RGPD
Salesforce

Cybersécurité Salesforce : arrêtez de croire que “ça n’arrive qu’aux autres”

par 
Celia
 
HOCINE
20
/
11
/
2025
0 min
Un ordi avec un voleur ou un hackeur qui vole des données de l'ordi
Partager cet article
content_copy
Sommaire
Replay Webinar : Comment sécuriser votre org Salesforce

Comment sécuriser concrètement votre org Salesforce : erreurs fréquentes, bonnes pratiques, points de contrôle, RGPD… Le tout expliqué par nos experts !

Visionner le replay

Chaque entreprise a déjà vécu ce moment de flottement. Un utilisateur qui signale un comportement étrange. Un accès créé “pour tester”, jamais supprimé. Un fichier exporté trop vite, “juste pour vérifier un truc”.

Et puis rien. Enfin… rien de visible.

La vérité, c’est que dans 90 % des incidents de sécurité Salesforce, il n’y a pas de pirates spectaculaires, de ransomware hollywoodien ou d’écran rouge clignotant. Juste une erreur humaine, un manque de gouvernance, une configuration hasardeuse. Et parfois, ça suffit pour mettre en danger :

  • vos données clients,
  • vos deals en cours,
  • votre conformité RGPD.

Chez Guimini, on voit une chose: les entreprises ne manquent pas de bonne volonté. Elles manquent de réflexes. Et ces réflexes, dans Salesforce, sont très différents de la cybersécurité “générale” qu’on lit partout.

Alors on a décidé de vous partager notre guide !

1. La cybersécurité “générale” ne protège PAS votre Salesforce

Les guides classiques parlent de VPN, d’antivirus, de phishing ou de pare-feu. Très bien. Mais Salesforce n’est pas un PC sur un réseau interne : c’est un écosystème vivant, manipulé quotidiennement par des équipes qui ont chacune leurs objectifs, leurs urgences, leurs process.

Salesforce, c’est un autre monde :

  • les données ne sont pas sur vos serveurs,
  • les accès explosent (sales, managers, CSM, marketing…),
  • les droits sont souvent configurés “dans l’urgence”,
  • les intégrations externes multiplient les points d’entrée,
  • la base de données grossit plus vite que votre gouvernance.

Les risques viennent rarement de l’extérieur. Ils viennent de votre configuration. Chez 87 % des nouveaux clients qu’on audite, on trouve au moins une faille critique due à une erreur de paramétrage.

Des risques qui viennent d’abord de la configuration, pas des attaques externes

Les failles les plus dangereuses dans Salesforce proviennent rarement d’un pirate. Elles naissent d’un excès de droits, d’une permission trop large, d’une intégration oubliée, d’une sandbox non anonymisée ou d’un export non maîtrisé. Et parfois, elles existent depuis des années sans que personne ne s’en aperçoive.

Nous posons toujours la même question en début d’audit : “Qui a accès à quoi aujourd’hui ?” Il y a presque toujours un silence. Les permissions se sont accumulées, souvent sans gouvernance claire. Le risque est déjà là, il suffit qu’un incident le révèle.

Les vrais points faibles d’un org Salesforce : ce que personne ne surveille assez

Les droits d’accès : la bombe silencieuse

La gestion des profils et des permissions est souvent le point aveugle numéro un. Trop d’administrateurs, trop d’accès croisés, trop d’héritages qui s'empilent. Une mauvaise configuration peut exposer des données sensibles sans générer la moindre alerte.

Les intégrations externes : le risque “oublié”

Chaque connecteur ajoute un point d’entrée, un token, un niveau de permission. Lorsqu’une intégration n’est plus utilisée mais reste active, elle devient une porte ouverte sur vos données.

Les sandboxes : le talon d’Achille du RGPD

Les équipes les utilisent au quotidien, mais elles contiennent souvent des données personnelles copiées telles quelles depuis la production. Une sandbox non anonymisée, c’est une non-conformité RGPD quasi automatique.

