Ce texte a été traduit en utilisant le système de traduction automatisé de Salesforce. Répondez à notre sondage pour nous faire part de vos commentaires sur ce contenu et nous dire ce que vous aimeriez voir ensuite.
Découvrez ici nos planifications de mise à jour.
Un système sécurisé protège les parties prenantes et les données d'une organisation. Les architectures sécurisées vérifient l'identité des utilisateurs, limitent l'accès aux données uniquement aux informations nécessaires et empêchent la compromission des données.
Salesforce priorise Customer Trust et la sécurité des données. Salesforce Platform garantit la confidentialité et la sécurité. Salesforce Trust fournit des informations en temps réel sur les performances et la sécurité du système.
La protection des données de votre organisation et de vos clients est la base de l'élaboration de solutions Salesforce sécurisées. En tant qu'architecte Salesforce, vous êtes responsable de la sécurité des données de votre organisation et de vos clients en utilisant les fonctionnalités de sécurité intégrées de Salesforce. Tenez compte de la distribution géographique, du secteur d'activité, des procédures opérationnelles de l'entreprise et des types de données clients en prenant ces décisions.
Vous pouvez renforcer la sécurité de vos solutions en vous concentrant sur trois domaines : la sécurité organisationnelle, la sécurité des sessions et la sécurité des données.
La sécurité de l'organisation protège les systèmes contre tout accès non autorisé en garantissant que seuls les utilisateurs validés et autorisés peuvent accéder à un système, et uniquement aux fonctionnalités et aux données nécessaires.
Les signes que vous avez une sécurité organisationnelle problématique comprennent :
- Processus ad hoc d'activation ou de désactivation d'utilisateurs
- Étapes imprécises de mise à jour de l'autorisation pour les changements de rôle utilisateur ou système
- S'appuyer sur la Knowledge institutionnelle des individus pour des attributions correctes en matière de sécurité des utilisateurs
- Non-conformité avec les cadres de sécurité établis ou les meilleures pratiques de l'industrie
- Absence de cadre structuré de gouvernance des données et de politiques de soutien
Vous pouvez améliorer les contrôles de sécurité organisationnels pour vos organisations Salesforce en vous concentrant sur l'authentification et l'autorisation.
L'authentification est cruciale pour la sécurité et la gestion des accès, car elle vérifie l'identité des utilisateurs qui tentent d'accéder à votre système. Cela s'applique aussi bien aux utilisateurs humains (employés, clients) qu'aux utilisateurs automatisés (systèmes externes, intégrations), chaque type d'utilisateur nécessitant des schémas d'authentification spécifiques. Pour garantir un accès sécurisé à tous les points d'entrée Salesforce de votre organisation, vous devez configurer diverses méthodes d'authentification.
Pour créer des flux d'authentification sécurisés dans Salesforce :
- Créez des utilisateurs Salesforce basés sur des individus, pas sur des personnes. Les capacités d'audit intégrées de Salesforce sont plus efficaces lorsque chaque compte utilisateur correspond à un seul individu qui accède à la plate-forme. L'utilisation de comptes utilisateur partagés compromet l'efficacité de ces audits, introduit des failles de sécurité supplémentaires, escalade l'impact potentiel des violations de compte et complique votre capacité à créer des schémas d'autorisation efficaces. Cela inclut les comptes utilisateur des utilisateurs de l'intégration.
- Scénarios d'accès basés sur l'interface utilisateur sécurisés. La plupart des utilisateurs humains ont besoin d'un accès basé sur l'interface utilisateur (souvent appelé accès à la connexion) pour une organisation Salesforce. Salesforce fournit plusieurs niveaux de protection pour ces scénarios de connexion, notamment :
- Stratégies de mot de passe. Les cybercriminels ciblent souvent les noms d'utilisateur et les mots de passe pour obtenir un accès non autorisé aux applications. Bien que la configuration de stratégies de mot de passe soit une étape fondamentale dans la protection de l'accès à la connexion, il est important de noter que cela ne suffit pas, car Salesforce autorise le remplacement de ces stratégies par utilisateur.
- Authentification multifacteur (MFA). Salesforce exige la MFA pour toutes les connexions utilisateur basées sur l'interface utilisateur. La MFA fournit une protection essentielle contre les fuites d'identifiants et les attaques par force brute en demandant aux utilisateurs de fournir une forme supplémentaire d'identification, ou facteur, après avoir saisi leur nom d'utilisateur et leur mot de passe. Ce facteur supplémentaire prend généralement une forme physique, par exemple un appareil mobile, une clé de sécurité ou un marqueur biométrique.
- Single-sign on (SSO). Dans les scénarios d'authentification unique, les utilisateurs utilisent un seul jeu d'identifiants dans les applications d'une organisation. L'accès aux systèmes est provisionné et géré à partir d'un emplacement central, ce qui renforce la sécurité. Salesforce peut agir en tant que fournisseur de services ou fournisseur d'identité dans des scénarios d'authentification unique. Assurez-vous d'autoriser certains administrateurs ou tous les administrateurs à se connecter directement à Salesforce pour leur permettre de résoudre les pannes ou les problèmes liés à votre implémentation de l'authentification unique.
- Étapes postérieures à la connexion. Pour certains cas d'utilisation, vous pouvez demander aux utilisateurs de suivre des étapes supplémentaires avant d'accéder à votre système. Des flux de connexion personnalisés peuvent être implémentés pour guider les utilisateurs à travers ces étapes de processus supplémentaires. Exemples :
- Acceptation des conditions d'utilisation
- Scénarios de découverte de la connexion et de connexion sans mot de passe
- Limitation du nombre de sessions Salesforce simultanées par utilisateur afin de réduire la probabilité d'attaques basées sur la session (consultez Sécurité de session).
- Connexion aux services de géorepérage
- Scénarios d'accès basés sur l'API sécurisés. Tout utilisateur peut demander un accès basé sur l'API pour une organisation Salesforce. Salesforce fournit plusieurs couches de protection pour les scénarios basés sur l'API, notamment :
- Contrôle d'accès API. Sans contrôle d'accès API, toute personne disposant d'un ensemble d'identifiants valides peut exploiter n'importe quelle application pour se connecter à votre organisation, même si l'application connectée n'est pas déployée dans l'organisation. Les contrôles d'accès aux données resteront en vigueur, mais les utilisateurs pourraient accéder aux informations de manière incontrôlée. Par exemple, une application peut être utilisée pour télécharger des volumes de données importants, ou même charger des informations corrompues, sans l'approbation d'un administrateur système.
- Autorisations API uniquement. Vous pouvez configurer des autorisations utilisateur API uniquement dans Salesforce. Attribuez-le dans le cadre d'un ensemble d'autorisations à tous les utilisateurs automatisés ou d'intégration pour bloquer entièrement l'accès basé sur l'interface utilisateur.
- Certificats et clés. Les certificats et clés permettent à Salesforce de valider que les demandes proviennent d'entreprises ou de sociétés autorisées. Si vous souhaitez utiliser SSO avec Salesforce, vous devez configurer des certificats et des clés.
- Applications connectées. La configuration d'applications connectées dans Salesforce permet de contrôler l'accès système externe à Salesforce, notamment les protocoles d'authentification requis, l'étendue d'autorisation et le comportement de session dans une définition unique.
- Identifiants nommés. Les identifiants nommés permettent de contrôler les points d'accès externes et les protocoles d'authentification dans une définition unique dans Salesforce. Utilisez-les pour définir et gérer en toute sécurité l'authentification des appels externes depuis Apex, des services externes et des sources de données Salesforce Connect.
- Authentification des utilisateurs Agentforce Agent. Les agents Agentforce, élaborés sur Salesforce, utilisent des objets agent-utilisateur avec des autorisations gérables de la même façon que celles des utilisateurs réels. Lors de la configuration d'un agent, adaptez soigneusement l'accès au rôle de l'agent, en limitant l'accès aux données uniquement aux éléments nécessaires pour servir les utilisateurs. Tout aussi important, les agents peuvent être configurés avec des actions publiques et privées. Pour des actions privées, validez et authentifiez les utilisateurs, en les mappant avec le contexte de l'agent. Cela permet à l'agent d'usurper l'identité de l'utilisateur et d'agir dans le cadre de ses contrôles d'accès, en maintenant la sécurité et Trust.
