Crédit : Dreamstime
La technologie de marketing, ou « martech », continue de devenir de plus en plus complexe et plus cruciale pour le fonctionnement de l’entreprise.
Pour de nombreuses entreprises, la plate-forme de gestion de la relation client (CRM) basée sur le cloud Salesforce est une pièce maîtresse de la stratégie martech. Salesforce est largement leader sur le marché du CRM, avec 19,8 % de part de marché, selon le cabinet d’études IDC.
Garantir que l’application Salesforce d’une entreprise est sûre et sécurisée doit être une priorité majeure pour la cybersécurité et l’informatique. leaders puisque les systèmes CRM traitent généralement de gros volumes de données délicates sur les consommateurs. De nouvelles vulnérabilités et des erreurs ou oublis courants peuvent mettre ces informations en danger.
Les entreprises « localisent des informations extrêmement précieuses dans Salesforce « , déclare Jeff Pollard, vice-président et analyste principal chez Forrester Research. « C’est l’endroit où les opportunités deviennent des revenus et les clients potentiels deviennent des clients. Pour un cambrioleur, accéder à Salesforce implique potentiellement d’accéder à de nombreuses informations sur les entreprises. »
En d’autres termes, Salesforce est une cible attrayante . Alors que les professionnels s’accordent à dire que la plate-forme elle-même est raisonnablement sûre – « offrait la solide technique de défense en profondeur que Salesforce applique en interne », déclare Brian Olearczyk, directeur des bénéfices chez RevCult, une société de sécurité et de gouvernance récemment rachetée par OwnBackup – c’est toujours une surface d’attaque énorme.
Les organisations « ont besoin de l’implémenter, de la configurer et de l’établir dans une méthode protégée pour éviter les vulnérabilités en matière de sécurité et de confidentialité », explique Olearczyk.
Peut-être le plus célèbre Salesforce la violation de données a illustré à quel point cela peut devenir désordonné. En 2019, la vendeuse Hanna Andersson a en fait exposé des informations, apparemment en raison de logiciels malveillants qui ont pénétré Salesforce lui-même. Une série de poursuites a suivi, les deux entreprises supportant des coûts qui se sont poursuivis jusqu’à la fin de 2020.
Voici 7 péchés capitaux, erreurs et angles morts à éviter pour sécuriser les détails importants enregistrés et utilisés dans Salesforce, avec un expert conseils sur la façon de les résoudre.
1– Compter sur Salesforce pour tout gérer
Les professionnels de la sécurité expérimentés ne tomberont pas sous le coup » ils vont le sécuriser « , mais certaines petites entreprises ou magasins informatiques sans expertise en sécurité le font.
Ce n’est pas unique à Salesforce ; c’est courant dans les applications de logiciel en tant que service (SaaS). « D’après notre expérience, de nombreuses vulnérabilités de la plate-forme SaaS proviennent du fait que les clients ne comprennent pas que la cybersécurité est une responsabilité partagée avec l’entreprise SaaS », déclare Andy Ognenoff, directeur général et technologue en chef pour l’Amérique du Nord du Salesforce Business Group chez Accenture, un fournisseur de services informatiques. .
« Il faut un effort préalable et continu pour sécuriser les applications cloud par le consommateur », déclare Ognenoff. « Les vulnérabilités se manifestent fréquemment par des utilisateurs surprovisionnés avec des autorisations à haut risque, des informations extrêmement libérales ayant accès à la configuration et des applications tierces non autorisées accédant aux données de l’entreprise, entre autres. »
Le 2020 L’étude de recherche State of Salesforce Security Report, réalisée par RevCult, a souligné ce point. Les utilisateurs de Salesforce eux-mêmes ont tendance à produire des vulnérabilités lorsque les équipes de développement des applications d’entreprise personnalisent et développent leurs instances Salesforce pour s’adapter à leurs cas d’utilisation et workflows de service distincts, explique Olearczyk. Ce n’est pas quelque chose que Salesforce, en soi, peut jamais totalement protéger contre.
2– Ne pas définir de programme de sécurité et de propriétaire
Reconnaître un devoir partagé est le premier, et tout devoir a besoin d’un propriétaire. RevCult a découvert que de nombreuses entreprises manquent constamment de programmes de sécurité clairs pour la plate-forme, des outils nécessaires pour prendre en charge le programme et des compétences de sécurité de Salesforce.
