Salesforce héberge souvent les données les plus sensibles de votre entreprise, et bien que l'outil CRM fasse le gros du travail pour assurer la sécurité de vos informations, les entreprises oublient souvent que lutter contre les cybermenaces est une responsabilité partagée. Les équipes de sécurité internes et les administrateurs Salesforce sont également responsables de la protection des données de l'entreprise. Cela implique de connaître les utilisateurs qui bénéficient d'un accès aux données, de savoir comment ils y accèdent et de surveiller en permanence leur consultation et les activités associées.
À mesure que les menaces évoluent, il est important de savoir quels sont les risques de sécurité les plus préoccupants aujourd'hui.
Ryan O’Boyle, responsable de l’architecture et des opérations cloud chez Varonis, et Christine Marshall, directrice de la communauté et des formations chez Salesforce Ben, ont dévoilé les plus grands risques de sécurité qui pèsent sur votre organisation Salesforce et partagé des informations sur la façon dont les entreprises peuvent protéger leurs données sensibles.
Voici les risques les plus préoccupants qu'ils ont identifiés :
- Exposition des données résultant de modèles d'autorisation complexes
- Données sensibles qui se trouvent là où elles ne devraient pas
- Connexions API qui divulguent des informations
- Erreurs de configuration susceptibles d'exposer des données publiquement
- Déconnexion entre les administrateurs Salesforce et leurs équipes de sécurité (DSI, etc.)
Dans cet article, nous verrons comment les professionnels et les équipes de sécurité Salesforce peuvent lutter contre les risques les plus préoccupants dans les environnements Salesforce.
Nettoyer les profils et les ensembles d'autorisations.
Les utilisateurs de Salesforce le disent eux-mêmes : la gestion des profils au sein de l’application peut être très compliquée. Pour améliorer l’expérience, Salesforce prévoit de supprimer les autorisations sur les profils d’ici 2026.
Vous préparer à ce changement dès maintenant vous donnera la garantie que votre environnement Salesforce est configuré comme il faut, et que vos données seront bien protégées quand ces modifications seront effectives.
Ryan conseille de commencer par un état des lieux des autorisations qui existent au sein de vos profils et de comprendre les autorisations dont bénéficient les utilisateurs, en convertissant les autorisations nécessaires en groupes d’autorisations, puis en nettoyant les profils obsolètes et non utilisés.
Varonis simplifie l’analyse des autorisations, en vous montrant non seulement quelles sont les autorisations effectives d’une personne, mais également comment elle les a obtenues, jusqu’au niveau de l’objet et du champ. Dans cet exemple, Melissa Donovan peut exporter des rapports en raison des autorisations de son profil Account Executive.
« L’objectif à long terme est de renforcer la sécurité et d’améliorer la convivialité. Un modèle d’autorisation plus consolidé permettra aux entreprises d’adopter le modèle du moindre privilège et de garantir que seuls les utilisateurs concernés sont autorisés à accéder aux ensembles de données adéquats dans les zones de l’environnement appropriées », indique Ryan.
Selon Christine, il est grand temps de passer en revue toute la documentation, si elle est disponible, pour savoir pourquoi certaines autorisations existent, lorsque vous auditez vos processus. En prenant les devants, vous limitez la dette technique de votre environnement Salesforce.
Lire un autre article : 10 conseils pour rembourser votre dette technique Salesforce
« Déterminez pourquoi vous avez certains profils et à quoi ils servent, puis analysez-les en profondeur et voyez ce qui peut être transféré dans des ensembles d’autorisations, voyez si vous avez des profils en doublon ou inutilisés et pourquoi telle ou telle configuration existe. Commencez par effectuer cette reconnaissance maintenant, car cela vous simplifiera la vie plus tard », explique-t-elle.
Risques liés aux applications tierces
Les applications tierces connectées à votre environnement Salesforce constituent un autre domaine que les équipes de sécurité et les administrateurs doivent analyser et auditer.
Que cela implique un environnement sandbox ou l’ajout d’une intégration, les applications tierces sont souvent connectées à une organisation Salesforce sans supervision de l’équipe de sécurité, ce qui entraîne un manque de communication et de visibilité sur les applications connectées, les utilisateurs des applications et l’accès que ces applications pourraient avoir à vos informations.
Nous mettons en œuvre d’excellentes politiques de sécurité concernant nos appareils personnels. Malheureusement, nous oublions parfois de les mettre en œuvre également dans les environnements de nos entreprises.
Dans le cadre de son rôle chez Salesforce Ben, Christine a vu des administrateurs accorder un accès de niveau administrateur système à des applications tierces, leur octroyant un vaste accès à votre organisation Salesforce et à ses données.
Ryan et Christine recommandent aux équipes de sécurité et aux administrateurs Salesforce de collaborer pour auditer leur inventaire d’applications tierces existantes, réévaluer les accès qu’elles requièrent et supprimer les applications qui ne sont plus utilisées.
Elle ajoute que la plupart des utilisateurs de Salesforce n’ont pas d’expérience en matière de sécurité et qu’il arrive qu’ils ne soient pas conscients des implications de leurs décisions.