La liste des modèles et anti-modèles ci-dessous montre à quoi ressemble une architecture d'authentification correcte (et mauvaise) dans une organisation Salesforce. Utilisez-les pour valider vos conceptions avant de les élaborer, ou identifiez les opportunités d'amélioration.
Pour plus d'informations sur les outils d'authentification disponibles dans Salesforce, consultez Outils pertinents pour sécuriser.
L'autorisation définit les fonctionnalités, les fonctionnalités et les données auxquelles un utilisateur peut accéder, ainsi que les actions qu'il peut exécuter avec ces ressources, une fois authentifié. Les contrôles d'autorisation ne s'adressent pas uniquement aux utilisateurs humains, ils doivent également être adaptés aux Utilisateurs Agentforce, en particulier aux Agents fournissant des services à des utilisateurs finaux non authentifiés.
Bien que la limitation des utilisateurs autorisés à s'authentifier dans votre organisation soit une première étape cruciale, il est tout aussi vital de coupler une authentification forte à une autorisation robuste. Sans contrôles d'autorisation adéquats, les utilisateurs pourraient créer, modifier et supprimer des enregistrements ou accéder aux fonctionnalités du système d'une manière préjudiciable à votre activité et à vos parties prenantes. Un contrôle inadéquat des autorisations peut également rendre les systèmes plus difficiles à utiliser. En contrôlant ce que les utilisateurs peuvent faire dans le système, vous favorisez des niveaux de Trust plus élevés, en protégeant à la fois votre système et vos utilisateurs.
Pour élaborer des schémas d'autorisation sécurisés pour Salesforce :
- Suivez le principe du moindre privilège. Adoptez le principe du moindre privilège (PoLP) en attribuant aux utilisateurs uniquement les autorisations requises pour leurs tâches. Pour suivre ce principe, concevez des ensembles d'autorisations granulaires et modulaires. Cela permet des contrôles d'accès sophistiqués via des groupes d'ensembles d'autorisations, ce qui permet une gestion précise des autorisations, notamment la possibilité de mettre en sourdine, de définir des dates d'expiration, et davantage. Alignez vos unités fonctionnelles système avec les capacités métiers pour définir des autorisations précises et des groupes d'ensembles d'autorisations efficaces. Notez que les autorisations s'appliquent à l'accès aux métadonnées dans Salesforce. Pour plus d'informations sur la configuration de PoLP pour l'accès aux données Salesforce, consultez Partage et visibilité.
- Considérez l'accès des utilisateurs en termes de personnes, pas d'individus. La réflexion sur l'autorisation (ou la sécurité en général) en termes d'utilisateurs individuels ne mettra pas votre système à l'échelle et n'évoluera pas. À la place, concevez et gérez des personnes qui représentent des groupes d'utilisateurs. Les solutions Salesforce sécurisées utilisent des individus pour l'authentification et des personnes pour l'autorisation. En définissant des configurations de sécurité pour des personnes distinctes, vous contrôlez avec précision l'accès et les privilèges dans votre modèle de sécurité, ce qui réduit la nécessité de refactoriser à long terme. Insérez les personnes de sécurité que vous définissez dans vos normes et documentations de conception.
- Contrôlez l'accès des utilisateurs aux métadonnées en utilisant des ensembles d'autorisations et des groupes d'ensembles d'autorisations. Les ensembles d'autorisations et les groupes d'ensembles d'autorisations régissent les métadonnées auxquelles les utilisateurs ont accès et ce qu'ils peuvent faire avec ces métadonnées. Pour plus d'informations sur les métadonnées Salesforce, consultez Métadonnées par rapport aux données. Configurez les attributions d'applications, les activations de licences de fonctionnalité, l'accès au package géré, les autorisations système, l'accès CRUD et l'accès au niveau du champ via des ensembles d'autorisations et des groupes d'ensembles d'autorisations. Insérez cet accès dans vos normes et documentations de conception.
- Utilisez les paramètres par défaut de l'organisation (OWD) et le partage pour contrôler l'accès aux données des utilisateurs. Les données et métadonnées sont des entités distinctes dans Salesforce, qui nécessitent des contrôles d'accès distincts pour chacune d'elles. Utilisez des OWD et des outils de partage intégrés pour configurer l'accès aux données Salesforce (enregistrements individuels, fichiers et documents). Pour plus d'informations, consultez Sécurité des données.
- Utilisez des étendues OAuth pour contrôler l'accès des applications connectées. Lors de la configuration d'une application connectée, vous définissez l'étendue ou les autorisations d'accès des utilisateurs de l'application aux ressources Salesforce. Pour plus d'informations sur la gestion des jetons OAuth, consultez Gestion des sessions.
- Créez un utilisateur Salesforce pour chaque intégration. Pour respecter le principe du moindre privilège, créez un utilisateur d'intégration Salesforce unique pour chaque intégration. Vous pouvez ainsi attribuer un accès à des données spécifiques, ce qui améliore le contrôle des opérations, garantit la traçabilité des transactions et minimise l'impact des failles de sécurité potentielles.
- Implémentez des comptes uniques avec le PoLP pour tous les utilisateurs Agent. Chaque Utilisateur Agentforce doit être unique et ne pas être réutilisé entre plusieurs Agents. Les autorisations de ces comptes doivent respecter strictement le principe du moindre privilège. Notez que les actions exécutées par un utilisateur agent peuvent fonctionner dans un contexte de sécurité élevé dans Salesforce ou contre des systèmes externes qui ne respectent pas les contrôles d'accès Salesforce. Cela peut entraîner l'accès ou la divulgation d'informations confidentielles aux utilisateurs par Actions.
- Réduisez l'utilisation de profils et migrez tous les contrôles d'accès hors des profils. Les profils permettent de limiter l ' accès aux plage d ' adresses IP, aux heures de connexion et aux fonctionnalités propres à l ' interface utilisateur Salesforce Classic héritée (en particulier les types d ' enregistrement par défaut et les attributions de présentation de page). Toute autre fonctionnalité actuellement présente dans des profils doit être migrée vers une fonctionnalité équivalente dans des ensembles d'autorisations et des groupes d'ensembles d'autorisations. Les fonctionnalités de vos profils liées aux fonctionnalités de l'interface utilisateur Salesforce Classic doivent être ciblées pour la correction.
La liste des modèles et anti-modèles ci-dessous montre les pratiques d'autorisation appropriées (et médiocres) dans une organisation Salesforce. Utilisez-les pour valider vos conceptions avant de les élaborer, ou identifiez les opportunités d'amélioration.
Pour plus d'informations sur les outils d'autorisation disponibles dans Salesforce, consultez Outils pertinents pour sécuriser.
Le tableau ci-dessous présente une sélection de schémas à rechercher (ou à élaborer) dans votre organisation et d'anti-schémas à éviter ou à cibler pour la correction.
