Blog WatchGuard

Nos conseils pour bien se préparer à l’exigence MFA de Salesforce

En tant que première plateforme de gestion de la relation client, Salesforce est une cible de choix pour les pirates informatiques désireux de se faire de l’argent et de dérober les données sensibles de tous types d’entreprises. En connaissance de cause, Salesforce a introduit une nouvelle exigence applicable dès le 1er février 2022 : tous les clients doivent utiliser l'authentification multifacteur (MFA) pour accéder aux produits Salesforce.

En quoi consiste le risque ?

Le principal problème lié aux informations d’identification pour nombre d’entreprises est que leurs employés réutilisent les mêmes mots de passe pour différents comptes professionnels ET personnels. Selon Digital Shadows, plus de 15 milliards d’informations d’identification volées sont disponibles sur des forums fréquentés par les cybercriminels de nos jours. Si vos employés se comportent comme 61 % de la population [1], les risques qu’ils réutilisent des mots de passe sont élevés, même s’ils sont conscients des dangers que cela représente. En quoi consiste le risque ? Lisez l’article Zoom credential stuffing attacks of 2020, dans lequel il est question de 500 000 mots de passe proposés à la vente.

Avec Salesforce, le risque est d’autant plus grand que le logiciel donne accès au cœur de votre entreprise : les données concernant les relations que vous entretenez avec votre clientèle.

Que signifie pour vous cette exigence Salesforce ?

Les clients de Salesforce, et tout produit basé sur la plateforme Salesforce, doivent activer (exigence contractuelle) l’authentification multifacteur. Salesforce a annoncé l’activation automatique de la MFA sur tous les comptes pour que les clients puissent satisfaire à ce critère dès septembre 2022.

Vous disposez déjà d’une MFA tierce ? Salesforce vous recommande d’intégrer vos produits Salesforce à ce système plutôt que d’activer la fonctionnalité MFA d’un produit Salesforce afin de réduire le délai de mise en œuvre et les coûts afférents.

AuthPoint répond à l’exigence MFA de Salesforce

L’intégration d’AuthPoint dans Salesforce est simple et rapide. Notre Guide d’intégration Salesforce fournit des instructions détaillées sur la configuration de Salesforce, la mise en place d’AuthPoint en tant qu’IDP, le développement de stratégies et le déploiement à l’échelle de votre équipe. Pour en savoir plus, vous pouvez également visualiser notre webinaire à la demande : Cybersecurity insights Salesforce Requires MFA.

AuthPoint offre en outre des fonctionnalités SSO. Vous pouvez ainsi contrôler l’accès aux applications dans le Cloud à l’aide de l’authentification multifacteur et d’une appliance WatchGuard Firebox plutôt que de vous reposer uniquement sur des mots de passe. 

Quelles méthodes MFA sont-elles autorisées par Salesforce ?

La FAQ sur l'authentification multifacteur proposée par Salesforce répond à un grand nombre de questions à propos de cette exigence. L’une des plus courantes, traitée dans cette FAQ, concerne les méthodes MFA autorisées. Comme nous le savons, les méthodes MFA qui utilisent des mots de passe à usage unique (OTP) envoyés par SMS ou par email sont faciles à contourner. Là où elles sont encore employées, de multiples attaques l’ont prouvé. Très récemment, début février, l’opérateur Vodafone Portugal a été attaqué par le groupe LAPSUS$ qui s’est servi d’identifiants volés et a procédé à un échange de carte SIM pour pirater un OTP basé sur SMS.

À la question de savoir s’il est possible d’utiliser les emails, les SMS ou les appels téléphoniques comme méthodes de vérification MFA, c’est un non catégorique. L’authentification push reste encore l’option qui propose le meilleur rapport entre l’expérience utilisateur et la sécurité.

Toujours à la recherche d’une solution MFA ?

Considérée comme l’une des G2 Crowd's top alternatives to Salesforce MFA, la solution AuthPoint de WatchGuard offre à ses clients ont une longueur d’avance.

Consultez notre démo AuthPoint gratuite pour voir la solution en action.

 

[1] https://lp-cdn.lastpass.com/lporcamedia/document-library/lastpass/pdf/en/LastPass-Enterprise-The-Password-Expose-Ebook-v2.pdf