Ce travail peut être confié par défaut aux équipes marketing, commerciales et informatiques exécutant Salesforce. . Néanmoins, il y a un manque de compréhension des groupes Salesforce concernant les informations sur la politique de sécurité des informations et les exigences pour répondre aux normes réglementaires et de conformité, dit Olearczyk. « Malheureusement, nous constatons fréquemment que personne ne le possède ; pour cette raison, les menaces ne sont pas atténuées, en particulier [avec] des données client délicates et réglementées », déclare-t-il.
Salesforce produit une grande quantité de détails et documents de conformité associés à ses propres efforts de sécurité.
En termes de renforcement des capacités de sécurité spécifiques à Salesforce, l’entreprise fournit une certification particulièrement concentrée sur la gestion des identités et des accès dans Salesforce, » développée pour ceux qui examinent l’environnement d’architecture et les exigences et le style des services sonores, évolutifs et hautement performants sur la plate-forme Force.com qui répondent aux exigences d’authentification unique (SSO). «
Avoir une équipe et/ou une équipe, en fonction de l’ampleur de la version, pour posséder la sécurité comme une toute première obligation et cultiver la compréhension et les compétences peut aider à résoudre un grand nombre des problèmes qui suivent.
3– Ne pas catégoriser les données
Toutes les données ne sont pas identiques, donc différents types d’informations nécessitent différents niveaux de sécurité. Il s’agit d’un concept clé identifié, par exemple, dans l’approche toujours émergente de la sécurité sans confiance.
Parmi les conclusions cruciales de l’étude RevCult, il y a que quelques utilisateurs de Salesforce ont en fait classé leurs informations et pour cette raison ne savent pas quoi Les entreprises doivent également avoir une compréhension en temps réel, explicite et vérifiée des données dont elles disposent dans Salesforce. « Évaluez toutes les données dont vous disposez et désignez la valeur en fonction de la catégorie interne des classifications de conformité qui s’appliquent », Olearczyk déclare.
« Sans cette valeur, vous effectuerez des procédures de protection et proc esses qui sont bruyantes et fournissent trop de positifs incorrects ou de négatifs incorrects et ne sont pas aussi exploitables que vous le pensez. » Ce travail de catégorie de données sera une toute première tâche pour le propriétaire ou le groupe de sécurité défini dans l’action deux ci-dessus.
4– Ne pas comprendre les flux de travail et les processus entre les départements
Des zones aveugles interfonctionnelles persistent autour de la façon dont l’organisation Salesforce d’une entreprise est réellement utilisée. Salesforce est une plate-forme personnalisable, avec des workflows transformés en configurations et paramètres personnalisés. En règle générale, ceux qui effectuent la configuration vivent dans des secteurs d’activité ou des services.
« Les groupes de développement s’alignent généralement sur des lignes de service spécifiques : ventes, marketing, finance, support client, support, même RH [humain ressources]– et non la sécurité de l’information, ils développent donc la plate-forme sans penser aux contrôles de sécurité de l’information, explique Olearczyk.
Ce manque de compréhension de la façon dont tous les points sont liés se manifeste finalement par « un accès trop important à . » Sans garder à l’esprit la sécurité, les administrateurs et les développeurs peuvent dans certains cas confondre les petits rôles fondamentaux et ensembles d’autorisations suffisants et ouvrir accidentellement l’accès des utilisateurs à des données sensibles.
« Nos engagements avec nos clients révèlent un quasi- déconnexion universelle entre l’application et la configuration et les exigences du programme de sécurité de l’entreprise », explique Olearczyk.
5– Mauvaise configuration des API
Il est également crucial de garder à l’esprit que Certains des problèmes de sécurité incluent les interfaces de programmes d’application (API) Salesforce. Cela est particulièrement approprié compte tenu de la quantité d’informations entrant et sortant de Salesforce pour prendre en charge une grande variété de procédures d’organisation de bout en bout.
Juste comme d’autres problèmes de sécurité, ce n’est pas spécial pour Salesforce. Les recherches du SANS Institute ont révélé que les attaques contre les API se multiplient, et les professionnels de la sécurité craignent que les erreurs de configuration des API puissent exposer leurs entreprises à l’exposition des informations.