✨ Découvrez d'autres modèles de sécurité organisationnelle dans l'explorateur Pattern & Anti-Pattern.
| Modèles | Anti-Patterns | |
|---|---|---|
| Authentification | Dans vos normes de conception et votre documentation :
- Les personnes de sécurité approuvées sont clairement définies et répertoriées - Le mappage entre les personnes de sécurité et les schémas d'authentification autorisés (interface utilisateur, API) existent dans une matrice de sécurité |
Si des normes de conception et des documents existent, ils :
- Ne pas inclure les personnes de sécurité - Ne pas inclure une matrice de sécurité avec des mappages clairs pour les personnes de sécurité et les schémas d'authentification autorisés |
| Dans votre organisation :
- Configurations de connexion alignées sur le contrôle Salesforce MFA - La relation entre les utilisateurs et les entités qui se connectent à Salesforce est de 1:1 (aucun utilisateur partagé) - Le Contrôle d'accès API empêche les utilisateurs de s'authentifier via une application connectée non autorisée - Si l'authentification unique est activée, les utilisateurs administrateurs approuvés ont un accès direct à la connexion |
Dans votre organisation :
- Les configurations de connexion ne sont pas alignées avec le contrôle Salesforce MFA - La relation entre les utilisateurs et les entités qui se connectent à Salesforce n'est pas 1:1 (il existe des comptes utilisateur partagés) - Si les utilisateurs accèdent à Salesforce depuis un pare-feu, le pare-feu utilise des adresses IP codées en dur pour sécuriser les communications vers/depuis Salesforce - Contrôle d'accès API n'est pas activé - Si l'authentification unique est activée, aucun utilisateur administrateur approuvé n'a un accès direct à la connexion |
|
| Dans LWC, Apex, Aura :
- Les méthodes qui exécutent l'authentification utilisent des identifiants nommés pour gérer les flux nom d'utilisateur/mot de passe - Aucun nom d'utilisateur ou mot de passe n'est affiché dans le code sous des formats lisibles (pas de valeurs ou de chaînes codées en dur) - Si des flux de connexion personnalisés existent, tous les codes personnalisés associés utilisent les méthodes SessionManagement appropriées |
Dans LWC, Apex, Aura :
- L'authentification est gérée ad hoc - Noms d'utilisateur et mots de passe affichés dans le code |
|
| Autorization | Dans vos normes de conception et votre documentation :
- Chaque utilisateur et système ayant accès à Salesforce est mappé avec une ou plusieurs personnes dans une matrice de sécurité - La matrice de sécurité répertorie clairement les autorisations de métadonnées et les personnes utilisateur attribuées - Les cas d'utilisation pour accorder des privilèges élevés sont clairement énumérés, notamment : -- Autorisations Modifier toutes les données -- Autorisations Afficher toutes les données |
Si des normes de conception et des documents existent, ils :
- Ne pas inclure de matrice de sécurité - Ne pas répertorier clairement les autorisations - Ne pas énumérer clairement les cas d'utilisation pour accorder des privilèges élevés |
| Dans votre organisation :
- Des ensembles d'autorisations et des groupes d'ensembles d'autorisations sont utilisés pour contrôler l'accès aux métadonnées - Les ensembles d'autorisations et les groupes d'ensembles d'autorisations s'alignent sur les capacités métiers - Les autorisations attribuées aux utilisateurs suivent les définitions de matrice de sécurité - Les profils sont utilisés de façon minimale et uniquement pour contrôler les plages IP de connexion et les heures de connexion - Un utilisateur d'intégration API-only unique est configuré pour chaque intégration |
Dans votre organisation :
- Les groupes d'ensembles d'autorisations ne sont pas configurés pour autoriser l'accès en fonction des capacités métiers - Les ensembles d'autorisations sont configurés ad hoc - Les ensembles d'autorisations sont redondants ou fortement dupliqués; il est difficile de comprendre une logique fonctionnelle claire et les différences entre les ensembles - Les autorisations attribuées aux utilisateurs ne suivent pas les définitions de matrice de sécurité - Les profils contiennent des contrôles d'accès pour les métadonnées - Les utilisateurs d'API uniquement ne sont pas configurés ou sont partagés entre plusieurs intégrations |
|
| Dans Apex :
- Les opérations de base de données effectuent les contrôles d'accès appropriés au niveau du champ et de l'objet, notamment : -- Les instructions DML et Database DML déclarent le mode utilisateur ou système pour les opérations de données ET/OU -- Les instructions DML et Database DML utilisent des méthodes stripInaccessible avant les opérations sur les données
-- Les instructions SOQL et SOSL utilisent les mots-clés WITH USER_MODE et WITH SYSTEM_MODE AND/OR
-- Des méthodes stripInaccessible sont utilisées pour filtrer les résultats de requêtes et de sous-requêtes
-- Les méthodes de résultat describe sObject (c.-à-d. isAccessible, isCreateable, isUpdateable et/ou isDeletable) sont utilisées avec précaution |
Dans Apex :
- DML, méthodes Database Class, SOQL et SOSL exécutés en mode système par défaut - Les opérations de base de données n'effectuent pas les contrôles d'accès appropriés, notamment : -- Les méthodes DML ou Database Class utilisent exclusivement les contrôles isAccessible, isCreateable, isUpdateable et/ou isDeletable pour l'accès sObject et au niveau du champ
-- Les requêtes SOQL utilisent exclusivement des mots-clés WITH SECURITY_ENFORCED pour les restrictions d'accès |
|
| Dans les flux (Considérations de sécurité pour la conception de flux):
- Les flux utilisent le Contexte d'exécution le plus restrictif possible, idéalement Mode utilisateur - L'accès aux données confidentielles ou privilégiées de sécurité est effectué par des flux secondaires afin de minimiser le contexte d'exécution - Logique de limitation exécutée dans des flux déclenchés par un enregistrement - Les entrées de flux sont validées pour garantir que seules les charges utiles autorisées sont transmises en entrée |
Dans des flux :
- Les flux sont exécutés en mode système ou en mode système sans partage, quelles que soient les actions exécutées par le flux - Toute la logique de flux est exécutée dans un flux unique et volumineux - Les entrées de flux ne sont pas validées et sont transmises aux consommateurs sans vérification |
Une session est la série de requêtes et de réponses associées à un utilisateur sur une période donnée. Une session est initiée lorsqu'un utilisateur réussit son authentification à Salesforce. La sécurité de session est la pratique qui consiste à configurer votre système pour empêcher l'accès non autorisé et les violations de données en empêchant les interférences de session ou le piratage.
Toute l'activité des utilisateurs dans votre système se produit dans le contexte d'une session. Par conséquent, il est essentiel de prendre en compte la façon dont les sessions sont initiées, ce qui peut se dérouler pendant une session, les appareils que les utilisateurs vont (et doivent) utiliser, et comment détecter et réagir aux comportements de session suspects ou anormaux.
Vous pouvez renforcer la sécurité des sessions dans Salesforce en vous concentrant sur trois clés : la gestion des sessions, l'accès aux appareils, et la détection et la réponse aux menaces.
Les sessions sont initiées lorsqu'un utilisateur réussit à s'authentifier et à accéder à Salesforce. Ces sessions permettent à la plate-forme d'associer des demandes et des réponses spécifiques à cet utilisateur particulier.
Le protocole HTTPS facilite la communication entre un client frontal et Salesforce Platform. Les clients peuvent inclure des navigateurs, des applications mobiles, des applications locales, etc. HTTPS est un protocole sans état, ce qui signifie que chaque communication est discrète et sans rapport avec les communications précédentes ou futures.
Cette approche sans état accélère les communications réseau et élimine les erreurs causées par les liens rompus entre les paquets. Cependant, les applications Web doivent toujours avoir un moyen de suivre l'identité de chaque utilisateur et d'autres informations associées dans plusieurs interactions de requête et de réponse. Salesforce, comme la plupart des applications Web, utilise des sessions et des jetons pour cela.
- Les sessions permettent à Salesforce d'associer des demandes et des réponses à des utilisateurs. Lorsqu'un utilisateur est authentifié, la plate-forme renvoie un ID de session à l'application cliente, qui inclut cet ID avec toutes les requêtes de l'utilisateur (notamment la navigation, la recherche et la soumission de données).
- Les jetons permettent aux utilisateurs et aux applications connectées de vérifier leur identité une fois et d'utiliser ensuite un jeton d'accès unique. Les jetons ont une durée de vie limitée et fournissent uniquement l'accès à des ressources spécifiques (pour plus d'informations sur la configuration des niveaux d'accès, consultez Autorisation). Les jetons permettent d'accéder aux ressources autorisées sans demander aux utilisateurs de se connecter.
Si les sessions et les jetons ne sont pas correctement sécurisés, les mauvais acteurs peuvent potentiellement interférer avec eux et usurper l'identité des utilisateurs ou exécuter un code malveillant dans votre système.
Pour élaborer une gestion des sessions sécurisée pour Salesforce :
- Comprenez comment Salesforce classe les types de session. Identifiez et mappez les types de session approuvés avec des utilisateurs de sécurité, puis enregistrez-les dans votre documentation.
