Embed Size (px)
Citation preview
COMMENT PRÉVENIR ET DÉTECTER LES ATTAQUES SUR SALESFORCE ?
SOMMAIRE
Introduction ...........................................................................................3
Une surface d’attaque étendue ............................................................. 4
Une responsabilité partagée.................................................................. 4
Quels sont les principaux scénarios d’attaques ? ....................................5
Quels sont les services les plus ciblés ? ...................................................5
Comment prévenir et détecter les attaques via Salesforce ? ................. 6
Conclusion ............................................................................................. 8
3
INTRODUCTION
Alors que le télétravail s’intensifie en raison de la pandémie de Covid-19, les pirates informatiques exploitent la
négligence des utilisateurs et/ou le manque de conscience des risques associés au cloud. Salesforce représente ainsi
une « porte dérobée » pour accéder au SI des organisations.
4
UNE SURFACE D’ATTAQUE ÉTENDUE
Avec la crise sanitaire, les organisations ont dû s’adapter
à une vitesse impressionnante pour maintenir leur
activité, notamment grâce à l’utilisation des outils
métiers et outils de collaboration basés sur le cloud.
Pour de nombreuses PME et grands groupes, le leader
mondial du CRM Salesforce (19,7% du marché), constitue
un véritable socle pour couvrir toute la chaîne de la
relation client et de la relation fournisseur/ partenaire.
Au-delà des plateformes spécialisées de Salesforce -
Sales cloud, Service cloud, Marketing cloud, Health
cloud, App cloud, Experience cloud, Analytics cloud,
IoT cloud, Chatter cloud, Commerce cloud, Heroku
engagement cloud – les organisations ont la possibilité
de bâtir un SI à la carte en ajoutant, par exemple,
une application RH ou un module e-commerce via la
marketplace AppExchange. On dénombre environ 2700
applications cumulant 3 millions d’installations.
Or, si les équipes peuvent partager des informations,
documents, fichiers et messages avec des collègues
et des partenaires où qu'ils se trouvent, l’extension des
usages cloud augmente dangereusement la surface
d’attaque des organisations. D’autant plus que les
télétravailleurs sont susceptibles de travailler davantage
à partir d'appareils et de réseaux moins sécurisés, et ont
moins accès aux équipes de sécurité informatique.
En 2020, les attaques cloud se sont multipliées comme
jamais ; cette tendance devrait se poursuivre en 2021
selon nos prédictions.
Une responsabilité partagée
Même si les organisations sont de plus en plus informées,
sont encore trop nombreuses celles qui ignorent les
responsabilités en matière de sécurité dans le cloud.
Encore une aubaine pour les pirates !
Étant donné que les principaux fournisseurs de
cloud comme Salesforce affichent une multitude de
certifications et d'accréditations de sécurité, certaines
entreprises supposent que le volet sécurité ne les
concerne pas.
Erreur ! Lorsque vous souscrivez un service cloud, vous
acceptez un modèle de responsabilité partagée de
sécurité. Dans le cas de Salesforce, cela signifie que
le fournisseur garantit le maintien de divers aspects
de la sécurité du système et des applications, tels que
l’infrastructure, la protection physique des data centers,
la sécurité du réseau et du stockage, etc.
En revanche, il est de votre responsabilité de sécuriser :
• les données, les fichiers et les liens partagés par
des utilisateurs légitimes ou non
• les appareils accédant à la plateforme
• les comptes, identités et informations
d'identification de tous les utilisateurs autorisés.
F-SECURE CLOUD
Application
FOURNISSEUR CLIENT
Contenu
Réseau Identités et accés
Infrastructure
5
Depuis la mise en application du RGPD en 2018, le
respect du modèle de responsabilité partagée fait
l’objet d’une évaluation plus importante de la part des
auditeurs de sécurité. Au-delà de la mise en conformité
réglementaire, il est important de sécuriser vos outils
cloud afin de ne pas subir des violations de données,
des dommages financiers et/ou de réputation de votre
entreprise.
QUELS SONT LES PRINCIPAUX SCÉNARIOS D’ATTAQUES ?