« En tant que professionnels de Salesforce, nous devons commencer à intégrer la sécurité dans notre travail quotidien, explique Christine. Il s’agit d’appliquer les principes que vous appliquez déjà lorsque vous utilisez l’outil Health Check ou Optimizer ; nous devons également commencer à le faire pour les applications tierces. Intégrez cette évaluation et soyez proactif, car nombre de problèmes de sécurité sont gérés de manière réactive, en général quand il est déjà trop tard. »
Être proactif implique d’effectuer des évaluations sur les risques de votre environnement Salesforce au moins une fois par semaine, par mois ou par trimestre pour savoir quelles applications ont accès aux données dans l’environnement et comment elles ont obtenu cet accès.
Vérifiez quelles applications sont inactives, à haut risque ou non vérifiées. Dans cet exemple, plusieurs applications sont obsolètes et peuvent être supprimées, car elles ont accès à des données sensibles.
Localisez et supprimez les données masquées sur les sites communautaires.
Depuis quelques années, la tendance est de privilégier le numérique et de permettre aux clients d’accéder à une assistance en libre-service, ce qui a permis aux communautés Salesforce et aux Experience de gagner en popularité. Les communautés Salesforce sont un excellent moyen de partager des FAQ, des articles de référence, des documents commerciaux et marketing, et plus encore.
Cependant, le risque que ces sites communautaires exposent des données est élevé, et il est important que les organisations comprennent comment les autorisations de ces sites sont configurées du point de vue des données.
Une mauvaise configuration des autorisations peut exposer les données sur ces sites. Un utilisateur charge un fichier, ce fichier est joint à un enregistrement, qui le relie ensuite à un site communautaire, pour finir par exposer les données sensibles à l’ensemble de l’organisation, ou dans certains cas, à l’intégralité d’Internet.
Outre des autorisations mal configurées, l’équipe de Varonis a également découvert des sites communautaires qui étaient en fait désactivés d’un point de vue commercial, mais qui ne l’avaient pas été sur Salesforce. Ces communautés abandonnées, que Varonis Threat Labs a surnommées « sites fantômes », sont toujours connectées à votre environnement et aux données qu’il contient, ce qui augmente le risque qu’elles tombent entre de mauvaises mains.
Cette vulnérabilité n’est pas un bug ni un problème technique du côté de Salesforce, c’est un problème de configuration pur et simple au niveau des autorisations au sein de l’organisation elle-même : un problème qui peut être évité avec des examens de sécurité appropriés de l’organisation Salesforce.
Exposition des liens Salesforce
Certaines organisations sont habituées au partage de liens dans Microsoft 365 ou Google, mais saviez-vous que cette fonctionnalité existe également dans Salesforce ?
Ce paramètre peut être activé dans vos organisations Salesforce et permettre aux utilisateurs finaux de partager des fichiers et des pièces jointes sur les enregistrements via une URL publique.
D’excellentes mesures de sécurité peuvent être mises en place, mais la plupart des utilisateurs de Salesforce ne sont pas au courant que les paramètres de partage ont été activés et qu’ils doivent prendre d’autres mesures.
« La vérité, c’est que malheureusement, beaucoup ne se rendent même pas compte que les paramètres ont été activés dans l’environnement ou ne savent pas combien d’utilisateurs peuvent accéder à ces liens publics ou même les créer, explique Ryan. C’est une tendance importante que nous observons, et cela devrait certainement vous encourager à jeter un coup d’œil aux personnes autorisées à créer des liens publics sur Salesforce. »
Soyez proactif en matière de sécurité Salesforce.
Même si les risques couverts dans cet article peuvent être différents, une chose est certaine : les entreprises doivent y consacrer du temps et créer des process de sécurité formels pour protéger leurs environnements Salesforce.
Salesforce nous facilite grandement la tâche, mais la sécurité de nos données est notre responsabilité. Pour moi, les professionnels Salesforce doivent éduquer leurs entreprises dès maintenant sur leur rôle et ce qu’il englobe et leur rappeler que des choses doivent être mises en place.
Christine et Ryan reconnaissent tous deux que commencer par une évaluation des risques est un excellent moyen de gagner en visibilité sur les problèmes de sécurité de votre entreprise. Varonis vous propose une évaluation gratuite des risques qui vous donne des mesures concrètes pour hiérarchiser et corriger les principaux risques pour la sécurité et les problèmes de conformité dans vos données.
« Nous essayons de rendre l’évaluation des risques très simple et de vous faciliter la vie lorsque vous devez verrouiller vos données, les erreurs de configuration éventuelles et les intégrations et vous assurer que vous avez mis en place le plus haut niveau de sécurité possible, résume Ryan. C’est une méthode que vous pouvez utiliser en interne pour informer vos collaborateurs et faire gagner votre équipe en efficacité. »
Regardez la vidéo complète de l’entretien de Ryan et Christine pour en savoir plus sur les risques de sécurité de votre environnement et découvrir comment Varonis pour Salesforce peut vous aider à protéger vos données.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
-1.png)