- Contrôlez l'origine des sessions et le trafic de session. Lorsque vous avez identifié les types de session que divers utilisateurs sont autorisés à initier, configurez des contrôles pour bloquer les sessions provenant de sources ou de contextes non approuvés. Salesforce fournit plusieurs méthodes pour contrôler l'origine des sessions et le trafic, notamment :
- Protection de session intégrée. Salesforce active automatiquement les protections de l'organisation contre les activités malveillantes basées sur la session, notamment les scripts inter-site, la falsification de requêtes inter-site, le reniflage de contenu, le détournement de clics, etc. Ces protections ne doivent jamais être désactivées; certaines ne peuvent pas être désactivées.
- Domaines et plages IP. Mon domaine est activé par défaut dans toutes les organisations Salesforce, ce qui crée un sous-domaine spécifique à l'entreprise pour l'accès Salesforce. Vous pouvez personnaliser ou modifier le nom associé à une organisation via Mon domaine. De plus, Salesforce prend en charge des configurations de domaine supplémentaires pour les sites Experience Cloud et d'autres pages d'application. Remarque : Si vos utilisateurs doivent accéder à Salesforce depuis un pare-feu d'entreprise, ajoutez les domaines requis à vos listes d'autorisations de pare-feu. Vous pouvez configurer des plages IP de connexion et des plages IP approuvées pour contrôler les requêtes de connexion et de session entrantes à Salesforce.
- Heures de connexion. Si certains utilisateurs ont défini des heures de travail, vous pouvez limiter leur accès à Salesforce en dehors des heures de connexion définies.
- Contrôlez les activités qui nécessitent une sécurité au niveau de la session supplémentaire. Par défaut, les sessions peuvent avoir deux types de niveau de sécurité : standard et assurance élevée. Utilisez ces niveaux de sécurité pour contrôler comment les utilisateurs peuvent et ne peuvent pas exécuter des activités telles que l'accès aux rapports et aux tableaux de bord, ou la gestion des configurations de sécurité dans une organisation Salesforce. Les stratégies de sécurité au niveau de la session peuvent obliger les utilisateurs à établir des sessions d'assurance élevée pour effectuer des opérations ou empêcher les utilisateurs d'effectuer des opérations confidentielles.
- Contrôlez les activités qui nécessitent des autorisations basées sur la session supplémentaires. Salesforce prend en charge les activations d'autorisations basées sur la session afin d'accorder temporairement aux utilisateurs une autorisation ou un accès supérieur aux autorisations pendant une session particulière. Vous pouvez activer et désactiver des autorisations basées sur la session via des flux ou des API Salesforce.
- Gérez les sessions utilisateur inactives à travers des expirations. L'arrêt des sessions inactives est un élément clé de la gestion de la sécurité des sessions. Cela permet de protéger votre système lorsque, par exemple, un utilisateur laisse une session Salesforce ouverte sous un onglet de navigateur, mais travaille activement dans une autre application, ou lorsque l'appareil mobile d'un utilisateur est connecté à Salesforce, mais sans surveillance. Salesforce a une expiration d'inactivité de session par défaut de deux heures. Vous pouvez augmenter ou diminuer les niveaux d'expiration d'inactivité de session, mais l'augmentation des expirations ne doit être effectuée qu'avec une justification convaincante et bien documentée.
- Gérez les sessions d'application connectée via la configuration de jetons. Lorsque vous configurez une application connectée, vous définissez également l'étendue, ou le niveau d'autorisation, qui sera accordé aux utilisateurs accédant à Salesforce via l'application connectée. Cette étendue est automatiquement appliquée au niveau de la session via des jetons OAuth, qui sont émis lorsqu'un utilisateur d'une application connectée s'authentifie avec succès. Vous pouvez contrôler la durée de vie d'un jeton via des politiques d'actualisation de jeton. Les administrateurs d'organisation peuvent révoquer manuellement des jetons par utilisateur et par organisation, si nécessaire.
La liste des modèles et anti-modèles ci-dessous montre à quoi ressemble une bonne (et mauvaise) gestion des sessions dans une organisation Salesforce. Utilisez-les pour valider vos conceptions avant de les élaborer, ou identifiez les opportunités d'amélioration.
Pour plus d'informations sur les outils de gestion de session disponibles dans Salesforce, consultez Outils pertinents pour sécuriser.
Dans le contexte actuel, un appareil est tout équipement électronique qu'un individu utilise pour accéder à Salesforce, par exemple une station de travail de bureau, un ordinateur portable, une tablette ou un téléphone mobile.
Les appareils portables offrent aux utilisateurs la flexibilité nécessaire pour accéder à Salesforce depuis n'importe quel emplacement. Cependant, cette commodité introduit potentiellement des vecteurs d'attaque supplémentaires pour les acteurs malveillants. Ces vecteurs de menace vont de simples tactiques, comme le surf à l'épaule dans un lieu public pour voler des identifiants, à des méthodes plus sophistiquées comme l'installation de logiciels malveillants sur un appareil ou la création d'un réseau Wi-Fi public bidon pour intercepter les transmissions de données. Par conséquent, la sécurité des appareils, en particulier des appareils portables, est essentielle à la sécurité générale du système.
Pour sécuriser l'accès des appareils à Salesforce :
- Utilisez les solutions d'application mobile fournies par Salesforce. Demandez aux utilisateurs d'appareils mobiles qui doivent accéder à Salesforce d'utiliser les applications Salesforce officielles disponibles pour iOS et Android. Si les besoins métiers nécessitent une solution mobile personnalisée, vous devez utiliser le Salesforce Mobile SDK, qui fournit des méthodes d'authentification et d'autorisation sécurisées.
- Concevez l'utilisation d'appareils mobiles dans votre gestion des sessions. Les niveaux de sécurité de session, les expirations de session et les autres contrôles de contexte de session doivent tenir compte de tout accès anticipé des utilisateurs sur les appareils mobiles. Déterminez quels appareils doivent et ne doivent pas être autorisés à accéder à Salesforce, et quels types d'utilisateur doivent avoir accès aux sessions mobiles. Insérez des normes d'accès mobile dans la documentation de votre agent de sécurité. Pour plus d'informations à ce sujet, consultez Gestion des sessions.
- Complétez la sécurité au niveau de l'appareil avec la technologie MDM (Mobile Device Management). Les applications Salesforce pour iOS et Android sont compatibles avec de nombreuses suites MDM populaires. Vous pouvez configurer des contrôles d'accès supplémentaires pour l'application Salesforce sur les appareils utilisateur via votre solution MDM préférée.
- Complétez la sécurité au niveau de l'application avec la technologie MAM (Mobile Application Management). La technologie MAM prend en charge les contrôles au niveau de l'application sur les appareils mobiles. Salesforce offre un complément MAM payant pour les applications mobiles Salesforce.
La liste des modèles et anti-modèles ci-dessous montre à quoi ressemble une bonne (et mauvaise) gestion des appareils dans une organisation Salesforce. Utilisez-les pour valider vos conceptions avant de les élaborer, ou identifiez les opportunités d'amélioration.
Pour plus d'informations sur les outils de gestion des appareils disponibles dans Salesforce, consultez Outils pertinents pour sécuriser.
La détection des menaces est le processus d'identification de modèles de comportement dans votre système qui peuvent indiquer une activité malveillante. Cela peut inclure des volumes de données téléchargés supérieurs à la moyenne ou la modification par un utilisateur de champs contenant des données confidentielles dans plusieurs enregistrements dans un délai plus court que la moyenne. Les réponses aux menaces peuvent inclure l'expiration automatique de la session, des alertes et d'autres notifications.
L'objectif de la détection des menaces est d'identifier les problèmes potentiels et d'y répondre le plus rapidement possible. Prendre des mesures basées sur la détection des menaces en temps réel peut arrêter les comportements malveillants dans son parcours. Salesforce offre une surveillance en temps réel des événements en complément ou dans le cadre de Salesforce Shield. Utilisez l'une de ces solutions si vous avez des applications hautement confidentielles ou si vous avez besoin de capacités robustes de détection et de réponse en temps réel aux menaces.
