Contrôle des paramètres d'expiration de session

Nom du contrôle

Expiration de la session

Configuration recommandée

• Définir la valeur Expiration de la session sur 15 minutes ou moins
• Fenêtre contextuelle d'avertissement Désactiver l'expiration de la session
• Activer Forcer la déconnexion à l'expiration de la session

Configuration>Paramètres de session>Expiration de la session.

Vue d'ensemble du contrôle

Le contrôle d'expiration de session Salesforce est une mesure de sécurité conçue pour protéger contre tout accès non autorisé en arrêtant automatiquement les sessions utilisateur après une période d'inactivité spécifiée.

Risque de sécurité s'il n'est pas configuré

L'incapacité de configurer une expiration de session appropriée dans Salesforce augmente le risque d'accès non autorisé à des données confidentielles lorsqu'un utilisateur laisse un poste de travail sans surveillance ou perd un appareil. Cette faille de sécurité peut entraîner le piratage de sessions et l'exfiltration de données, tout en entraînant la non-conformité aux normes réglementaires de l'industrie qui exigent des contrôles d'accès limités dans le temps.

Scénarios de menace

Un assaillant exploite une session active sans surveillance ou un jeton de session volé pour obtenir un accès non autorisé permanent à des données confidentielles.

Plage de score CVSS estimée

Critique (9,0 à 10,0).

Considérations relatives à l'impact sur le risque

Tenez compte du comportement des utilisateurs et de l'environnement dans lequel ils accèdent à la plate-forme.

Risque plus élevé quand

Si une expiration de session n'est pas configurée (ou est mal configurée), l'absence de contrôles suivante peut augmenter le risque de sécurité :

• Absence d'authentification multifacteur (MFA) : Sans MFA, une session est protégée uniquement par un seul jeu d'identifiants. Si une session reste active indéfiniment, un assaillant qui accède à l'appareil n'a pas à contourner les couches de sécurité supplémentaires.
• Absence de « Forcer la déconnexion à l'expiration de la session » : Si ce paramètre spécifique est désactivé, Salesforce ne peut pas terminer la session à son expiration, ce qui permet au navigateur de garder la session active tant qu'elle reste ouverte.
• Absence de restrictions d'adresse IP : Si les sessions ne sont pas verrouillées sur l'adresse IP d'origine ou limitées à des plages d'entreprise, un jeton de session « permanent » peut être volé et utilisé à partir de n'importe quel emplacement dans le monde sans être contesté.
• Absence de verrouillage automatique de la station de travail ou de l'appareil : Si aucune stratégie organisationnelle ni aucun contrôle technique (par exemple GPO ou MDM) ne permet de verrouiller l'ordinateur ou l'appareil mobile d'un utilisateur après une période d'inactivité, la session Salesforce ouverte est totalement exposée à tous ceux qui ont un accès physique.
• Absence de remplacements au niveau du profil : En s'appuyant uniquement sur de larges paramètres « à l'échelle de l'organisation » plutôt que sur des expirations plus strictes et plus courtes pour les profils à privilèges élevés (tels que les administrateurs système), le « rayon d'explosion » augmente si la session d'un administrateur est piratée.
• Absence de surveillance de session en temps réel : Sans outils tels que la Surveillance des événements Salesforce ou les Stratégies de sécurité des transactions, l'organisation ne peut pas détecter ou tuer automatiquement les sessions suspectes qui sont actives depuis anormalement longtemps.
• Absence de « Verrouiller les sessions au domaine » : Ne pas limiter les sessions au domaine spécifique où elles ont commencé peut augmenter le risque d'attaques par script inter-site (XSS) ou fixation de sessions.

Risque faible ou nul

Pour réduire le risque lorsqu'une expiration de session stricte n'est pas possible ou configurée, vous pouvez implémenter une stratégie « défense en profondeur » en utilisant les contrôles suivants : 1. Contrôles de sécurité natifs Salesforce

• Forcer l'authentification multifacteur (MFA) : Demandez un deuxième facteur pour toutes les connexions. Même si une session reste active, un assaillant doit d'abord contourner la MFA pour établir cette session.
• Forcer la déconnexion à l'expiration de la session : Assurez-vous que ce paramètre est activé dans Paramètres de session. Sans elle, certains navigateurs peuvent laisser une session « expirée » active indéfiniment en arrière-plan.
• Verrouiller les sessions sur l'adresse IP : Cela évite le « piratage de session » en garantissant que la session peut être utilisée uniquement à partir de l'adresse IP spécifique d'où elle provient.
• Plages IP de connexion (niveau du profil) : Limitez l'accès à des réseaux spécifiques et de confiance (par exemple, votre VPN d'entreprise). Cela garantit que même une session active est inutile si l'appareil est déplacé vers un réseau non fiable.
• Heures de connexion : Définissez des fenêtres spécifiques (par exemple 8h00 – 18h00) dans lesquelles les utilisateurs peuvent accéder à Salesforce. Cela empêche automatiquement la persistance de la session pendant les heures creuses.

2. Surveillance et automatisation avancées (bouclier)

• Stratégies de sécurité des transactions (Salesforce Shield) : Créez des stratégies en temps réel qui déclenchent un comportement suspect. Par exemple, vous pouvez bloquer ou contester automatiquement une session avec la MFA si un utilisateur tente une exportation de données volumineuse ou accède à des enregistrements confidentiels après une longue période d'inactivité.
• Surveillance des événements : Utilisez la Surveillance des événements en temps réel pour suivre LoginEvent et SessionHijackingEvent afin d'identifier et de terminer par programmation les sessions anormales.

3. Contrôles d'identité et de point de terminaison

• Authentification unique (SSO) : Déléguez la gestion des sessions à un fournisseur d'identité (IdP) central tel que Okta ou Azure AD. Vous pouvez ensuite appliquer des stratégies de session globales plus strictes ou « tuer » toutes les sessions d'application actives à partir d'un tableau de bord unique si un appareil est endommagé.
• Gestion des points de terminaison (MDM/GPO) : Implémentez une stratégie d'entreprise qui verrouille automatiquement la station de travail physique ou l'appareil mobile après 5 à 10 minutes d'inactivité. Cela atténue le risque d'un « poste de travail sans surveillance » qui est la principale menace des longues sessions.

Considérations relatives à l'entreprise et à l'intégration

Les clients doivent évaluer les points d'entrée de leurs points de terminaison utilisateur et les données auxquelles chaque profil utilisateur est exposé.

Remédiation recommandée

Implémentez Expiration de la session au niveau du point de terminaison et également au niveau de la plate-forme.

Guide d'examen sanitaire de sécurité

Security Health Review identifie la configuration de la plate-forme associée à l'expiration de la session en examinant l'expiration de la session par rapport aux meilleures pratiques de l'industrie (15 minutes).