses autorisations. S’il est réactivé, le compte retrouve tous les accès antérieurs. 

    Cela crée un risque significatif. Les acteurs malveillants comme Scattered Spider utilisent l’ingénierie sociale pour convaincre les services d’assistance de réinitialiser les mots de passe et la MFA, réactivant ainsi les comptes gelés avec des privilèges intacts. 

    2. Affectations d’applications obsolètes

    L’organisation avait des dizaines d’affectations d’applications obsolètes. Ces dernières conservent souvent les jetons OAuth et les autorisations, créant ainsi une porte dérobée permettant aux attaquants ou aux initiés malveillants d’accéder à des données sensibles et de les exfiltrer. 

    3. Données de production dans un environnement sandbox

    Le problème le plus alarmant est peut-être que les données de production de cette organisation étaient synchronisées avec un énorme environnement sandbox. Ces derniers ne disposent généralement pas des contrôles stricts des environnements de production, ce qui crée un mélange dangereux de données sensibles et de contrôles d’accès plus faibles. 

    Automatically remediate user risk with Varonis for Salesforce.
    Learn more
    VaronisCloud@2x

    Comment empêcher l'usurpation d'identité des utilisateurs dans Salesforce 

    Bien que l’usurpation d’identité soit difficile à détecter, cette fuite aurait pu être évitée. Voici comment combler les lacunes :

    Supprimer les autorisations inutilisées 

    Vérifiez et supprimez les autorisations qui ne sont plus nécessaires. Lorsque vous bloquez un compte, supprimez ses autorisations afin de réduire la surface d’attaque et de simplifier les audits. Des vérifications régulières permettent d’appliquer le principe du moindre privilège.

    Révoquer les affectations d’applications obsolètes 

    Auditez l’accès aux applications tierces et supprimez les attributions qui ne sont plus pertinentes. Cela élimine les expositions inutiles et réduit le risque d’exfiltration de données via des intégrations oubliées.

    Séparer les données de production et sandbox 

    Les bonnes pratiques recommandent de ne pas synchroniser les données de production dans les environnements sandbox. Veuillez isoler les environnements afin d’éviter toute exposition accidentelle et de maintenir des contrôles d’accès plus stricts.

    Comment Varonis peut vous aider 

    La recommandation ci-dessus peut être difficile à mettre en œuvre, en particulier dans une grande organisation. Varonis fournit la solution de sécurité Salesforce la plus complète disponible pour éliminer les risques et détecter les menaces grâce à des correctifs automatisés afin de garantir la sécurité et la détection des menaces à l’échelle.

    Adapter au mieux les autorisations accordées 

    Varonis vous montre les autorisations effectives de chaque utilisateur et comment il les a obtenues grâce à la remédiation automatique, comme la suppression des autorisations des comptes gelés ou obsolètes. 

    Gérer les risques liés aux applications tierces 

    Varonis détecte toutes les applications tierces connectées, évalue leur risque et surveille leur activité. Il peut supprimer automatiquement les connexions d’applications non autorisées ou inutilisées.

    Détecter les activités anormales 

    Varonis surveille de manière proactive Salesforce et votre ensemble de données pour détecter les comportements suspects, notamment l’escalade des privilèges, l’accès massif aux objets et l’exfiltration de données. Varonis met en corrélation les identités entre les applications pour détecter des menaces, telles que la connexion d’un utilisateur via Okta, l’accès à Salesforce ou l’envoi de données par e-mail sur un compte personnel. 

    Essayez Varonis pour Salesforce 

    Pour protéger vos données sensibles, vous devez savoir où elles se trouvent, qui peut y accéder et ce qu’ils en font. Seul Varonis rassemble toutes ces informations sur une plateforme centralisée.

    Varonis protège Salesforce et vos autres applications SaaS, ainsi que les données cloud et sur site. 

    Souhaitez-vous découvrir quels risques se cachent dans votre environnement Salesforce ? Démarrez une évaluation gratuite des risques sur vos données dès aujourd’hui. 

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    Nolan Necoechea
    Nolan Necoechea Nolan Necoechea is a product marketing strategist at Varonis. He has spent more than a decade working with data and AI innovators.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    varonis-annonce-un-partenariat-stratégique-avec-microsoft-pour-aider-à-sécuriser-l’avenir-de-l’ia
    Varonis annonce un partenariat stratégique avec Microsoft pour aider à sécuriser l’avenir de l’IA
    varonis-annonce-un-partenariat-stratégique-avec-microsoft-pour-aider-à-sécuriser-l’avenir-de-l’ia
    Yaki Faitelson
    18 août 2025
    Les entreprises s’associent pour offrir une sécurité, une gouvernance et une conformité évolutives des données à l’ère de l’IA
    guide-de-la-sécurité-des-données-de-l’ia :-pourquoi-elle-est-importante-et-comment-la-mettre-en-œuvre-correctement
    Guide de la sécurité des données de l’IA : pourquoi elle est importante et comment la mettre en œuvre correctement
    guide-de-la-sécurité-des-données-de-l’ia :-pourquoi-elle-est-importante-et-comment-la-mettre-en-œuvre-correctement
    Lexi Croisdale
    11 juillet 2025
    Découvrez ce que signifie réellement la sécurité des données de l’IA, pourquoi elle est importante et comment protéger les données sensibles utilisées par les systèmes et les flux de travail d’IA ou qui y sont exposées.
    risques-cachés-de-la-shadow-ai
    Risques cachés de la shadow AI
    risques-cachés-de-la-shadow-ai
    Jonathan Villa
    11 juillet 2025
    Parce que les employés adoptent des outils d’IA non autorisés, la shadow AI est en plein essor. Découvrez les risques qu’elle pose à la sécurité et à la conformité, et comment la gérer de manière responsable.