Implémentation de l'authentification multifacteur pour les organisations Salesforce

Nom du contrôle

Application automatique de l'authentification multifacteur (MFA) pour les organisations Salesforce

Configuration recommandée

Appliquer automatiquement la MFA pour tous les chemins d'authentification utilisateur, y compris les connexions directes, l'authentification unique (SSO) et l'accès API.

Vue d'ensemble du contrôle

La MFA ajoute un facteur au-delà des mots de passe, réduisant considérablement le risque de compromission du compte. Salesforce prend en charge l'application automatique de la MFA pour les connexions directes, l'authentification basée sur l'authentification unique et l'accès API afin de protéger les utilisateurs, les intégrations et les données confidentielles dans les environnements.

Risque de sécurité s'il n'est pas configuré

Sans MFA, les comptes sont protégés uniquement par des mots de passe, qui peuvent être volés, devinés ou réutilisés, ce qui augmente considérablement la probabilité d'accès non autorisé. Cela est particulièrement vrai pour les utilisateurs privilégiés et les intégrations d'API.

Scénarios de menace

Vol d'identifiants basé sur l'hameçonnage, attaques par mot de passe brutes, identifiants compromis réutilisés entre les systèmes, accès API non autorisé en utilisant des identifiants ou des jetons volés.

Plage de score CVSS estimée

Critique (9,0 à 10,0).

Considérations relatives à l'impact sur le risque

La sévérité du risque dépend de la méthode d'authentification, des niveaux de privilège utilisateur, de l'exposition de l'organisation et de l'accès via l'interface utilisateur, l'authentification unique ou les API.

Risque plus élevé quand

La MFA n'est pas appliquée pour les organisations de production, sandbox ou Developer, lorsque les sessions de fournisseur d'authentification unique ne contiennent pas de MFA ou lorsque l'accès à l'API est autorisé sans exigence d'authentification supplémentaire.

Risque faible quand

• MFA de connexion directe : La MFA est activée pour toutes les connexions directes des utilisateurs dans les organisations de production, sandbox, d'évaluation et de développement.
• Application automatique de la MFA SSO : La MFA est automatiquement appliquée chez le fournisseur d'authentification unique ou via des stratégies d'authentification Salesforce High-Assurance.
• Protection API MFA : L'autorisation MFA for API Logins est activée pour protéger l'accès basé sur l'API et les applications clientes.
• Couverture utilisateur privilégiée : La MFA est appliquée à tous les utilisateurs administrateurs et à privilèges élevés sans exception.

Considérations relatives à l'entreprise et à l'intégration

Les clients doivent évaluer la compatibilité de la MFA avec les populations d'utilisateurs, les outils d'automatisation et les intégrations. Les workflows basés sur l'API peuvent nécessiter des comptes de service ou des exceptions basées sur l'autorisation qui maintiennent de solides contrôles de sécurité.

Remédiation recommandée

Obligez la MFA pour toutes les connexions directes, l'authentification unique et l'accès API. Auditez régulièrement les stratégies et assurez-vous que les utilisateurs privilégiés bénéficient d'une couverture.

Guide d'examen sanitaire de sécurité

Security Health Review évalue l'application automatique de la MFA à travers les méthodes de connexion, aidant les clients à minimiser les risques basés sur les identifiants et à respecter les normes de sécurité de Salesforce et Zero Trust.