Ce texte a été traduit en utilisant le système de traduction automatisé de Salesforce. Répondez à notre sondage pour nous faire part de vos commentaires sur ce contenu et nous dire ce que vous aimeriez voir ensuite.
Sécurisé - Sécurité de la session
En savoir plus sur Approuvé bien archivé → Sécurisé → Sécurité de session → Accès à l'appareil
| Où chercher ? Domaine de produit | Emplacement | À quoi ressemble le bien ? Modèle |
|---|---|
| Plate-forme | Documentation | ✅ Les agents de sécurité sont clairement mappés avec les utilisations et les stratégies appropriées de l'appareil |
| Plate-forme | Documentation | ✅ Stratégies de l'appareil sont claires et découvrables |
| Plate-forme | Organisation | ✅ La configuration de l'application mobile connectée Salesforce nécessite le déverrouillage du code PIN/passcode après l'inactivité |
| Plate-forme | Organisation | ✅ Si les besoins métiers nécessitent un contrôle strict des utilisateurs qui peuvent accéder à Salesforce Mobile, le Contrôle d'accès API est activé et des ensembles d'autorisations sont attribués à tous les utilisateurs des applications mobiles Salesforce. |
En savoir plus sur Confiance bien archivée → Sécurisé → Sécurité des sessions → Gestion des sessions
| Où chercher ? Domaine de produit | Emplacement | À quoi ressemble le bien ? Modèle |
|---|---|
| Plate-forme | Apex | ✅ Si des flux de connexion personnalisés existent, tous les codes personnalisés associés utilisent les méthodes SessionManagement appropriées pour attribuer la sécurité au niveau de la session |
| Plate-forme | Aura | ✅ Si des flux de connexion personnalisés existent, utilisez un contrôleur Apex avec les méthodes de SessionManagement nécessaires pour attribuer la sécurité au niveau de la session |
| Plate-forme | Normes de conception | ✅ Les personnes de sécurité répertorient clairement les types de session approuvés et les paramètres d'expiration/durée pour chaque personne |
| Plate-forme | Normes de conception | ✅ Des normes sont définies pour les activités qui nécessitent une sécurité au niveau de la session élevée |
| Plate-forme | Normes de conception | ✅ Les normes sont définies pour les activités qui nécessitent des autorisations élevées pour être attribuées |
| Plate-forme | Normes de conception | ✅ Les stratégies de gestion de l'étendue et des jetons de l'application connectée sont claires et accessibles |
| Plate-forme | Documentation | ✅ Les stratégies de gestion de l'étendue et des jetons de l'application connectée sont claires et accessibles |
| Plate-forme | Documentation | ✅ Les heures de connexion ont été spécifiées (ou identifiées comme non nécessaires) |
| Plate-forme | Composants Web Lightning (LWC) | ✅ Si des flux de connexion personnalisés existent, utilisez un contrôleur Apex avec les méthodes de SessionManagement nécessaires pour attribuer la sécurité au niveau de la session |
| Plate-forme | Organisation | ✅ Si les utilisateurs accèdent à Salesforce depuis un pare-feu, le pare-feu utilise une liste d'autorisations de domaines requis au lieu d'adresses IP pour sécuriser les communications vers/depuis Salesforce |
| Plate-forme | Organisation | ✅ Les intervalles d'expiration de session inactifs ne dépassent pas le délai par défaut (2 heures) |
| Plate-forme | Organisation | ✅ Tous les paramètres suivants sont activés : -Protection contre le détournement de clics pour les pages de Configuration -Protection contre le détournement de clics pour les pages Salesforce non configurées -Protection contre la falsification de requête inter-site (CSRF) -Protection contre les scripts inter-site (XSS) -Activer la protection contre le reniflage de contenu -Protection contre les URL de référent -Avertir les utilisateurs avant qu'ils ne soient redirigés hors de Salesforce |
| Plate-forme | Organisation | ✅ Les audits de session montrent que les utilisateurs accèdent à Salesforce uniquement via les types de session attendus |
| Plate-forme | Organisation | ✅ Il existe un ensemble d'autorisations clair et actif pour l'accès « Utilisateur API uniquement » (avec l'ensemble d'autorisations « API uniquement » défini sur TRUE) et tous les utilisateurs d'intégration et automatisés sont attribués |
En savoir plus sur Confiance bien archivée → Sécurisé → Sécurité de session → Détection et réponse aux menaces
| Où chercher ? Domaine de produit | Emplacement | À quoi ressemble le bien ? Modèle |
|---|---|
| Einstein | Agents | ✅ Les journaux d'événements de l'agent contiennent des données de conversation Activez le paramètre des journaux d'événements enrichis, sauf en cas de raison critique pour laquelle les données de conversation doivent être masquées |
| Einstein | Couche de Trust Einstein | ✅ Les fonctionnalités d'IA générative sont régulièrement auditées Les données d'audit d'IA générative Einstein sont activées depuis la page de configuration Commentaires Einstein. Les conversations IA génératives, y compris l'invite et sa réponse, sont régulièrement auditées et révisées |
| Plate-forme | Société | ✅ Données d'audit disponibles dans les rapports que les parties prenantes peuvent comprendre et accéder |
| Plate-forme | Société | ✅ Examen régulier de l'historique et des rapports d'audit |
| Plate-forme | Documentation | ✅ Toutes les réponses automatisées sont clairement documentées |
| Plate-forme | Documentation | ✅ Les étapes de révision des journaux disponibles dans Salesforce sont documentées |
| Plate-forme | Documentation | ✅ Les niveaux d'audit ont été spécifiés pour tous les objets de votre modèle de données |