« Les équipes de sécurité ont besoin négocier avec des intégrations comme tous les autres utilisateurs et confirmez la configuration et la gestion appropriées des privilèges d’accès », déclare Olearczyk. « C’est une gestion continue qui nécessite d’être gouvernée au moment du déploiement puis sur une cadence de routine. »
6– Communautés ou autres éléments mal configurés
Salesforce est une grande plate-forme avec beaucoup d’éléments, d’alternatives et de fonctions différents.
N’importe lequel d’entre eux peut subir une configuration mal informée ou négligente. RevCult voit des vulnérabilités typiques tout au long de l’accès aux contrôles, des utilisateurs trop privilégiés, des implémentations d’intégration mal contrôlées et des capacités premium mal ou incomplètement exécutées telles que la surveillance des événements Salesforce Guard.
Dans un exemple récent pour faire l’actualité, un scientifique en sécurité a identifié une mauvaise configuration dans les quartiers de Salesforce qui peut exposer par inadvertance des informations sensibles.
7– Ne pas élargir continuellement l’effort de sécurité
Propriété du programme de sécurité, comme indiqué ci-dessus, aidera à éviter ou à corriger les erreurs fondamentales. À mesure que les implémentations de Salesforce se développent, il faudra néanmoins que la ville proverbiale intensifie ses efforts pour protéger les données contre les erreurs telles que la configuration des communautés.
Alors qu’un nombre croissant d’administrateurs, de développeurs et d’utilisateurs finaux touchent la plate-forme, il sera crucial de continuer à développer la sensibilisation et la compréhension de la sécurité au-delà du groupe central.
Un excellent moyen de traiter tout détachement est de construire une relation solide entre l’équipe d’application Salesforce, les propriétaires de ligne de l’entreprise et les groupes de sécurité , déclare Ognenov. « La sécurité peut permettre la dextérité pour l’entreprise, mais il peut être difficile de débloquer cette valeur si la sécurité est une réflexion après coup ou considérée comme un obstacle », déclare-t-il.
Les équipes de sécurité doivent être présentes pour gérer le risque. exposition directe des applications SaaS telles que Salesforce, déclare Ognenoff, « il est donc essentiel d’intégrer Salesforce dans les stratégies de surveillance et d’action existantes. »
Accenture suggère que les utilisateurs de Salesforce tirent le meilleur parti de Salesforce Guard et des différentes capacités de journalisation de la plate-forme, les détails de sécurité de l’entreprise connectés et les outils de gestion des événements (SIEM) et les procédures d’action d’événement.
Cette vaste équipe comprend Salesforce elle-même. Pour sa part, la société déclare qu’elle continuera à faire de la sécurité une priorité absolue pour la plate-forme. L’entreprise « intègre la sécurité dans tout ce que nous faisons », explique Trey Ford, vice-président de la méthode et de la confiance chez Salesforce. « Absolument rien n’est plus vital que nos clients comprennent que leurs données sont sûres – qu’elles soient accessibles quand, où et comment elles signifient. »
Les clients ont en fait découvert que 3 des services de sécurité proposés par l’entreprise sont particulièrement important, déclare Ford. L’un est Security Center, qui permet aux administrateurs de rationaliser la gestion de la sécurité tout en identifiant les dangers plus rapidement.
Un autre est Shield, qui protège l’ensemble de l’entreprise avec des outils qui renforcent la confiance, la transparence, la conformité et la gouvernance dans tous les domaines. Applications Salesforce. Le troisième est Data Mask, un outil développé pour aider les consommateurs à personnaliser, développer et tester sur Salesforce tout en protégeant les données privées.
« Nous identifions que les cybercriminels deviennent de plus en plus sophistiqués », déclare Ford. « Nos groupes d’articles et de sécurité innovent constamment pour garder une longueur d’avance. Naturellement, la sécurité reste un devoir partagé entre Salesforce et nos clients.
» Une partie de la stratégie de sécurité globale de toute entreprise responsable consiste à organiser ses expositions en problèmes qu’ils doivent gérer pour l’entreprise et choisir ceux qui peuvent être transmis à Salesforce. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
