Vous êtes ici :
Accès utilisateur invité : Accès externe par défaut au partage à l'échelle de l'organisation
Ce contrôle définit le niveau de référence le plus restrictif pour la visibilité des enregistrements pour tous les utilisateurs externes de l'organisation, de sorte qu'aucune donnée n'est partagée par défaut, sauf autorisation via des règles de partage.
Nom du contrôle
Accès utilisateur invité : Accès externe par défaut au partage à l'échelle de l'organisation
Configuration recommandée
Paramètres de partage>Partage par défaut de l'organisation Modifier>Définir l'accès externe par défaut sur Privé.
Vue d'ensemble du contrôle
Ce contrôle définit le niveau de référence le plus restrictif pour la visibilité des enregistrements pour tous les utilisateurs externes de l'organisation, de sorte qu'aucune donnée n'est partagée par défaut, sauf autorisation via des règles de partage.
Risque de sécurité s'il n'est pas configuré
Lorsque l'accès externe est défini sur un niveau public, tout invité ou partenaire externe non authentifié peut afficher ou modifier des enregistrements dont il n'est pas propriétaire, en contournant le principe du moindre privilège.
Scénarios de menace
Un internaute anonyme accède à un portail public et affiche avec succès la liste de tous les contacts clients internes ou requêtes de support, car le partage d'objet sous-jacent a été laissé ouvert au public.
Plage de score CVSS estimée
Élevée (7,0 à 8,9).
Considérations relatives à l'impact sur le risque
Le maintien de défauts externes permissifs entraîne la divulgation involontaire de données confidentielles, entraînant des responsabilités légales potentielles et une infraction aux réglementations sur la confidentialité des données.
Risque plus élevé quand
Si les paramètres par défaut de l'organisation pour les objets contenant des données confidentielles (par exemple, des informations financières ou des informations d'identification personnelle) sont définis sur Accès public en lecture ou en écriture pour la communauté d'utilisateurs externes.
Risque faible quand
Si l'entreprise a déjà implémenté des autorisations restrictives au niveau de l'objet qui empêchent les profils externes d'accéder aux données, même si le modèle de partage est ouvert.
Considérations relatives à l'entreprise et à l'intégration
Le passage à un modèle de partage privé nécessite un audit approfondi des processus métiers existants afin de s'assurer que les utilisateurs externes légitimes disposent toujours des règles de partage nécessaires pour effectuer leur travail.
Remédiation recommandée
Accédez à Paramètres de partage dans Configuration, cliquez sur Modifier dans la section Paramètres par défaut de l'organisation, puis mettez à jour la colonne Accès externe par défaut sur Privé pour tous les objets appropriés.
Guide d'examen sanitaire de sécurité
Security Health Review identifie un modèle de partage externe privé comme une exigence de sécurité fondamentale, exigeant que toutes les données externes soient explicitement visibles au lieu d'être héritées via des paramètres par défaut généraux.
