Les plus grands risques de sécurité pour votre organisation Salesforce

Découvrez comment les professionnels Salesforce et les équipes de sécurité peuvent lutter contre les risques les plus préoccupants dans leurs environnements.
Lexi Croisdale
6 minute de lecture
Dernière mise à jour 23 février 2024
Salesforce recueillant des données

Salesforce héberge souvent les données les plus sensibles de votre entreprise, et bien que l'outil CRM fasse le gros du travail pour assurer la sécurité de vos informations, les entreprises oublient souvent que lutter contre les cybermenaces est une responsabilité partagée. Les équipes de sécurité internes et les administrateurs Salesforce sont également responsables de la protection des données de l'entreprise. Cela implique de connaître les utilisateurs qui bénéficient d'un accès aux données, de savoir comment ils y accèdent et de surveiller en permanence leur consultation et les activités associées.  

À mesure que les menaces évoluent, il est important de savoir quels sont les risques de sécurité les plus préoccupants aujourd'hui.  

Ryan O’Boyle, responsable de l’architecture et des opérations cloud chez Varonis, et Christine Marshall, directrice de la communauté et des formations chez Salesforce Ben, ont dévoilé les plus grands risques de sécurité qui pèsent sur votre organisation Salesforce et partagé des informations sur la façon dont les entreprises peuvent protéger leurs données sensibles.  

Voici les risques les plus préoccupants qu'ils ont identifiés :  

  • Exposition des données résultant de modèles d'autorisation complexes 
  • Données sensibles qui se trouvent là où elles ne devraient pas  
  • Connexions API qui divulguent des informations  
  • Erreurs de configuration susceptibles d'exposer des données publiquement 
  • Déconnexion entre les administrateurs Salesforce et leurs équipes de sécurité (DSI, etc.) 

Dans cet article, nous verrons comment les professionnels et les équipes de sécurité Salesforce peuvent lutter contre les risques les plus préoccupants dans les environnements Salesforce.   

L'évaluation des risques liés à vos données la plus élaborée. Gratuitement.
Commencez

Nettoyer les profils et les ensembles d'autorisations. 

Les utilisateurs de Salesforce le disent eux-mêmes : la gestion des profils au sein de l’application peut être très compliquée. Pour améliorer l’expérience, Salesforce prévoit de supprimer les autorisations sur les profils d’ici 2026.  

Vous préparer à ce changement dès maintenant vous donnera la garantie que votre environnement Salesforce est configuré comme il faut, et que vos données seront bien protégées quand ces modifications seront effectives.   

Ryan conseille de commencer par un état des lieux des autorisations qui existent au sein de vos profils et de comprendre les autorisations dont bénéficient les utilisateurs, en convertissant les autorisations nécessaires en groupes d’autorisations, puis en nettoyant les profils obsolètes et non utilisés.  

permissions-SFBEN-webinarVaronis simplifie l’analyse des autorisations, en vous montrant non seulement quelles sont les autorisations effectives d’une personne, mais également comment elle les a obtenues, jusqu’au niveau de l’objet et du champ. Dans cet exemple, Melissa Donovan peut exporter des rapports en raison des autorisations de son profil Account Executive.

« L’objectif à long terme est de renforcer la sécurité et d’améliorer la convivialité. Un modèle d’autorisation plus consolidé permettra aux entreprises d’adopter le modèle du moindre privilège et de garantir que seuls les utilisateurs concernés sont autorisés à accéder aux ensembles de données adéquats dans les zones de l’environnement appropriées », indique Ryan.   

Selon Christine, il est grand temps de passer en revue toute la documentation, si elle est disponible, pour savoir pourquoi certaines autorisations existent, lorsque vous auditez vos processus. En prenant les devants, vous limitez la dette technique de votre environnement Salesforce. 

Lire un autre article : 10 conseils pour rembourser votre dette technique Salesforce 

« Déterminez pourquoi vous avez certains profils et à quoi ils servent, puis analysez-les en profondeur et voyez ce qui peut être transféré dans des ensembles d’autorisations, voyez si vous avez des profils en doublon ou inutilisés et pourquoi telle ou telle configuration existe. Commencez par effectuer cette reconnaissance maintenant, car cela vous simplifiera la vie plus tard », explique-t-elle. 