Pour élaborer une stratégie efficace de détection des menaces et de réponse à vos solutions Salesforce :
- Utilisez les capacités d'audit intégrées. Salesforce offre divers outils intégrés qui facilitent le suivi et l'audit des modifications apportées à votre organisation. Par exemple, le Piste d'audit de configuration permet d'afficher l'historique d'audit des actions administratives. Salesforce suit par défaut les modifications au niveau du champ pendant une période limitée, mais vous pouvez activer le Suivi historique des champs pour afficher les modifications de champ pendant 18 mois maximum dans l'interface utilisateur et 24 mois maximum via l'API. Vous pouvez également activer le Journal d'audit des champs afin de conserver indéfiniment l'historique des modifications au niveau du champ (jusqu'à la suppression manuelle des données).
- Établir des examens réguliers. L'audit est crucial pour identifier les modifications anormales que la détection des menaces en temps réel peut manquer. Prenons l'exemple d'un utilisateur disposant d'un accès légitime qui supprime régulièrement un petit nombre d'enregistrements par jour sur une longue période. Comme cet utilisateur dispose d'identifiants de connexion valides, est autorisé à supprimer des enregistrements et ne supprime pas un grand nombre d'enregistrements à la fois, il est peu probable que l'activité soit détectée comme une menace en temps réel. Cependant, une équipe d'audit examinant les rapports d'activité des utilisateurs identifierait clairement cette tendance à la suppression excessive d'enregistrements par un seul utilisateur au fil du temps, ce qui faciliterait la résolution de ce problème. Dans le cadre de vos politiques de gouvernance, définissez des intervalles réguliers pour auditer l'historique des connexions, l'activité des sessions utilisateur et l'utilisation des applications connectées.
- Développez une stratégie de réponse aux menaces et incluez-la dans vos stratégies de sécurité. Créez une stratégie de réponse aux menaces qui couvre :
- Les définitions de type de réponse aux menaces (par exemple, alertes et automatisations) et tous les groupes d'intervenants. Pour plus d'informations sur la conception de messages ou d'alertes, consultez Erreurs et notifications.
- Catégories spécifiques de modifications ou d'activités en temps réel qui pourraient être considérées comme des menaces et type de réponse associé pour chaque
- Une liste claire de toutes les réponses automatisées aux menaces (telles que la révocation de jetons, la fin de sessions, la désactivation de comptes utilisateur ou le blocage de l'accès aux ressources) et des déclencheurs d'automatisation
Event Monitoring fournit les données nécessaires pour appliquer ce principe en activant la détection et la réponse en temps réel aux menaces. La Sécurité des transactions applique les actions pilotées par la stratégie de votre entreprise, et les types d'événement prennent en charge la surveillance de l'accès des utilisateurs et des applications au fil du temps.
Le service natif de détection des menaces de Salesforce utilise des modèles statistiques et d'apprentissage machine pour identifier les comportements suspects. Ce service génère des événements spécifiques qui protègent contre les cyberattaques et l'accès suspect aux données.
La Sécurité des transactions va plus loin en matière de sécurité, car elle fournit une infrastructure qui intercepte les événements clés qui se produisent dans votre organisation et applique les actions pilotées par la stratégie de votre entreprise. Cela transforme la Surveillance des événements d'un outil de consignation en composant important d'une défense de sécurité automatisée.
La liste des modèles et anti-modèles ci-dessous montre à quoi ressemblent la détection et la réponse correctes (et médiocres) aux menaces dans une organisation Salesforce. Utilisez-les pour valider vos conceptions avant de les élaborer, ou identifiez les opportunités d'amélioration.
Pour plus d'informations sur les outils d'automatisation de la détection des menaces, des alertes et des réponses disponibles dans Salesforce, consultez Outils pertinents pour sécuriser.
Le tableau ci-dessous présente une sélection de schémas à rechercher (ou à élaborer) dans votre organisation et d'anti-schémas à éviter ou à cibler pour la correction.
✨ Découvrez d'autres modèles de sécurité de session dans l'Explorateur de modèle et anti-modèle.
| Modèles | Anti-Patterns | |
|---|---|---|
| Gestion des sessions | Dans vos normes de conception et votre documentation :
- Les personnes de sécurité répertorient clairement les types de session approuvés et les paramètres d'expiration/durée pour chaque personne - Les heures de connexion ont été spécifiées (ou identifiées comme inutiles) - Les opérations qui nécessitent une sécurité ou des autorisations au niveau de la session élevées sont claires et accessibles - Les stratégies de gestion de l'étendue et des jetons de l'application connectée sont claires et accessibles |
Dans vos normes de conception et votre documentation :
- Les personnes de sécurité n'existent pas ou manquent d'informations sur les types de session et les paramètres d'expiration/durée - Les stratégies de sécurité ne contiennent pas d'informations sur les étendues d'application connectée ou la gestion des jetons |
| Dans votre organisation :
- Les audits de session montrent que les utilisateurs accèdent à Salesforce uniquement via les types de session attendus - Il existe un ensemble d'autorisations clair et actif pour l'accès « Utilisateur API uniquement » (avec l'ensemble d'autorisations « API uniquement » défini sur TRUE) et tous les utilisateurs d'intégration et automatisés sont attribués - Si les utilisateurs accèdent à Salesforce depuis un pare-feu, le pare-feu utilise une liste d'autorisations de domaines requis au lieu d'adresses IP pour sécuriser les communications vers/depuis Salesforce - Les intervalles d'expiration de session inactifs ne dépassent pas le délai par défaut (2 heures) - Tous les paramètres suivants sont activés : -- Protection contre le détournement de clic pour les pages de configuration -- Protection contre le détournement de clics pour les pages Salesforce hors Configuration -- Protection contre la falsification de requête inter-site (CSRF) -- Protection contre les scripts inter-site (XSS) -- Activer la protection contre le reniflage de contenus -- Protection des URL de référent -- Avertir les utilisateurs avant qu'ils soient redirigés hors de Salesforce |
Dans votre organisation :
- Il n'y a pas d'audit de session régulière - Il n'y a pas de définition des types de session que les utilisateurs doivent avoir - Les autorisations « API uniquement » ne sont pas claires ou sont manquantes dans l'intégration et les utilisateurs automatisés - Si les utilisateurs accèdent à Salesforce depuis un pare-feu, le pare-feu utilise des adresses IP codées en dur pour sécuriser les communications vers/depuis Salesforce - Les intervalles d'expiration de session inactifs dépassent le délai par défaut (2 heures) - L'un des paramètres suivants est désactivé : -- Protection contre le détournement de clic pour les pages de configuration -- Protection contre le détournement de clics pour les pages Salesforce hors Configuration -- Protection contre la falsification de requête inter-site (CSRF) -- Protection contre les scripts inter-site (XSS) -- Activer la protection contre le reniflage de contenus -- Protection des URL de référent -- Avertir les utilisateurs avant qu'ils soient redirigés hors de Salesforce |
|
| Dans LWC, Apex, Aura :
- Si des flux de connexion personnalisés existent, tous les codes personnalisés associés utilisent les méthodes SessionManagement appropriées pour attribuer la sécurité au niveau de la session |
Dans LWC, Apex, Aura :
- Si des flux de connexion personnalisés existent, il n'y a aucune logique pour attribuer la sécurité au niveau de la session |
|
| Accès à l'appareil | Dans vos normes de conception et votre documentation :
- Les stratégies de l'appareil sont claires et accessibles - Les personnes de sécurité sont clairement mappées avec les utilisations et les politiques appropriées de l'appareil |
Dans vos normes de conception et votre documentation :
- Les stratégies de sécurité n'existent pas ou ne contiennent pas d'informations sur l'accès à l'appareil |
| Dans votre organisation :
- La configuration de l'application mobile connectée Salesforce nécessite le déverrouillage par code PIN/passcode après l'inactivité - Si les besoins métiers nécessitent un contrôle strict des utilisateurs qui peuvent accéder à Salesforce Mobile, le Contrôle d'accès API est activé et des ensembles d'autorisations sont attribués à tous les utilisateurs des applications mobiles Salesforce |
Dans votre organisation :
- L'application mobile connectée Salesforce n'est pas configurée pour demander le déverrouillage du code PIN/passcode en cas d'inactivité – Les besoins métiers nécessitent un contrôle strict des utilisateurs qui peuvent accéder à Salesforce Mobile, mais le Contrôle d'accès API n'est pas activé ou des ensembles d'autorisations ne sont pas utilisés pour contrôler l'accès aux applications mobiles Salesforce |
|
| Détection et réponse aux menaces | Dans vos normes de conception et votre documentation :
- Les stratégies de sécurité contiennent une liste d'événements qui doivent déclencher une réponse avec le type de réponse approprié - Les niveaux d'audit ont été spécifiés pour tous les objets de votre modèle de données - Les étapes de révision des journaux disponibles dans Salesforce sont documentées - Toutes les réponses automatisées sont clairement documentées |
Dans vos normes de conception et votre documentation :
- Les stratégies de sécurité n'existent pas ou ne contiennent pas d'informations sur la détection des menaces et les alertes - La documentation sur les réponses automatisées n'existe pas ou n'est pas claire |
| Au sein de votre entreprise :
- Données d'audit disponibles dans les rapports que les parties prenantes peuvent comprendre et accéder - Examen régulier de l'historique et des rapports d'audit |
Au sein de votre entreprise :
- Les données d'audit sont disponibles uniquement via des fichiers journaux qui nécessitent une expertise en la matière pour accéder à et interpréter - Aucun processus n'existe pour examiner l'information de vérification |
|
| Dans votre organisation :
- Des automatisations sont en place pour répondre aux menaces en désactivant les comptes utilisateur ou en bloquant l'accès aux ressources en temps réel si une utilisation anormale est détectée - Les notifications et les alertes sont configurées pour notifier les utilisateurs appropriés des activités anormales - Le suivi Historique des champs est activé pour tous les champs contenant des données privées ou confidentielles |
Dans votre organisation :
- Aucune automatisation n'est en place pour répondre aux menaces - Les notifications et alertes ne sont pas configurées pour notifier les utilisateurs appropriés d'une activité anormale, ou certaines notifications et alertes liées à une activité anormale existent, mais elles sont ponctuelles - Le suivi Historique des champs n'est pas activé de façon cohérente pour les champs contenant des données privées ou confidentielles |
La sécurité des données est la pratique qui consiste à protéger vos données contre tout accès non autorisé, corruption ou suppression involontaire. La sécurité des données implique la protection des données en transit et au repos.