Le partage des données : trop ou trop peu, les deux posent problème

Un partage trop permissif expose l’entreprise. Un partage trop restrictif bloque les équipes. Trouver l’équilibre demande une vraie réflexion métier, pas une configuration par défaut.

L’absence de logs : l’impossibilité de savoir ce qui s’est passé

Sans logs, pas d’historique, pas de preuves, pas de compréhension. Dès qu’un incident survient, impossible d’en retracer l’origine.

Salesforce et RGPD : ce que les entreprises sous-estiment encore

Des données sensibles qui nécessitent une gouvernance stricte

Salesforce n’est pas un simple CRM ; c’est un conteneur massif de données personnelles. Contacts, conversations, historiques, activités : tout cela doit être sécurisé, tracé, documenté. Une sandbox mal gérée, un export non protégé ou un partenaire trop permissif peut suffire à vous emmener hors du cadre légal.

Les erreurs RGPD les plus fréquentes dans Salesforce

L’absence d’anonymisation dans les environnements de test, la mauvaise gestion du consentement marketing, les exports répétés, ou encore les accès externes non documentés sont parmi les failles les plus fréquentes. Rares sont les entreprises qui s’en rendent compte avant un audit. Encore plus rares sont celles qui réalisent à quel point elles étaient exposées.

Sécuriser Salesforce : une démarche progressive, pas un chantier impossible

Les entreprises pensent souvent que revoir toute la sécurité de Salesforce est un projet colossal. La réalité, c’est qu’il s’agit surtout de remettre de l’ordre, de la logique et de la gouvernance dans un système qui a évolué trop vite.

Les trois niveaux de maturité à atteindre

D’abord l’hygiène minimale : MFA, permissions maîtrisées, Health Check acceptable. Ensuite la sécurité opérationnelle : revue des accès, monitoring, audit des intégrations, pratiques RGPD intégrées dans les usages quotidiens. Puis la sécurité avancée : Shield, alerting comportemental, logs temps réel, automatisation de la gouvernance.

Chaque entreprise n’a pas besoin d’aller au niveau 3. Mais toutes doivent atteindre au moins les deux premiers.

La réalité terrain : des erreurs simples, des conséquences lourdes

Les incidents que nous rencontrons sont rarement techniques. Ce sont des choix faits “pour aller vite” qui, cumulés, ouvrent la voie à des situations critiques. Trop d’administrateurs, des intégrations non fermées, des exports CSV non suivis, des sandboxes en clair, des profils bricolés au fil des années. Ce sont des erreurs humaines, mais des erreurs qui touchent à la donnée — donc à votre business, à vos clients, à votre conformité. Et c’est souvent lors d’un audit que les entreprises comprennent la fragilité de leur org.

Sécuriser Salesforce n’est pas une option, c’est un réflexe

La cybersécurité dans Salesforce ne dépend pas d’un antivirus ni d’un pare-feu. Elle dépend de vos pratiques, de vos accès, de vos paramétrages et de la discipline que vous installez autour de vos données.

Sécuriser votre org, c’est protéger bien plus qu’un CRM : c’est protéger votre réputation, vos équipes, vos relations clients et votre futur. Un simple Health Check suffit souvent à révéler les zones à risque avant qu’un incident ne le fasse à votre place. Et pour beaucoup d’organisations, c’est le meilleur moyen de reprendre le contrôle calmement, méthodiquement et efficacement.

Besoin d’un avis expert sur votre sécurité Salesforce ?

Si vous avez un doute, une question ou simplement envie de vérifier l’état réel de votre org, on peut en discuter.

content_copy
Two people shakes hands to do business

Bénéficiez de votre solution Salesforce sur mesure

Contactez-nous

Articles connexes

PME / Startup

Sécurité Salesforce pour les PME : erreurs à éviter et bonnes pratiques à mettre en place

En savoir plus east
CRM

Audit Salesforce : Optimisez votre CRM pour plus de performance, de sécurité et de valeur

En savoir plus east