• Accueil / Salesforce / Quand une organisation…
, Quand une organisation Salesforce n&rsquo;est-elle pas sécurisée ?<span class="wtr-time-wrap after-title"><span class="wtr-time-number">1</span> minutes de lecture</span>

Quand une organisation Salesforce n’est-elle pas sécurisée ?1 minutes de lecture


Nous avons tous vu ces films où les gentils font irruption dans une installation sécurisée. D’une manière ou d’une autre, ils se faufilent juste devant les gardes qui suivent toujours le même chemin et rejettent chaque son – une toux, un éternuement ou un claquement de brindille – « ce n’est probablement rien ». Mais vous êtes-vous déjà demandé à quel point le système derrière l’installation « sécurisée » est conçu ? Il y a des caméras, des patrouilles, des détecteurs de mouvement et des alarmes de porte. Le système devrait être assez robuste pour empêcher ces intrus embêtants d’entrer.

Hollywood mis à part, reconnaissons tous que la vigilance est une tâche sans fin, et votre organisation Salesforce ne fait pas exception. Il existe plusieurs couches de protection qui peuvent vous aider à assurer la sécurité de votre organisation Salesforce. Nous allons jeter un coup d’oeil.

, Quand une organisation Salesforce n&rsquo;est-elle pas sécurisée ?<span class="wtr-time-wrap after-title"><span class="wtr-time-number">1</span> minutes de lecture</span>

Le défi est réel

Nous n’avons peut-être pas à faire face à des rédacteurs hollywoodiens qui pénètrent dans nos périmètres de sécurité, mais nous devons reconnaître que nous conservons des données d’entreprise précieuses dans nos organisations Salesforce – en particulier les clients données personnelles ou informations personnellement identifiables (PII).

Nous devons supposer qu’une attaque peut provenir à tout moment d’une variété de vecteurs différents. Heureusement, nous avons un excellent partenaire dans Salesforce. Ce partenaire offre une plate-forme incroyable qui donne aux professionnels comme nous une base sûre sur laquelle s’appuyer.

Mais il est important de se souvenir du modèle de responsabilité partagée de Salesforce. Dans ce cas, partagé Cela signifie que dès que nous commençons à modifier les configurations, à effectuer un développement personnalisé ou à installer des applications dans notre organisation, nous devenons responsables de la sécurité de nos données et de nos informations personnelles.

Bref, dès que nous commençons à changer Salesforce et à introduire des failles de sécurité, nos données deviennent une cible attractive. Il est de notre responsabilité de le protéger.

Il y a trois « Couches de sécurité » dont nous sommes responsables dans le modèle de responsabilité partagée de Salesforce :

Couche d’application

  • Code personnalisé (Apex, Visualforce, LWC, Aura)
  • Bibliothèques de logiciels (composants Open Source comme jquery, etc.)
  • Runtime (failles d’injection XSS, SOQL & SOSL)
  • Packages tiers (applications gérées depuis AppExchange)

Couche d’architecture

  • Contrôles d’accès des utilisateurs – Principe du moindre privilège
  • Autorisations d’objets – Accès là où l’accès est nécessaire
  • Audit, surveillance des événements et journalisation
  • IAM – Gestion des identités et des autorisations (c’est-à-dire SSO, 2FA, etc.)

Couche de données

  • Chiffrement
  • Masquage des données
  • Sauvegarde et restauration des données

Répondre à la question

La sécurité est le processus consistant à maintenir un niveau de vigilance raisonnable pour vous permettre de concentrer vos ressources sur la progression de votre entreprise. Alors, à quand votre organisation Salesforce ne pas sécurise? C’est quand ces trois points importants sont manqués :