Risques liés aux applications tierces 

Les applications tierces connectées à votre environnement Salesforce constituent un autre domaine que les équipes de sécurité et les administrateurs doivent analyser et auditer.  

Que cela implique un environnement sandbox ou l’ajout d’une intégration, les applications tierces sont souvent connectées à une organisation Salesforce sans supervision de l’équipe de sécurité, ce qui entraîne un manque de communication et de visibilité sur les applications connectées, les utilisateurs des applications et l’accès que ces applications pourraient avoir à vos informations. 

Nous mettons en œuvre d’excellentes politiques de sécurité concernant nos appareils personnels. Malheureusement, nous oublions parfois de les mettre en œuvre également dans les environnements de nos entreprises.
Ryan O'Boyle, responsable senior du service Architecture cloud et opérations chez Varonis

Dans le cadre de son rôle chez Salesforce Ben, Christine a vu des administrateurs accorder un accès de niveau administrateur système à des applications tierces, leur octroyant un vaste accès à votre organisation Salesforce et à ses données. 

Ryan et Christine recommandent aux équipes de sécurité et aux administrateurs Salesforce de collaborer pour auditer leur inventaire d’applications tierces existantes, réévaluer les accès qu’elles requièrent et supprimer les applications qui ne sont plus utilisées.  

Elle ajoute que la plupart des utilisateurs de Salesforce n’ont pas d’expérience en matière de sécurité et qu’il arrive qu’ils ne soient pas conscients des implications de leurs décisions. 

« En tant que professionnels de Salesforce, nous devons commencer à intégrer la sécurité dans notre travail quotidien, explique Christine. Il s’agit d’appliquer les principes que vous appliquez déjà lorsque vous utilisez l’outil Health Check ou Optimizer ; nous devons également commencer à le faire pour les applications tierces. Intégrez cette évaluation et soyez proactif, car nombre de problèmes de sécurité sont gérés de manière réactive, en général quand il est déjà trop tard. » 

Être proactif implique d’effectuer des évaluations sur les risques de votre environnement Salesforce au moins une fois par semaine, par mois ou par trimestre pour savoir quelles applications ont accès aux données dans l’environnement et comment elles ont obtenu cet accès. 

permissions-SFBEN-webinar

Vérifiez quelles applications sont inactives, à haut risque ou non vérifiées. Dans cet exemple, plusieurs applications sont obsolètes et peuvent être supprimées, car elles ont accès à des données sensibles.

Localisez et supprimez les données masquées sur les sites communautaires. 

Depuis quelques années, la tendance est de privilégier le numérique et de permettre aux clients d’accéder à une assistance en libre-service, ce qui a permis aux communautés Salesforce et aux Experience de gagner en popularité. Les communautés Salesforce sont un excellent moyen de partager des FAQ, des articles de référence, des documents commerciaux et marketing, et plus encore.  

Cependant, le risque que ces sites communautaires exposent des données est élevé, et il est important que les organisations comprennent comment les autorisations de ces sites sont configurées du point de vue des données. 

Une mauvaise configuration des autorisations peut exposer les données sur ces sites. Un utilisateur charge un fichier, ce fichier est joint à un enregistrement, qui le relie ensuite à un site communautaire, pour finir par exposer les données sensibles à l’ensemble de l’organisation, ou dans certains cas, à l’intégralité d’Internet. 

Outre des autorisations mal configurées, l’équipe de Varonis a également découvert des sites communautaires qui étaient en fait désactivés d’un point de vue commercial, mais qui ne l’avaient pas été sur Salesforce. Ces communautés abandonnées, que Varonis Threat Labs a surnommées « sites fantômes », sont toujours connectées à votre environnement et aux données qu’il contient, ce qui augmente le risque qu’elles tombent entre de mauvaises mains. 

Cette vulnérabilité n’est pas un bug ni un problème technique du côté de Salesforce, c’est un problème de configuration pur et simple au niveau des autorisations au sein de l’organisation elle-même : un problème qui peut être évité avec des examens de sécurité appropriés de l’organisation Salesforce.  