Pour diffuser du contenu malveillant, un pirate va tout
d’abord chercher à savoir comment atteindre sa cible.
Pour cela, il pourra, par exemple, interroger des serveurs
grâce à un script et chercher les DNS publiques qui
lui indiqueront quelles entreprises utilisent un service
Salesforce.
En fonction des usages, le pirate va pouvoir « manipuler
» les interactions entre les différents acteurs internes et
externes d’une organisation pour diffuser du contenu
malveillant :
• Les interactions internes
Même s’il existe des personnes malintentionnées au
sein d’une organisation, les cyber incidents peuvent
se produire sans volonté de nuire. Le simple fait
de partager une URL vers une page légitime qui
sera ultérieurement corrompue peut causer des
dommages.
• Les interactions externes
Un pirate peut se faire passer pour un client et
infecter l’entreprise via un formulaire de contact ou
un chat d’assistance. En s’inscrivant par exemple
à un service bancaire, il peut envoyer des pièces
justificatives vérolées.
• Les interactions communautaires
Les attaques peuvent être menées de manière
indirecte sur un espace de discussion à l’encontre
d’un partenaire via l’entreprise ou via un autre
partenaire. Dans tous les cas, la réputation de
l’entreprise risque d’être sérieusement entachée.
QUELS SONT LES SERVICES LES PLUS CIBLÉS ?
Les principaux services visés sur Salesforce sont les
suivants :
• Experience cloud (anciennement Community
Cloud
Les outils de collaboration connectent directement
les clients, partenaires et collaborateurs aux
informations, applications et experts dont ils ont
besoin. Les attaques qui passent par des emails,
pièces jointes ou URL malveillants peuvent être
partagées, infectant à la fois l’entreprise et ses
partenaires.
• Service cloud
Cette plateforme est utilisée pour la relation clients
en proposant des espaces de discussion. Si le
personnel n’est pas sensibilisé, un opérateur pourra
télécharger une pièce jointe ou cliquer sur une URL
malveillante, remontée dans un « Case » de support
client.
• Sales cloud
Ce CRM, utilisé par les commerciaux en situation de
mobilité, présente davantage de risques dès lors qu’il
est utilisé dans des environnements non sécurisés.
• App cloud
Cette boîte à outils permet de développer des
applications personnalisées en intégrant des
composants grâce à des API. Des contenus
malveillants peuvent ainsi être échangés via un
service tiers. Par exemple, via une application de
recrutement, un pirate pourra envoyer un CV
comprenant des liens corrompus.
6
COMMENT PRÉVENIR ET DÉTECTER LES ATTAQUES VIA SALESFORCE ?
Conçue en partenariat avec Salesforce, F-Secure Cloud
Protection prend en charge les éditions Professional,
Enterprise, Unlimited et Developer et complète les
mesures de protection des contenus cloud existantes :
• La protection Shield est proposée aux clients
Premium Salesforce pour chiffrer les données. En
revanche, cette solution ne protège pas des malware
ou d’une injection de code malicieux.
• L’utilisation d’un CASB, pour filtrer et bloquer
les téléchargements HTML ou les pièces jointes,
demande de nombreux paramétrages en fonction
des usages, et génère souvent des problèmes de
compatibilité. Lorsque le CASB tombe en panne, les
solutions cloud ne sont plus protégées.
+
SALESFORCE CLOUD
Services d'applications
Identités et Single Sign OnPolitiques de mots
de passeAuthentification à
deux facteursAttributions et autorisations
des utilisateursSécurité au niveau des champs
et des lignes
Services réseau
Chiffrement HTTPS Tests d'intrusionDétection des
menaces avancéesFirewalls de protection Restrictions des logins IP
Services d'infrastructure
Data centers sécurisésSauvegarde et récupération
post-incidentRéplication en temps réel Certifications tierces Audits clients
F-SECURE CLOUD PROTECTION
Threat Intelligence Anti-virus multi-moteurs Smart Cloud Sandboxing Service de reporting et d'audit Service d'analyse de la sécurité
Contenus : Protection des fichiers et des liens
7
Via le portail d’administration, vous pourrez personnaliser
vos politiques cloud et avoir une vue d’ensemble sur
votre écosystème Salesforce afin de réagir rapidement.