Une solide sécurité des données réduit les risques et les dommages potentiels liés à l'accès non autorisé à votre système. Une sécurité des données inadéquate expose les systèmes à des violations de données, qui peuvent impacter gravement les clients et votre entreprise. Par conséquent, la protection de vos données est fondamentale pour élaborer des architectures sécurisées.
Pour renforcer la sécurité des données, il faut d'abord bien comprendre ce qui est considéré comme une donnée dans Salesforce, ainsi que sa classification. Les enregistrements, fichiers et documents individuels stockés dans une organisation Salesforce sont ses données. Pour plus d'informations sur la distinction entre les métadonnées et les données, consultez Salesforce Architecture Basics.
Vous pouvez renforcer la sécurité des données dans vos solutions Salesforce en vous concentrant sur le partage et la visibilité ainsi que sur l'utilisation du cryptage.
Remarque : Lors de la conception pour la sécurité des données, assurez-vous de prendre en compte la confidentialité des données ainsi que l'archivage et la purge, car ces deux concepts affectent la sécurité générale des données de vos solutions.
Identifiez et classez toutes les données stockées sur Salesforce Platform en fonction de leur nature confidentielle (p. ex. publiques, internes, confidentielles, restreintes). Définissez une politique de classification claire qui indique comment chaque type de données doit être traité et protégé. Mettez en œuvre les contrôles de sécurité appropriés, tels que la sécurité au niveau du champ, le cryptage et le masquage des données, pour appliquer la stratégie et protéger les données confidentielles contre tout accès ou exposition non autorisé. Examinez et auditez régulièrement ces classifications et contrôles pour vous assurer qu'ils respectent les exigences métiers et de conformité.
Le partage et la visibilité impliquent de configurer votre système pour contrôler l'accès des utilisateurs aux données dans Salesforce. Il est important de noter que le partage et la visibilité contrôlent les enregistrements individuels auxquels un utilisateur peut accéder, mais ces paramètres ne contrôlent pas à eux seuls ce qu'un utilisateur peut faire avec un enregistrement particulier, ni les champs spécifiques de cet enregistrement qui sont visibles. Les autorisations d'exécution d'opérations sur les données (telles que CRUD) sont attribuées aux utilisateurs via des contrôles d'accès aux métadonnées, qui peuvent être configurés pour un utilisateur au niveau de l'objet individuel et du champ. Pour plus d'informations, consultez Autorisation.
Les actions Agentforce peuvent exposer des données à des utilisateurs authentifiés et anonymes qui n'ont généralement pas directement accès. Lors de l'élaboration d'Agents Agentforce, tenez compte et documentez attentivement toutes les Actions attribuées à l'Agent. Pour chaque action, vous devez comprendre :
- Les données auxquelles les Actions peuvent accéder.
- Dans quel contexte de sécurité les actions sont exécutées.
- Indique si les Actions ont des capacités de récupération Knowledge ou autres qui peuvent incorporer des données confidentielles ou restreintes dans la session Agent.
Pour configurer un partage et une visibilité efficaces dans Salesforce :
- Concevez un accès basé sur des fonctions significatives. Créez une matrice de sécurité qui mappe vos utilisateurs avec les fonctions qu'ils doivent exécuter. Utilisez ce modèle comme base pour concevoir votre partage et votre visibilité. Pour plus d'informations sur l'identification des fonctions métiers significatives, consultez Unités fonctionnelles.
- Choisissez la voie la plus simple pour appliquer le principe du moindre privilège. En appliquant le principe du moindre privilège dans la conception de schémas de partage et de visibilité, procédez de la manière la plus simple. Évitez les restrictions et les schémas de partage de données trop élaborés, qui peuvent entraîner des problèmes en aval de maintenabilité, d'évolutivité et d'adaptabilité du système. À la place, tirez parti du partage de données flexible et superposé dans Salesforce pour configurer des règles précises d'accès des utilisateurs au niveau des données.
- Définissez les paramètres par défaut internes de l'organisation (OWD) sur Accès public en lecture seule, sauf si votre entreprise traite des données confidentielles, puis utilisez Privé. Les OWD contrôlent le niveau de « moindre » privilège des utilisateurs au niveau des données. Vous ne pouvez pas restreindre l'accès sous le niveau de votre mot de passe à usage unique. Bien que les OWD privés puissent sembler idéaux dans tous les cas d'utilisation, les utilisateurs de l'entreprise peuvent souvent se retrouver à répliquer involontairement un OWD plus permissif à travers des schémas de partage complexes. De plus, les OWD privés peuvent amener les utilisateurs à créer des données dupliquées. La réalisation des calculs de partage (et des recalculs) peut prendre un temps considérable selon le volume de données et l'asymétrie parent-enfant ou propriétaire — les OWD privés aggravent cette situation. Il est important de noter que les OWD ne contrôlent pas les autorisations CRUD et la visibilité au niveau du champ. Choisissez une OWD de Privé uniquement lorsque les besoins métiers le justifient – le plus souvent, ces justifications sont liées à la conformité.
- Définissez les paramètres par défaut externes de l'organisation (OWD) sur Privé, sauf si vous avez des raisons professionnelles impérieuses d'accorder un meilleur accès. Les OWD externes s'appliquent aux utilisateurs qui accèdent aux données Salesforce à partir de sites Experience Cloud, de portails, etc. Cela permet de configurer des références OWD séparées pour les utilisateurs internes et externes, afin de permettre différents types de privilège « le moins ». Définissez toujours la valeur OWD pour les utilisateurs externes sur Privé — les exceptions pour un niveau plus ouvert doivent être clairement justifiées par les besoins métiers.