| Plate-forme | Documentation | ✅ Les stratégies de sécurité contiennent une liste d'événements qui doivent déclencher une réponse avec le type de réponse approprié |
| Plate-forme | Organisation | ✅ Des automatisations sont en place pour répondre aux menaces en désactivant les comptes utilisateur ou en bloquant l'accès aux ressources en temps réel si une utilisation anormale est détectée |
| Plate-forme | Organisation | ✅ Les notifications et les alertes sont configurées pour notifier les utilisateurs appropriés en cas d'activité anormale |
| Plate-forme | Organisation | ✅ Le suivi Historique des champs est activé pour tous les champs contenant des données privées ou confidentielles |
En savoir plus sur Approuvé bien archivé → Sécurisé → Sécurité de session → Accès à l'appareil
| Où chercher ? Domaine de produit | Emplacement | Qu'éviter ? Anti-Pattern |
|---|---|
| Plate-forme | Documentation | ⚠️ Les stratégies de sécurité n’existent pas ou ne contiennent pas d’informations sur l’accès aux appareils |
| Plate-forme | Organisation | ⚠️ L’application mobile connectée Salesforce n’est pas configurée pour demander le déverrouillage du code PIN/passcode en cas d’inactivité |
| Plate-forme | Organisation | ⚠️ Les besoins métiers nécessitent un contrôle strict des utilisateurs qui peuvent accéder à Salesforce mobile, mais le Contrôle d'accès API n'est pas activé ou des ensembles d'autorisations ne sont pas utilisés pour contrôler l'accès aux applications mobiles Salesforce |
En savoir plus sur Confiance bien archivée → Sécurisé → Sécurité des sessions → Gestion des sessions
| Où chercher ? Domaine de produit | Emplacement | Qu'éviter ? Anti-Pattern |
|---|---|
| Plate-forme | Apex | ⚠️ Si des flux de connexion personnalisés existent, il n’y a aucune logique pour attribuer la sécurité au niveau de la session |
| Plate-forme | Aura | ⚠️ Si des flux de connexion personnalisés existent, il n’y a aucune logique pour attribuer la sécurité au niveau de la session |
| Plate-forme | Normes de conception | ⚠️ Les normes ne sont pas définies pour les activités qui nécessitent une sécurité au niveau de la session élevée |
| Plate-forme | Normes de conception | ⚠️ Les normes ne sont pas définies pour les activités qui nécessitent des autorisations élevées pour être attribuées |
| Plate-forme | Normes de conception | ⚠️ Les stratégies de sécurité ne contiennent pas d’informations sur les étendues d’application connectée ou la gestion des jetons |
| Plate-forme | Normes de conception | ⚠️ Les personnes de sécurité n’existent pas ou manquent d’informations sur les types de session et les paramètres d’expiration/durée |
| Plate-forme | Documentation | ⚠️ Les stratégies de gestion de l’étendue et des jetons de l’application connectée ne sont pas documentées |
| Plate-forme | Composants Web Lightning (LWC) | ⚠️ Si des flux de connexion personnalisés existent, il n’y a aucune logique pour attribuer la sécurité au niveau de la session |
| Plate-forme | Organisation | ⚠️ Il n’y a pas de définition des types de session que les utilisateurs doivent avoir |
| Plate-forme | Organisation | ⚠️ Les autorisations « API uniquement » ne sont pas claires ou sont manquantes dans l'intégration et les utilisateurs automatisés |
| Plate-forme | Organisation | ⚠️ Il n’y a pas d’audit de session régulière |
| Plate-forme | Organisation | ⚠️ Si les utilisateurs accèdent à Salesforce depuis un pare-feu, le pare-feu utilise des adresses IP codées en dur pour sécuriser les communications depuis/vers Salesforce |
| Plate-forme | Organisation | ⚠️ Les intervalles d’expiration de session inactifs dépassent le délai par défaut (2 heures) |
| Plate-forme | Organisation | ⚠️ L'un des paramètres suivants est désactivé : -Protection contre le détournement de clics pour les pages de Configuration -Protection contre le détournement de clics pour les pages Salesforce hors Configuration -Protection contre la falsification de requête inter-site (CSRF) -Protection contre le script inter-site (XSS) -Activer la protection contre le reniflage de contenu -Protection contre l'URL de référent -Avertir les utilisateurs avant qu'ils ne soient redirigés hors de Salesforce |
En savoir plus sur Confiance bien archivée → Sécurisé → Sécurité de session → Détection et réponse aux menaces
| Où chercher ? Domaine de produit | Emplacement | Qu'éviter ? Anti-Pattern |
|---|---|
| Einstein | Organisation | ⚠️ Les fonctionnalités d’IA générative ne sont pas auditées Les conversations d’IA générative, y compris l’invite et sa réponse, ne sont pas régulièrement auditées et examinées |
| Plate-forme | Société | ⚠️ Les données d’audit sont disponibles uniquement via des fichiers journaux qui nécessitent une expertise en la matière pour accéder et interpréter |
| Plate-forme | Société | ⚠️ Aucun processus n’existe pour examiner les informations d’audit |
| Plate-forme | Documentation | ⚠️ Les politiques de sécurité n’existent pas ou ne contiennent pas d’informations sur la détection et l’alerte des menaces |
| Plate-forme | Documentation | ⚠️ La documentation sur les réponses automatisées n’existe pas ou n’est pas claire |
| Plate-forme | Organisation | ⚠️ Aucune automatisation n’est en place pour répondre aux menaces |
| Plate-forme | Organisation | ⚠️ Les notifications et alertes ne sont pas configurées pour notifier les utilisateurs appropriés d’une activité anormale, ou bien certaines notifications et alertes liées à une activité anormale existent, mais elles sont ponctuelles |
| Plate-forme | Organisation | ⚠️ Le suivi Historique des champs n’est pas activé de façon cohérente pour les champs contenant des données privées ou confidentielles |