Trust

Salesforce Trust

S'informer en matière de sécurité

Salesforce est déterminée à établir la norme en matière de logiciel en tant que service en participant activement à la sécurité des clients.

 

Meilleures pratiques relatives à la sécurité

Salesforce s'engage à aider ses clients à renforcer leur sécurité lorsqu'ils accèdent à notre service. Dans un environnement où les menaces sont en constante évolution, nous recommandons vivement aux clients de prendre les mesures nécessaires pour empêcher tout accès non autorisé à leur organisation Salesforce.

Nous invitons notamment les administrateurs Salesforce à suivre les conseils présentés ici afin de sécuriser au maximum l'expérience des utilisateurs de Salesforce, tout en protégeant les données de leur société. Les fonctionnalités de sécurité ci-dessous, qui sont disponibles dans Salesforce, offrent des niveaux de sécurité supplémentaires avec la validation ou l'authentification des utilisateurs :

Authentification à deux facteurs

Avec l'authentification à deux facteurs, toutes les tentatives de connexion nécessitent des identifiants de connexion et un deuxième facteur d'authentification. Pour satisfaire ces exigences, vous pouvez utiliser Salesforce Authenticator ou les solutions équivalentes qu'offrent les fournisseurs de sécurité. Si les tentatives de connexion sont effectuées sans identifiant valide dans les deux sources, l'accès à Salesforce n'est pas accordé. Pour apprendre à implémenter cette fonctionnalité, reportez-vous à Aide et formation.

Plages IP de connexion

Les Plages IP de connexion limitent les accès non autorisés en demandant aux utilisateurs de se connecter à Salesforce à partir d'adresses IP désignées, généralement votre réseau d'entreprise ou VPN. En utilisant les Plages IP de connexion, les administrateurs peuvent définir une plage d'adresses IP autorisées afin de contrôler l'accès à Salesforce. Lorsque des utilisateurs tentent de se connecter à Salesforce à partir d'adresses IP extérieures à ces plages, l'accès ne leur est pas accordé. Si vous utilisez Professional Edition, Group Edition ou Personal Edition, vous pouvez configurer des Plages IP de connexion sous Contrôles de sécurité > Paramètres de la session. Si vous utilisez Enterprise Edition, Unlimited Edition, Performance Edition ou Developer Edition, vous pouvez configurer des Plages IP de connexion sous Gérer les utilisateurs > Profils. Pour apprendre à implémenter cette fonctionnalité, cliquez ici.

TLS 1.1 ou supérieur

À compter du 4 mars 2017, Salesforce exige que les connexions sécurisées aux organisations utilisent le tout dernier protocole TLS 1.1 ou supérieur afin de renforcer la sécurité de l'environnement et de pérenniser la conformité PCI. Les organisations qui utilisent le protocole TLS 1.0 doivent être mises à niveau pour maintenir l'accès aux intégrations d'API, la connexion aux communautés et aux sites, les échanges d'applications partenaires et l'accès des utilisateurs via leur navigateur.

Examinez comment vos utilisateurs et intégrations se connectent à Salesforce et assurez-vous que vos connexions prennent en charge le protocole TLS 1.1. Pour identifier les utilisateurs ou les intégrations qui utilisent le TLS 1.0, les administrateurs peuvent ajouter les champs « Protocole TLS » et « Méthode de chiffrement TLS » au rapport Historique des connexions.

Pour réussir la transition, nous vous invitons à prendre les mesures indiquées avant la date de désactivation. Pour préparer cette modification en suivant les meilleures pratiques, téléchargez la Liste de vérification de la préparation à la désactivation du TLS 1.0 (PDF).

Pour plus d'informations, reportez-vous à Désactivation du protocole TLS 1.0 par Salesforce et publiez vos questions dans le groupe Official: Salesforce Infrastructure de la communauté Success. Vous pouvez également regarder la vidéo Secure Connections: How TLS 1.0 disablement impacts your organization (webinaire) dans laquelle des experts présentent la désactivation.

Pour toute question complémentaire, ouvrez une requête auprès du Support via le portail Aide et formation.

Formation des utilisateurs sur le hameçonnage

Salesforce recommande vivement d'apprendre à tous les utilisateurs Salesforce à se protéger contre le hameçonnage. La plupart des cyber-attaques utilisent un programme malveillant afin d'infecter un ordinateur avec un code malveillant qui tente de voler des mots de passe, des données ou de provoquer le dysfonctionnement d'un ordinateur ou d'un réseau. Fort heureusement, il n'est pas nécessaire d'être un expert en sécurité pour stopper les programmes malveillants.

Voici quelques recommandations simples à transmettre aux utilisateurs de Salesforce :

Apprenez aux utilisateurs à ne pas se laisser piéger par l'hameçonnage, à ne pas cliquer sur les liens ni ouvrir les pièces jointes des e-mails suspects. L'une des techniques les plus efficaces en cyber-attaque consiste à inciter le destinataire d'un e-mail à cliquer sur un lien ou à ouvrir une pièce jointe qui en réalité installe un programme malveillant. Cette technique est appelée hameçonnage, car elle trompe l'utilisateur pour récupérer des informations confidentielles. Les e-mails d'hameçonnage peuvent s'appuyer sur un contenu intéressant, utile ou légitime provenant d'une société ou institution réelle (livraison de colis, banque, trésor public, réseau social, etc.).