La liste des modèles et anti-modèles ci-dessous montre à quoi ressemble le partage et la visibilité corrects (et médiocres) dans une organisation Salesforce. Utilisez-les pour valider vos conceptions avant de les élaborer, ou identifiez les opportunités d'amélioration.
Pour plus d'informations sur les outils de partage et de visibilité de Salesforce, consultez Outils pertinents pour sécuriser.
Le cryptage convertit les données lisibles en un format codé et indéchiffrable. Les données cryptées peuvent être décryptées, ou traduites à leur forme d'origine, via une clé. Par conséquent, le cryptage est l'une des méthodes les plus efficaces pour sécuriser les données au repos et en transit, garantissant que même si des parties non autorisées accèdent aux données, il sera illisible.
Pour concevoir une bonne utilisation du cryptage dans vos solutions Salesforce :
- Toujours crypter correctement les données en transit. Salesforce utilise la Sécurité de la couche de transport (TLS) pour toutes les sessions qui se déroulent dans un navigateur pris en charge par Salesforce, et exige que les appels sortants utilisant HTTPS respectent des normes de sécurité spécifiques. Les API de plate-forme utilisent également HTTPS par défaut. De plus, les données envoyées entre un site Experience Cloud Salesforce ou un portail et son organisation Salesforce associée sont cryptées par défaut en transit. Si vous utilisez les services de messagerie intégrés de Salesforce, le protocole TLS (Transport Layer Security) utilisé par Salesforce pour envoyer et tenter de livrer des e-mails existe à des niveaux par défaut. Vous devez au minimum vous assurer que les paramètres de l'organisation ne sont pas inférieurs aux paramètres par défaut, sauf si vous avez une justification métier claire. Selon la classification et la confidentialité de vos données, vous pouvez exploiter une connexion réseau privée à Salesforce via AWS Direct Connect ou Salesforce Private Connect. Vos données ne transitent pas par l'Internet public, mais transitent en toute sécurité sur une connexion réseau privée pour l'accès des utilisateurs et les intégrations.
- Si l'entreprise l'exige, cryptez les données au repos. Salesforce offre différentes méthodes de cryptage des données au repos.
- Hyperforce. Les données sont cryptées au repos dans les organisations qui utilisent Hyperforce. Le cryptage est géré pour votre organisation par Salesforce. Vous ne pouvez pas créer (ou détruire) vos propres clés de cryptage.
- Salesforce Shield... Salesforce Shield permet de crypter les données au repos dans une organisation Salesforce à des couches supplémentaires, y compris les couches application et base de données. Shield offre des capacités de gestion complètes des clés de cryptage de votre locataire, notamment des options robustes « Bring Your Own Key » (BYOK). Vous pouvez également crypter des données non structurées (notamment des fichiers, des pièces jointes, des index de recherche et des événements). Les instances basées sur Hyperforce offrent la possibilité d'utiliser un gestionnaire de clés externe, ce qui permet d'apporter son propre KMS AWS. Grâce à cette capacité, vous gardez le contrôle total des clés de cryptage de votre KMS utilisées pour crypter et décrypter les données stockées dans Salesforce, ce qui renforce la sécurité et répond aux exigences de conformité de votre organisation.
La liste des modèles et anti-modèles ci-dessous montre l'utilisation correcte (et mauvaise) du cryptage dans une organisation Salesforce. Utilisez-les pour valider vos conceptions avant de les élaborer, ou identifiez les opportunités d'amélioration.
Pour plus d'informations sur les outils de cryptage disponibles dans Salesforce, consultez Outils pertinents pour sécuriser.
Le tableau ci-dessous présente une sélection de schémas à rechercher (ou à élaborer) dans votre organisation et d'anti-schémas à éviter ou à cibler pour la correction.
✨ Découvrez d'autres modèles de sécurité des données dans l'explorateur Pattern & Anti-Pattern.
| Modèles | Anti-Patterns | |
|---|---|---|
| Partage et visibilité | Dans vos normes de conception et votre documentation :
- Une matrice de sécurité indique les données auxquelles chaque utilisateur est autorisé à accéder - Des normes d'accès aux données différentes sont utilisées pour les utilisateurs externes et les utilisateurs internes, si applicable |
Dans vos normes de conception et votre documentation :
- Les normes de conception et la documentation n'existent pas ou ne contiennent pas de matrice de sécurité - Si une matrice de sécurité existe, elle ne définit pas l'accès aux données pour les utilisateurs |
| Dans votre organisation :
- Les paramètres par défaut de l'organisation (OWD) pour les utilisateurs internes sont définis sur Accès public en lecture ou sur Privé pour les utilisateurs internes, en raison des exigences de conformité - OWDs pour utilisateurs externes est Privé - L'IA générative fonctionne uniquement en mode utilisateur, ou certaines utilisations pour l'accès système ont une justification métier claire |
Dans votre organisation :
- OWDs pour les utilisateurs internes est défini sur Privé sans justification métier ou OWDs pour les utilisateurs internes est défini sur Accès public en lecture/écriture - Les OWD pour utilisateurs externes sont définis sur autre chose que Privé sans justification métier - L'IA générative fonctionne en mode système sans justification métier |
|
| Dans Apex :
- Tous les codes accédant aux données (SOQL/SOSL) ou effectuant des opérations sur les données (méthodes DML/Database Class) utilisent avec le partage de mots-clés |
Dans Apex :
- avec partage les mots-clés sont utilisés de façon incohérente |
|
| Utilisation du cryptage | Dans vos normes de conception et votre documentation :
- Les cas d'utilisation pour le cryptage des données en transit et (si nécessaire) au repos sont clairs et découvrables - Les protocoles de cryptage approuvés sont clairement répertoriés - La documentation sur le code indique clairement où le cryptage est utilisé et quels protocoles sont utilisés |
Dans vos normes de conception et votre documentation :
- Les protocoles de cryptage approuvés ne sont pas clairs ou ne sont pas répertoriés - Le code n'est pas documenté ou la documentation n'est pas claire sur l'emplacement et la façon dont le cryptage est utilisé dans le code |
| Dans votre organisation :
- Si des risques de sécurité sont identifiés qui nécessitent une plus grande protection des données au repos, soit Hyperforce soit Salesforce Shield assurent le cryptage au repos |
Dans votre organisation :
- Les besoins métiers nécessitent une plus grande protection des données au repos, mais ni Hyperforce ni Salesforce Shield ne sont utilisés |
|
| Dans Apex :
- Si les besoins métiers nécessitent une plus grande protection des données en transit, tout le code impliqué dans l'intégration exécute une logique en utilisant des méthodes Classe Crypto pour crypter les données avant transmission ou décrypter les données dès réception |
Dans Apex :
- Les besoins métiers nécessitent une plus grande protection des données en transit, mais le code impliqué dans l'intégration exécute une logique sans cryptage des données avant la transmission ou à la réception, ou des méthodes de classe Crypto sont utilisées ad hoc |
| Outil | Description | Sécurité organisationnelle | Sécurité de la session | Sécurité des données |
|---|---|---|---|---|
| Apex Crypto Class | Crypter et décrypter les données dans Apex | X | ||
| Contrôle d'accès API | Gérer l'accès à vos API Salesforce et applications connectées | X | X | X |
| Événement d'anomalie d'API | Suivre les anomalies dans les appels d'API des utilisateurs | X | ||
| Paramètres de sécurité du navigateur | Protéger les données confidentielles et surveiller les certificats SSL | X | ||
| Authentification basée sur le certificat | Authentifier des individus avec des certificats numériques uniques | X | X | |
| Certificats et clés | Vérifier les requêtes à des sites Web externes depuis Salesforce | X | X | |
| Scanner de code | Scanner le code Apex pour détecter les failles de sécurité | X | X | |
| Applications connectées | Intégration via des API et des protocoles standard | X | X | |
| Événement de bourrage d'identifiants | Suivre les tentatives de connexion qui utilisent des identifiants utilisateur volés | X | ||