Exposition des liens Salesforce 

Certaines organisations sont habituées au partage de liens dans Microsoft 365 ou Google, mais saviez-vous que cette fonctionnalité existe également dans Salesforce ?  

Ce paramètre peut être activé dans vos organisations Salesforce et permettre aux utilisateurs finaux de partager des fichiers et des pièces jointes sur les enregistrements via une URL publique.  

D’excellentes mesures de sécurité peuvent être mises en place, mais la plupart des utilisateurs de Salesforce ne sont pas au courant que les paramètres de partage ont été activés et qu’ils doivent prendre d’autres mesures. 

« La vérité, c’est que malheureusement, beaucoup ne se rendent même pas compte que les paramètres ont été activés dans l’environnement ou ne savent pas combien d’utilisateurs peuvent accéder à ces liens publics ou même les créer, explique Ryan. C’est une tendance importante que nous observons, et cela devrait certainement vous encourager à jeter un coup d’œil aux personnes autorisées à créer des liens publics sur Salesforce. » 

Soyez proactif en matière de sécurité Salesforce.  

Même si les risques couverts dans cet article peuvent être différents, une chose est certaine : les entreprises doivent y consacrer du temps et créer des process de sécurité formels pour protéger leurs environnements Salesforce. 

Salesforce nous facilite grandement la tâche, mais la sécurité de nos données est notre responsabilité. Pour moi, les professionnels Salesforce doivent éduquer leurs entreprises dès maintenant sur leur rôle et ce qu’il englobe et leur rappeler que des choses doivent être mises en place.
Christine Marshall, responsable des cours et de la communauté chez Salesforce Ben

Christine et Ryan reconnaissent tous deux que commencer par une évaluation des risques est un excellent moyen de gagner en visibilité sur les problèmes de sécurité de votre entreprise. Varonis vous propose une évaluation gratuite des risques qui vous donne des mesures concrètes pour hiérarchiser et corriger les principaux risques pour la sécurité et les problèmes de conformité dans vos données.  

« Nous essayons de rendre l’évaluation des risques très simple et de vous faciliter la vie lorsque vous devez verrouiller vos données, les erreurs de configuration éventuelles et les intégrations et vous assurer que vous avez mis en place le plus haut niveau de sécurité possible, résume Ryan. C’est une méthode que vous pouvez utiliser en interne pour informer vos collaborateurs et faire gagner votre équipe en efficacité. » 

Regardez la vidéo complète de l’entretien de Ryan et Christine pour en savoir plus sur les risques de sécurité de votre environnement et découvrir comment Varonis pour Salesforce peut vous aider à protéger vos données. 

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

10 conseils-pour-rembourser-votre-dette-technique-salesforce
10 conseils pour rembourser votre dette technique Salesforce
Découvrez les bonnes pratiques pour gérer et analyser les autorisations dans Salesforce et comment la recherche de solutions rapides peut compromettre les données de votre entreprise.
la-feuille-de-route-en-matière-de-sécurité-des-données-que-nous-avons-utilisée-avec-plus-de-7 000 dsi
La feuille de route en matière de sécurité des données que nous avons utilisée avec plus de 7 000 DSI
Découvrez la feuille de route en matière de sécurité des données de Varonis qui a aidé plus de 7 000 DSI à se conformer aux réglementations et à protéger leurs données les plus précieuses.
les-avantages-des-rapports-sur-les-menaces-et-les-fuites-de-données
Les avantages des rapports sur les menaces et les fuites de données
Les rapports sur les menaces et les fuites de données peuvent aider les entreprises à gérer les risques de sécurité et à déployer des stratégies d’atténuation. Découvrez nos trois piliers d’une protection efficace des données et les avantages de ces rapports.
gestion-de-la-posture-de-sécurité-des-données-(dspm) :-guide-des-bonnes-pratiques-à-l’intention-des-dsi
Gestion de la posture de sécurité des données (DSPM) : Guide des bonnes pratiques à l’intention des DSI
Maîtrisez les meilleures pratiques de gestion de la posture de sécurité des données (DSPM) avec notre guide destiné aux DSI. Apprenez à sélectionner le bon outil, à rester conforme et à empêcher les fuites de données.