Protection des données avec le principe du moindre privilège
Au cours des dernières décennies, les meilleures pratiques en matière de cybersécurité ont évolué à de nombreuses reprises. Avec l’évolution des menaces pesant sur les chaînes d’approvisionnement et des méthodes employées par les acteurs malveillants, les approches traditionnelles en matière de sécurité des réseaux (par exemple, le recours à des défenses de périmètre et à des réseaux de confiance) ne sont plus des solutions viables. À la place, les organisations adoptent une stratégie de sécurité Zero Trust, fondée sur le principe du moindre privilège, pour protéger leurs données importantes.
Sécurité Zero Trust et principe du moindre privilège
Prenons l’exemple de votre domicile. Avec une défense de périmètre traditionnelle, toute personne disposant de la clé de votre logement ou connaissant le code de votre alarme peut pénétrer chez vous et accéder au garde-manger de votre cuisine ou encore fouiller l’armoire de votre salle de bain. Lorsque vous utilisez un cadre Zero Trust, la clé ou le code de l’alarme ne vous permettent d’accéder qu’à la porte d’entrée : il vous sera nécessaire de prouver systématiquement votre identité pour accéder aux différentes pièces et armoires. Alors, que cela implique-t-il dans le contexte de la sécurité de l’information ?
La sécurité Zero Trust se conforme au principe du moindre privilège en n’accordant aux utilisateurs, aux appareils, aux applications et aux systèmes que le niveau minimum de privilèges requis pour exécuter leurs tâches. Un utilisateur donné n’a accès qu’à certains éléments (applications, services, etc.) via une séquence d’actions prédéfinie, ce qui empêche les pirates informatiques de causer des dégâts conséquents dans l’éventualité où ils parviendraient à accéder au réseau.
Application du principe du moindre privilège à votre organisation Salesforce
Une organisation Salesforce abrite une quantité considérable de données client et utilisateur précieuses, et leur protection constitue une priorité absolue. L’un des plus grands défis de la protection des données à l’intérieur même d’une organisation consiste à déterminer le type d’informations auxquelles chaque utilisateur doit avoir accès. C’est là que le principe du moindre privilège, qui joue un rôle fondamental en matière de sécurité de l’information, peut s’avérer très utile. Suivre ce principe implique de n’octroyer aux utilisateurs que le nombre minimal d’autorisations dont ils ont besoin pour accomplir leurs fonctions. Le fait de limiter les autorisations des utilisateurs empêche les accès non autorisés aux dossiers et aux informations sensibles. En fin de compte, le respect du principe du moindre privilège peut réduire de manière significative les risques de sécurité auxquels une organisation est exposée.
Les mêmes principes peuvent être appliqués dans le cadre de la limitation des accès au sein d’une organisation Salesforce. Les administrateurs Salesforce ont la possibilité d’appliquer le principe du moindre privilège à leurs utilisateurs en configurant les ensembles d’autorisations de sorte qu’ils n’octroient qu’un accès minimal. Toutefois, il n’est pas rare d’accorder par accident un nombre excessif d’autorisations, et il est courant d’hériter d’organisations où certains utilisateurs disposent d’un trop grand nombre de privilèges. Nous avons récemment annoncé la fin de vie des autorisations sur les profils afin d’aider les administrateurs à procéder à la gestion de leurs utilisateurs en prenant en considération le principe du moindre privilège, qui sera déployé dans la version Spring ’26.
Voici ce que peuvent faire les administrateurs pour se préparer à ce changement :
-
Procéder à un audit des privilèges en examinant tous les comptes et autorisations existants afin de veiller à ce qu’il n’y ait pas d’accumulation de privilèges inutiles.
-
Attribuer aux utilisateurs le profil de moindre privilège de Salesforce (le profil utilisateur Accès minimum) et octroyer des autorisations à l’aide d’ensembles d’autorisations et de groupes d’ensembles d’autorisation en fonction des accès requis.
Préparatifs pour une réussite assurée
Que vous découvriez tout juste Salesforce ou que vous veniez de réaliser un audit pour avoir une meilleure vision d’ensemble des autorisations dont disposent actuellement vos utilisateurs, voici quelques questions à vous poser lorsque vous attribuerez des autorisations à vos utilisateurs à l’avenir :
-
Cet utilisateur a-t-il absolument besoin de ce niveau d’autorisation pour effectuer son travail ?
-
Est-il possible de le limiter ou de le réduire de quelque manière que ce soit ?
-
L’autorisation accordée peut-elle être restreinte davantage en fonction de durées/sessions ?
-
L’utilisateur sera-t-il encore en mesure de faire son travail si l’autorisation est davantage limitée ?
N’oubliez pas que, selon le principe du moindre privilège, un utilisateur doit être en mesure d’exercer ses fonctions habituelles, mais ne pas disposer de privilèges supplémentaires ou inutiles. Découvrez comment la fin de vie des autorisations sur les profils permettra de limiter les privilèges des utilisateurs dans Salesforce. De plus, nous fournirons bientôt davantage d’informations sur la façon de vous préparer à la publication de cette mise à jour. Pour en savoir plus sur la manière de renforcer la sécurité de votre instance Salesforce, consultez notre page relative aux meilleures pratiques en matière de sécurité.