Vous êtes ici :
Désactiver la formule dans le contrôle de rapport
Paramètre de l'organisation qui retire les formules Excel des exportations de rapports, empêchant ainsi les attaques par injection de formule malveillante lorsque les utilisateurs téléchargent des données confidentielles sous forme de feuilles de calcul.
Nom du contrôle
Gestion des rapports : désactivez la formule dans le rapport.
Vue d'ensemble du contrôle
Paramètre de l'organisation qui retire les formules Excel des exportations de rapports, empêchant ainsi les attaques par injection de formule malveillante lorsque les utilisateurs téléchargent des données confidentielles sous forme de feuilles de calcul.
Description
Lorsqu'elle est activée, Salesforce exporte les rapports uniquement sous forme de valeurs statiques (no =FORMULATEXT(), no VBA macros), empêchant les assaillants d'incorporer un code exécutable dans des champs de formule personnalisés exécutés à l'ouverture dans Excel/LibreOffice.
Configuration recommandée
Activez « Désactiver la formule dans le rapport pour éviter l'injection de formule dans la sortie du rapport » - Configuration dans Paramètres de rapport/tableau de bord.
Impact sur la sécurité
Élimine le vecteur principal de la distribution de programmes malveillants basés sur une formule via des rapports commerciaux légitimes. Force la sécurité des exportations statiques en protégeant les destinataires en aval contre l'exécution automatique de code.
Impact commercial
Maintient la fonctionnalité d'exportation de rapports tout en éliminant les risques de sécurité des macros Excel. Aucune modification du workflow utilisateur n'est requise. Prend en charge les exigences de conformité pour le partage sécurisé des données.
Risque de sécurité s'il n'est pas configuré
Les rapports utilisateur contiennent une vulnérabilité potentielle à l'injection de formules lorsqu'ils sont exportés vers Excel, ce qui permet la livraison de programmes malveillants via des documents commerciaux de confiance.
Scénarios de menace
Risque accru d'attaques par injection de formules et d'attaques par divulgation d'informations ; les utilisateurs compromis qui disposent d'autorisations d'exportation de rapports incorporent des formules malveillantes (=CMD('net user hacker password!/add'), =HYPERLINK("javascript:malware()")) dans des champs de formule qui s'exécutent lorsque les dirigeants et les équipes financières ouvrent des fichiers CSV exportés dans Excel.
Plage de score CVSS estimée
Critique (9,0 à 10,0).
Considérations relatives à l'impact sur le risque
Chaque exportation de rapport devient un vecteur malveillant potentiel ; impacte les échelles avec le nombre d'utilisateurs et la fréquence de distribution des rapports ; les formules complexes légitimes doivent être réimplémentées en tant que champs récapitulatifs statiques.
Risque plus élevé quand
Les utilisateurs externes exportent des rapports, les champs de formule personnalisés contiennent des calculs dynamiques, des rapports distribués par e-mail/Experience Cloud, ou des équipes financières/commerciales lourdes en Excel.
Risque faible quand
Rapports visualisés uniquement dans l'interface utilisateur de Salesforce, aucun champ de formule personnalisé, utilisateurs internes uniquement, préférence d'exportation PDF définie.
Considérations relatives à l'entreprise et à l'intégration
Communiquez les modifications aux utilisateurs les plus exigeants en rapports, auditez les champs de formule existants avant de les activer, testez les rapports critiques dans les exportations sandbox.
Guide d'examen sanitaire de sécurité
Ça a dû.
Qui est impacté
Générateurs de rapports utilisant des champs de formule, utilisateurs exportant vers Excel, équipes de sécurité surveillant les modèles d'exportation, agents de conformité vérifiant la sécurité des contrôles de partage des données.