En effet, il est possible de remonter la chaine
de contamination avec des informations sur les
caractéristiques du contenu malveillant et le tracking des
personnes qui ont été en contact avec ce dernier. Vous
aurez également la possibilité de générer des rapports,
obtenir des pistes d’audit et extraire les logs pour les
transmettre à votre SOC.
THREAT INTELLIGENCE CHECK
ANTIVIRUS MULTI-MOTEURS
SMART CLOUD SANDBOX
FICHIER, URL OU EMAIL SALESFORCE CLOUD DÉTECTER RÉPONDRE
F-Secure Security Cloud
Salesforce
Fichier URL Email
F-Secure Cloud Protection for Salesforce est la seule
solution de prévention et de détection native disponible
depuis l’AppExchange. En mode « Plug-and-Play », le
module s’installe en quelques minutes sans avoir recours
à des middleware.
La solution surveille l’utilisation des fichiers, des liens et
emails en respectant la confidentialité du contenu et
sans entraver l’utilisation des services. Le contenu est
intercepté et soumis à un processus breveté d’analyse et
de détection des menaces dans F-Secure Cloud Security
qui dispense trois couches d’analyse en temps réel et de
manière complémentaire, sur la base du profil de risque
du contenu :
• La Threat Intelligence, combinée au Machine
Learning vous protège contre les menaces
émergentes dans les minutes suivant leur création.
• L’antivirus multi-moteurs analyse les emails, fichiers
et URL lors du chargement, du téléchargement
et rétroactivement. Par exemple, il est tout a fait
possible de programmer des scans sur des contenus
existants. De même, si un site est corrompu après la
publication d’une URL, F-Secure Cloud Protection for
Salesforce détecte l’anomalie au moment du clic.
• Le Smart cloud Sandboxing vous protège contre
les malware et les exploits les plus sophistiqués en
exécutant et en analysant le comportements des
fichiers suspects dans des environnements virtuels.
Une fois la menace détectée, le contenu malveillant est
automatiquement bloqué, son utilisation ultérieure est
empêchée et l’utilisateur est informé des étapes à suivre.
8
CONCLUSION
La sécurité du cloud nécessite d’adopter une approche spécifique et globale. Votre antimalware traditionnel, aussi sophistiqué soit-il, ne
peut intervenir lorsqu’un salarié interagit avec le service Saas. Il est donc important d’investir dans une solution dédiée.
Mais d’autres points d’attention sont à prendre en considération pour protéger votre environnement Salesforce :
La gestion des accès et des privilèges : qui a le droit de faire quoi sur Salesforce ?
La politique d’authentification avec une gestion des mots de passe et la mise en place d’un SSO combiné à une authentification à double facteur.
La mise en place d’une politique BYOD pour contrôler les équipements qui se connectent au service.
La sensibilisation des utilisateurs : si les salariés ont conscience des risques de phishing sur leur messagerie, ils font en général confiance a
priori aux contenus des outils métiers.
À PROPOS DE F-SECURE
Fondée en 1988, F-Secure est une entreprise finlandaise spécialisée dans la cyber sécurité, cotée au NASDAQ OMX Helsinki Ltd.
Depuis plus de trente ans, nous protégeons des dizaines de milliers d’entreprises et des millions de particuliers grâce à notre réseau de partenaires de distribution, et plus de 200 fournisseurs de services.
Des solutions de protection des postes de travail à la détection et réponses des menaces avancées, nous veillons à ce que nos
utilisateurs puissent compter sur une cyber sécurité de haut-niveau. L’alliance unique de l’expertise humaine, de solutions logicielles et d’intelligence artificielle nous permet d’être reconnu comme un
acteur incontournable du marché européen.
f-secure.com/fr_FR/ | twitter.com/fsecurefrance | linkedin.com/company/f-secure-corporation