Demandez aux utilisateurs de ne jamais ouvrir les e-mails provenant de sources inconnues. Les hackeurs veulent que les utilisateurs cliquent sur un lien afin d'infecter leur ordinateur. Indiquez également aux utilisateurs d'évaluer les e-mails reçus d'une source inconnue en fonction de la source et de l'objet. En cas de doute, il peut s'agir d'un e-mail malveillant. Les utilisateurs doivent toujours vérifier l'adresse de l'expéditeur et ils peuvent examiner tous les liens vers des URL en les survolant. Par exemple, si le lien indique qu'il provient de Salesforce, un survol du lien doit toujours afficher une URL se terminant par « .salesforce.com ».

En cas de doute sur la légitimité d'un e-mail Salesforce, transférez-le à l'adresse security@salesforce.com. Reportez-vous aux exemples d'hameçonnage récents ci-dessous.

Mon domaine

Mon domaine permet d'ajouter un domaine personnalisé à l'URL de votre organisation Salesforce. Un domaine personnalisé permet de mettre en évidence votre marque et de renforcer la sécurité de votre organisation. Vous pouvez également appliquer nos meilleures pratiques qui recommandent de ne pas spécifier de nom d'instance dans un code et dans les intégrations (par exemple, na1.salesforce.com). Cette précaution garantit pour vous et vos utilisateurs une expérience transparente durant les opérations de maintenance.

En utilisant Mon domaine, vous définissez un domaine personnalisé qui fait partie de votre domaine Salesforce. Un domaine personnalisé est un sous-domaine d'un domaine principal. Par exemple, le sous-domaine de la société Universal Containers est « universal-containers » dans https://universal-containers.my.salesforce.com.

Un nom de sous-domaine personnalisé facilite la gestion de la connexion et de l'authentification à votre organisation de plusieurs façons. Vous pouvez :

  • Bloquer ou rediriger les requêtes de page qui n'utilisent pas le nouveau nom de domaine
  • Définir une stratégie de connexion personnalisée afin de déterminer comment les utilisateurs sont authentifiés
  • Travailler simultanément avec plusieurs organisations Salesforce
  • Permettre aux utilisateurs de se connecter en utilisant un réseau social, tel que Google et Facebook, depuis la page de connexion
  • Permettre aux utilisateurs de se connecter une seule fois pour accéder à des services externes
  • Mettre en évidence l'identité de votre société avec votre URL de domaine unique
  • Personnaliser l'écran de connexion et le contenu du cadre droit avec votre marque

Pour en savoir plus sur Mon domaine et son implémentation pour votre organisation, cliquez ici.

Stratégies de mot de passe

La sécurité avec des mots de passe forts est une première étape importante dans la protection de vos comptes Salesforce.

Salesforce recommande les meilleures pratiques suivantes :

  1. Expiration des mots de passe : Salesforce recommande d'imposer aux utilisateurs de réinitialiser leur mot de passe au maximum tous les 90 jours
  2. Longueur des mots de passe : Salesforce suggère une longueur minimale de 8 à 10 caractères pour les mots de passe
  3. Complexité des mots de passe : demandez aux utilisateurs d'inclure aussi bien des caractères alphabétiques que des caractères numériques dans leur mot de passe Salesforce.
    Rappelez-leur en outre de ne jamais réutiliser un mot de passe dans plusieurs comptes afin de ne pas compromettre plusieurs comptes à la fois en cas de piratage. Enfin, les utilisateurs doivent comprendre de ne jamais partager leur mot de passe avec autrui, que ce soit en ligne ou en personne, ce qui s'applique à leur mot de passe Salesforce.

Diminution des seuils d'expiration de session

Les utilisateurs laissent parfois leur ordinateur sans surveillance ou quittent sans se déconnecter. Vous pouvez protéger vos applications contre tout accès non autorisé en fermant automatiquement les sessions après une période définie. Le délai d'expiration par défaut est de 2 heures. Vous pouvez définir cette valeur de 30 minutes à 8 heures. Pour modifier le délai d'expiration de la session, cliquez sur Configuration > Contrôles de sécurité > Paramètres de la session.

Exemples d'hameçonnage

Les attaques par hameçonnage utilisent des e-mails frauduleux pour tromper les utilisateurs et récupérer des informations confidentielles. Généralement, ces e-mails semblent provenir d'une source légitime et peuvent inclure un lien qui reflète le site de l'organisation source. En réalité, ils pointent vers un faux site conçu pour capturer des informations.

Signalez les e-mails suspects en les transmettant à l'adresse security@salesforce.com.

Ces attaques étant de plus en plus sophistiquées, il est difficile de différencier un e-mail légitime d'un faux. Pour ne pas se laisser piéger, le plus efficace est de bien connaître et de rechercher les indices. Examinez les exemples d'attaques par hameçonnage récentes ci-dessous :

Signaler un e-mail suspect