  1. Ne pas évaluer chaque personnalisation externe et interne.
    Cela peut sembler évident, mais la première étape consiste à s’assurer que chaque effort de développement personnalisé, modification de configuration ou installation d’application profite des meilleurs tests de sécurité disponibles et ne met pas en péril votre posture de sécurité Salesforce. Pour les menaces externes, la portée est la communauté Salesforce et les sites Force.com. Pour les menaces internes, l’étendue concerne tous les services Salesforce en interne. Il est important de vérifier chaque fois qu’une modification est apportée. L’introduction par inadvertance de vulnérabilités vous mettra en danger.
  2. Ne pas évaluer les bibliothèques de logiciels tiers.
    Si votre développement Salesforce s’appuie sur des bibliothèques logicielles tierces (par exemple, des packages Javascript ou open source), vous devrez vous assurer qu’elles ne sont pas obsolètes avec Vulnérabilités et expositions communes (CVE) ou des exploits publics signalés à leur sujet. Lorsqu’une version de cette bibliothèque n’est pas sécurisée, vous devez prendre des mesures en corrigeant ou en remplaçant la bibliothèque.
  3. Ne pas surveiller régulièrement votre base de code.
    Vous devez surveiller régulièrement votre base de code et vos configurations, car tout changement peut impacter votre périmètre. Vous devez être immédiatement informé de toute vulnérabilité.

En prenant du recul, concentrons-nous sur le moment où tous les membres de votre organisation se sentent à l’aise avec les processus de sécurité Salesforce en place. Comment y arrives-tu ? Commencez par vous poser ces questions :

  • Vos développeurs et administrateurs testent-ils leur travail tôt et souvent, avant le déploiement ?
  • Les responsables de la sécurité et de la conformité évaluent-ils en permanence votre posture de sécurité Salesforce ?
  • L’état de la sécurité de votre PII est-il régulièrement communiqué à la direction ?

Salesforce DevSecOps : la sécurité est un processus, pas une destination

Si vous avez mis en place un processus Salesforce DevSecOps qui fournit des réponses positives aux questions ci-dessus, vous saurez que votre sécurité est proactive et que votre posture est solide. Sinon, votre processus est susceptible réactif et nécessite un renforcement – vous aurez besoin du soutien du sommet en termes de budget et de ressources.

, Quand une organisation Salesforce n&rsquo;est-elle pas sécurisée ?<span class="wtr-time-wrap after-title"><span class="wtr-time-number">1</span> minutes de lecture</span>

Parlez à votre équipe des domaines suivants :

  • Les nouvelles personnalisations ont-elles été testées de manière approfondie pour détecter les failles de sécurité des applications ?
  • À quand remonte la dernière fois que toutes les bibliothèques tierces de votre organisation ont été vérifiées pour leur publication publique CVE?
  • Modifications de configuration apportées à votre organisation qui n’étaient ni planifiées ni analysées.

L’incertitude est le moyen le plus clair de savoir si votre organisation Salesforce est ne pas sécurise. Cependant, si votre entreprise a établi un processus clair et rigoureux pour la sécurité de Salesforce (avec tous les membres de l’équipe capables de tester cette norme), vous saurez que votre organisation Salesforce est protégée de manière proactive.

Passer à l’action

Voici quelques mesures immédiates que vous pouvez prendre pour sécuriser votre organisation Salesforce :

  • Faites des revues de sécurité un sujet régulier à l’ordre du jour de votre équipe Salesforce.
  • Établissez une base de sécurité avec laquelle tous les membres de votre organisation se sentent à l’aise. Concevez ensuite des tests et des vérifications qui évaluent votre code, vos bibliothèques, vos applications, votre configuration et vos intégrations de manière objective.
  • Reconnaître qu’il ne s’agit pas d’un exercice ponctuel qui ne doit avoir lieu qu’une fois par an ; c’est un processus évolutif. Comme la technologie évolue constamment, les processus de sécurité nécessitent une adaptation constante. Même si vous n’apportez aucun changement au sein de votre organisation aujourd’hui, vous constaterez que des vulnérabilités et des exploits externes surviennent tout le temps.

Résumé

Il doit y avoir une cadence régulière ainsi qu’une capacité ad hoc pour évaluer la sécurité de Salesforce. De cette façon, vous aurez à la fois la confiance et l’intelligence que les processus protégeant votre organisation sont suivis avec diligence – tout en rendant plus difficile le passage des « méchants » !

Lectures complémentaires pour Salesforce Security :



Source de l’article traduit automatiquement en Français

Besoin d'aide ?
Vous utilisez Pardot depuis un certain temps mais vous n'êtes pas sûr d'en
exploiter tout le potentiel

Notre analyse de votre Pardot offerte dès aujourd'hui
Merci, vous pouvez compléter notre questionnaire
Nous allons revenir vers vous rapidement !

Fermer