| Site de confiance CSP | Empêcher les attaques par injection de code (c.-à-d. script inter-site) | X | ||
| Flux de connexion personnalisés | Contrôler les processus métiers de connexion pour les utilisateurs | X | ||
| Identité du client | Contrôler les connexions et la vérification des sites Web et des applications | X | ||
| Data Mask | Masquer automatiquement les données confidentielles dans les organisations sandbox | X | ||
| Journaux de débogage | Suivre les événements qui se produisent dans votre organisation | X | ||
| Administration déléguée | Attribuer des privilèges administratifs limités aux utilisateurs non administrateurs | X | X | |
| Activation de l'appareil | Vérifier les connexions à partir de navigateurs, appareils ou plages IP non approuvés | X | ||
| Sécurité des transactions avancée | Intercepter les événements, surveiller et contrôler l'activité des utilisateurs | X | ||
| Accès aux champs | Contrôler l'accès aux données au niveau du champ | X | ||
| Piste d'audit des champs | Définir une stratégie pour conserver les données historiques des champs archivés | X | ||
| Suivi de l'historique des champs | Suivre et afficher l'historique des champs | X | ||
| Frontdoor.jsp | Autoriser l'accès avec un ID de session et une URL de serveur existants | X | ||
| Heroku Connect | Synchronisation bidirectionnelle entre Heroku et Salesforce | X | ||
| Heroku Shield | Élaborer des applications conformes HIPAA ou PCI | X | ||
| Sécurité de la session Assurance élevée | Demander une sécurité supplémentaire pour les opérations confidentielles | X | ||
| Identity Connect | Mapper des enregistrements utilisateur avec des comptes Active Directory | X | ||
| Historique de vérification de l'identité | Audit des tentatives de vérification de l'identité des utilisateurs | X | ||
| Licence utilisateur Integration | Accordez l'accès aux données et aux fonctionnalités uniquement via l'API. | X | X | |
| Lightning Login | Empêcher les mots de passe faibles ou oubliés et les comptes verrouillés | X | ||
| Accès à la connexion | Autoriser les utilisateurs de support à se connecter au nom d'un autre utilisateur | X | ||
| Login Forensics | Identifier le comportement qui peut indiquer une usurpation d’identité | X | ||
| Historique des connexions | Surveiller les tentatives de connexion à une organisation et à un site Experience Cloud | X | ||
| Suivi des appareils mobiles | Suivre et surveiller l'accès des appareils mobiles à votre organisation | X | ||
| Mobile SDK | Connexion à Salesforce Platform dans des applications mobiles autonomes | X | X | X |
| Surveiller les autorisations utilisateur (Shield) | Modifications de l'ensemble d'autorisations et du groupe d'ensembles d'autorisations | X | X | |
| Authentification multifacteur | Demander deux méthodes de vérification ou plus pour la connexion | X | X | |
| Authentification mutuelle | Forcer l'authentification mutuelle SSL ou TLS | |||
| Mon domaine | Configurer des pages et des stratégies de connexion, des connexions SSO et sociales | X | ||
| Identifiants nommés | Spécifier des URL de point de terminaison et des paramètres d’authentification | X | ||
| Autorisation OAuth | Autoriser l'accès à l'application cliente via un échange de jetons | X | ||
| Stratégies de mot de passe | Définir l'historique, la longueur et la complexité du mot de passe | X | ||
| Expiration de l'attribution d'ensembles d'autorisations | Définir des expirations pour les attributions d'ensembles d'autorisations et de groupes d'ensembles d'autorisations | X | X | |
| Événement d'ensemble d'autorisations | Surveiller les modifications apportées aux ensembles d'autorisations et aux groupes d'ensembles d'autorisations | X | X | |
| Groupes d'ensembles d'autorisations | Ensembles d'autorisations d'empaquetage pour prendre en charge des exigences d'accès complexes | X | ||
| Ensembles d'autorisations | Contrôler l'accès des utilisateurs aux métadonnées, aux fonctionnalités et aux applications | X | ||
| Private Connect | Intégrations sécurisées entre Salesforce et Amazon Web Services | X | ||
| Profils | Contrôler les plages IP de connexion et les heures de connexion | X | ||
| Surveillance des événements en temps réel | Surveillance et détection des événements standard dans Salesforce | X | ||
| Paramètres du site distant | Enregistrer des sites externes pour des appels Apex ou JavaScript | X | ||
| Événement d'anomalie de rapport | Suivre les anomalies dans l'exécution ou l'exportation de rapports par les utilisateurs | X | ||
| Règles de restriction | Empêcher les utilisateurs d'accéder aux enregistrements inutiles | X | ||
| Salesforce Code Analyzer | Scannez le code via IDE, CLI ou CI/CD pour vous assurer qu'il respecte les meilleures pratiques | X | X | |
| Règles d'étendue | Contrôlez les enregistrements par défaut que vos utilisateurs peuvent afficher | X | ||
| Centre de sécurité | Visualisez les paramètres de sécurité dans toutes vos organisations et configurez des alertes pour les changements de posture | X | X | |
| Contrôle d'intégrité de sécurité | Identifier les vulnérabilités dans vos paramètres de sécurité | X | ||
| Événement de piratage de session | Identifier les accès non autorisés via des identifiants de session volés | X | ||
| Classe de gestion des sessions | Personnaliser les paramètres de sécurité d'une session active | X | ||
| Paramètres de sécurité de session | Configurer des sessions de protection contre les attaques malveillantes | X | ||
| Piste d'audit de configuration | Suivre les récentes modifications de configuration effectuées par les administrateurs | X | ||
| Paramètres de partage | Contrôler l'accès aux données au niveau de l'enregistrement | X | ||
| B Shield Platform Encryption | Cryptage des données confidentielles au repos et en transit | X | ||
| Authentification unique | Accorder l'accès à plusieurs applications via une seule connexion | X | X | |
| Système de gestion des identités inter-domaines (SCIM) | Gérer les identités entre les systèmes via des API REST | X | ||
| Détection des menaces | Utiliser les statistiques et l'apprentissage machine pour détecter les menaces | X | ||
| Plages IP approuvées | Définir des adresses IP qui ne nécessitent aucune vérification supplémentaire | X | ||
| Rapport sur l'accès utilisateur | Obtention d'une vue unifiée de l'accès aux objets, aux enregistrements et aux autorisations de vos utilisateurs | X | X |
| Ressource | Description | Sécurité organisationnelle | Sécurité de la session | Sécurité des données |
|---|---|---|---|---|
| Guide d'architecture de partage | En savoir plus sur les outils d'accès, les modèles de partage et les cas d'utilisation | X | ||
| Modèle Design Standards | Créer des normes de conception pour votre organisation | X | X | X |
| Comment élaborer un modèle de sécurité utilisateur | Meilleure compréhension des modèles de sécurité utilisateur | X | X | |
| Comment implémenter le principe du moindre privilège dans Salesforce | Apprentissage de l'application des contrôles d'accès aux données PoLP dans Salesforce | X | X | |
| Surveiller les sessions utilisateur | Examiner les sessions actives et mettre fin aux sessions suspectes | X | ||
| Authentification multifacteur | Accéder aux ressources MFA officielles depuis Salesforce | X | ||
| Groupes d'ensembles d'autorisations (Trailhead) | Pratique des groupes d'ensembles d'autorisations | X | X | |
| Architecture REST API | Comprendre les termes et concepts de l'API REST | X | X | X |
| Sécurité et API SOAP | Compréhension des termes et concepts de l'API SOAP | X | X | X |
| Meilleures pratiques de sécurité pour les utilisateurs d'API et de système interne | Sécuriser l'accès des utilisateurs d'API et des utilisateurs système internes à Salesforce | X | ||
| Guide d'implémentation de la sécurité | Examinez une vue complète de Salesforce Security | X | X | X |
| Modèle de politique de sécurité | Définition de stratégies de sécurité pour votre organisation | X | X | X |
| Types de session | Identifier les types de session utilisés pour accéder à votre organisation | X | ||
| Concepts fondamentaux de la modélisation des menaces (Trailhead) | Découvrez les menaces de sécurité et comment les prévenir. | X |
Aidez-nous à garder Salesforce Well-Architected pertinent pour vous ; répondez à notre sondage pour nous faire part de vos commentaires sur ce contenu et nous dire ce que vous souhaitez voir ensuite.