Il faut parfois des heures de recherche dans les profils, les ensembles d’autorisations, les groupes d’ensembles d’autorisations, etc. pour comprendre les droits d’un utilisateur dans Salesforce (et la façon dont il les a obtenus). Lorsque votre équipe de sécurité reçoit des demandes urgentes pour savoir quelles données sensibles les employés partis travailler chez un concurrent ont pu emporter avec eux, le temps est compté.
Lorsque le respect des délais entraîne une pression à la fuite en avant, cela peut causer plus de mal que de bien. L’octroi d’un accès à l’échelle du système à des personnes dans Salesforce peut permettre aux utilisateurs d’accéder à toutes vos données et mettre votre organisation en danger.
Erick Mahle, directeur CRM senior chez First Advantage, nous livre avec David Gibson, vice-président senior des programmes stratégiques chez Varonis, les bonnes pratiques en matière de gestion et d’analyse des autorisations dans Salesforce et nous explique comment la recherche de solutions rapides peut avoir des résultats indésirables.
Voir notre session "Démêler les profils et les autorisations dans Salesforce"
Comprendre la dette technique
Lorsque les organisations renoncent aux normes relatives aux profils et aux autorisations dans Salesforce, il peut en résulter un alourdissement de la dette technique.
Le manque de rigueur dans l’octroi d’accès aux utilisateurs et l’absence de révision active des profils et des autorisations Salesforce sont fréquents, et de nouveaux projets sont toujours en cours, ce qui peut entraîner une augmentation de la dette technique. Cependant, lorsque les entreprises laissent cette dernière s’accumuler, le risque de cyberattaque s’accroît également.
Comment les organisations peuvent-elles réduire de manière proactive l’accès à leurs données sensibles et éviter de faire face à plus de risques ? Erick nous partage ses conseils pour aider les entreprises à rembourser leur dette technique.
1. Ralentissez.
Le principe est simple : ne vous endettez pas plus que nécessaire, mais cela peut être plus facile à dire qu’à faire. Faites attention aux données que vous ajoutez à Salesforce et faites de votre mieux pour utiliser les profils et les ensembles d’autorisations qui existent déjà, afin de ne pas en ajouter d’autres à la liste.
2. Examinez vos administrateurs.
Demandez-vous qui a vraiment besoin d’être administrateur système ? Un accès super administrateur suffirait-il ? Peut-être que l’utilisateur n’a besoin d’aucun niveau d’autorisation. Le fait de limiter votre liste d’administrateurs et de définir les personnes qui y ont accès vous permet de mieux appréhender les risques éventuels. C’est une bonne pratique recommandée.
3. Planifiez votre transition des profils aux ensembles d’autorisations et aux groupes d’ensembles d’autorisations.
Salesforce prévoit de supprimer les autorisations sur les profils d’ici 2026. L’examen des profils et des ensembles d’autorisations dont vous disposez maintenant, ainsi que la suppression des profils inutilisés et redondants, de même l’absence de création de nouveaux profils vous aidera à accomplir cette transition avant qu’elle ne soit officiellement effective.
4. Tirez parti de l’expiration des attributions lorsque c’est possible.
Une fonctionnalité plus récente comprenant les ensembles d’autorisations et les groupes d’ensembles d’autorisations vous permet d’accorder des affectations avec des dates d’expiration, ce qui peut aider à éliminer l’accès persistant pour les utilisateurs qui n’en ont plus besoin. Si votre super administrateur est en vacances pendant une semaine, vous pouvez désormais définir une date d’expiration de ses accès pour ses remplaçants.
5. Vérifiez les paramètres de partage par défaut à l’échelle de votre organisation.
Les paramètres de partage par défaut du personnel interne de votre entreprise et de vos partenaires externes peuvent vous surprendre. Parfois, les différents services ne savent pas quelles données sont sensibles ou réglementées, et ils peuvent apporter des modifications ou modifier les paramètres par défaut. Vérifiez régulièrement les configurations de partage par défaut, afin d’éviter un accès en lecture public, en effectuant un bilan de sécurité Salesforce, ou utilisez un outil d’automatisation tel que Varonis pour le faire à votre place en permanence.
6. Vérifiez les profils des utilisateurs invités.
Si vous utilisez les communautés dans Salesforce, faites attention aux autorisations de vos utilisateurs invités. L’audit de ces accès permet d’identifier les autorisations des invités qui vous auraient échappé en raison de mises à jour, de nouvelles versions ou de modifications de paramètres. Les communautés Salesforce incorrectement désactivées et mal entretenues, qualifiées de « sites fantômes » par le laboratoire de détection des menaces de Varonis, restent accessibles et vulnérables aux risques.
7. Assurez-vous que les environnements UAT et Sandbox sont verrouillés.
Que vous incluiez des données complètes ou partielles dans un environnement sandbox dans Salesforce, il convient de toujours les partager avec prudence. Les environnements sandbox sont souvent des copies conformes d’environnements de production et contiennent des données client sensibles dont les administrateurs système et les équipes de conformité peuvent ne pas avoir connaissance. La plupart du temps, les utilisateurs se voient accorder davantage d’accès dans les environnements sandbox pour apporter plus de modifications, ce qui finit par leur donner accès à de nombreuses données dont ils n’ont pas besoin ou dont ils ne sont pas conscients.
8. Soyez attentif à la façon dont vous gérez les données dans les bacs à sable.
En lien avec le point ci-dessus, Erick suggère d’exporter des contacts dans un tableur Excel et de transformer tout nom ou toute donnée sensible en alias tels que « compte 1 », « compte 2 », etc., afin de masquer les données sensibles.
9. Attention aux autorisations générales telles que « exporter » et « modifier toutes les données. »
Un trop grand nombre d’administrateurs système entraîne le risque d’exportations et de modifications non justifiées des données. Quelqu’un qui ne connaît pas les bonnes pratiques ou ne comprend pas le danger lié à ce niveau d’accès pourrait accorder plus d’autorisations aux autres, augmentant ainsi la dette technique de l’organisation. Accorder un accès injustifié aux utilisateurs est très risqué et constitue une combinaison toxique. Par exemple, accorder à un commercial mécontent une autorisation d’accès totale en lecture et en exportation lui donne la possibilité de quitter l’entreprise avec l’ensemble de votre environnement.
10. Identifiez et supprimez les profils et autorisations inutilisés et redondants.
Lorsque l’accès administrateur système est accordé à des personnes pour des besoins spécifiques, la liste des utilisateurs commence à s’allonger. La suppression des profils et des autorisations inutilisés peut aider à réduire le risque de partage ou de modification des données qui ne sont pas censés exister, et ouvre la voie à la prochaine suppression des profils.
Comment Varonis peut vous aider :
Les équipes de sécurité des données de Varonis simplifient les paramètres dans Salesforce afin que vous n’ayez pas à le faire, vous offrant une vue globale des droits utilisateur d’un simple clic.
Notre plateforme SaaS vous donne rapidement une visibilité en temps réel sur vos données sensibles exposées et automatise les actions nécessaires pour réduire votre surface d’exposition.
Pour en savoir plus sur l’identification des profils et des autorisations dans Salesforce et sur la manière dont Varonis peut vous aider, regardez notre webinaire en entier.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.