Salesforce l'avait annoncé depuis longtemps, mais cette fois-ci nous y sommes, l'authentification multi-facteurs(Multi-Factor Authentication en Anglais, ou MFA) est dans toutes les orgs. On ne peut plus ignorer le sujet, il va falloir le traiter.
Qu'est-ce que la MFA ?
Nous n’allons pas écrire un énième article pour expliquer ce sujet déjà largement couvert dans les forums(même si nous vous recommandons un passage par Trailhead et notre article ).En résumé, il s'agit de la sécurisation des accès d'un utilisateur, dont le principe est d'ajouter des facteurs de reconnaissance ayant pour but de limiter les attaques d'usurpation. La MFA se répand progressivement dans notre vie quotidienne pour sécuriser nos accès dans un monde de plus en plus numérique.
Salesforce authenticator.
L'approche de l'éditeur est compatible avec les stratégies les plus répandues. Si on ne dispose pas déjà d'une MFA personnalisée dans l'entreprise, on peut se rabattre sur l'application fournie par Salesforce ("Authenticator") qu'il suffira d'installer sur son smartphone. C’est l’une des solutions proposées, mais il existe aussi un AddOn à télécharger sur Chrome par exemple.
La première étape consiste à ajouter un compte qui reprend le "username". On peut gérer plusieurs comptes en parallèle, ce qui s'avère très pratique pour les consultants et intégrateurs Salesforce qui jonglent quotidiennement entre plusieurs logins. Cette application se réveille toute seule dès que vous vous connectez à Salesforce sur un ordinateur, vous demandant simplement de confirmer la connexion, généralement avec un code à usage unique constitué de quelques chiffres. Ainsi, vous avez d'un côté saisi votre mot de passe et de l'autre confirmé la connexion avec un dispositif étranger à votre ordinateur, qui vous authentifie de façon plutôt sûre. L'expérience utilisateur est plutôt bonne, la première connexion réussie dans ce mode procurant la même satisfaction que de servir un œuf au plat sans casser le jaune.
Alors oui, si on vous agresse et qu'on vous vole à la fois votre ordinateur et votre smartphone, c'est mort. Encore faut-il connaître les codes de déverrouillage ou tromper la reconnaissance faciale ou de l'empreinte de votre pouce, mais nous nous égarons).D'ailleurs vous aurez certainement plus important comme souci à régler dans unetelle situation que l'usurpation de votre connexion Salesforce, votre administrateur Salesforce préféré ayant déjà "gelé" votre accès à votre demande, effectuée grâce au téléphone que vous a prêté ce pompier qui vous a secouru.
Le déploiement en entreprise.
Pour la grande majorité des entreprises clientes de Salesforce, la MFA est simple à mettre en place. L'administrateur Salesforce suit les quelques tutoriels et active les options nécessaires en quelques clics. Finis les pop-ups quelque peu insistants à chaque fois que l'on accède au Setup.
Encore faut-il "prévenir" les utilisateurs que le protocole a changé. Vous avez déjà organisé une soirée avec tous vos meilleurs amis juste après avoir modifié le code de la porte ? Certains en ont fait un film.
Dans Salesforce, si vous omettez cette étape de "Change Management", vous allez perdre quelques points de popularité auprès de vos utilisateurs et serez en bonne place pour que leur sentence soit irrévocable au prochain Conseil.
Un message d'information doit être adressé à tous les utilisateurs. C'est une bonne pratique basique. Plus il y a d'utilisateurs dans votre org, plus le message devra être explicite et pédagogique, mais attendez-vous malgré cela à recevoir quelques appels au secours ("J'ai pas lu le message, il est trop long, moi je veux juste me connecter.")
Les organisations les plus modestes en nombre d'utilisateurs s'en tireront rapidement, la communication interne étant généralement plus rapide, plus fluide. Ce sont également elles qui restent proche du standard Salesforce. En quelques jours, ou au pire quelques semaines, le sujet MFA sera digéré et intégré aux habitudes.
Mais dans les grands comptes, laMFA peut s'avérer problématique. Non pas que le choix technique de Salesforce soit sujet à controverse, mais plutôt que le sujet a généralement des adhérences avec d'autres projets en cours, dont la DSI gère la feuille de route en tenant compte de multiples contraintes. Notamment la mise en place du "Single Sign-On" (SSO), s'appuyant sur un annuaire interne avec des services d'authentification dont il faut à la fois choisir le standard (SAML2,OpenID…), les outils de middleware… Un vrai travail de spécialiste qui est loin d'être simple, car il faut s'assurer qu'un maximum d'application du système d'information de l'entreprise seront compatibles, pour garantir une expérience utilisateur de qualité. Il est fréquent que d'autres mécanismes de MFA que celui de Salesforce aient été sélectionnés dans une offre bien fournie(Microsoft fournit aussi une appli mobile d'authentification, d'autres proposent des clés physiques ancêtres des "dongles")… mais pas encore déployés.
Jusqu'ici, les DSI avaient le contrôle de leur timing et de leur feuille de route. Une migration imposée par une fin de support de la part d'un éditeur, un upgrade de version… on pouvait jouer et gérer les retards en anticipation des impacts.
Salesforce, avec le modèle Cloudet les upgrades à dates imposées, s'invite tout d'un coup dans les roadmaps avec la MFA, car il s'agit d'un outil transverse. Là où jusqu'à maintenant les trois montées de version n'avaient de réel impact que dans le CRM et sans adhérence externe, l'arrivée de la MFA peut bousculer quelque peu les plans.
On peut toujours se rabattre de façon temporaire sur l'appli mobile fournie par Salesforce, mais s'il y a une flotte de smartphone d'entreprise, il va falloir travailler sur le système de MDM (Mobi le Device Management) qui gère les applis autorisées et permet la diffusion massive. Quand bien même, cela n'exonère pas de cette fameuse communication à tous les utilisateurs. Et ils sont nombreux, divisés en populations hétérogènes qui sont dans des contextes différents (filiales avec différents outils, pas encore alignés sur la maison mère…)
D'un autre côté, on ne peut pas dire qu'on ne nous avait pas prévenus. Pour Salesforce, la sécurité est primordiale, c'est l'une de leurs valeurs clés ("Trust"). Il est tout à fait légitime que les meilleurs mécanismes de sécurisation soit promus dans toutes les orgs, d'autant plus dans un monde où les cyberattaques sont de plus en plus fréquentes. Les changements apportés par l'éditeur depuis toujours se font toujours en douceur. L'activation des nouvelles fonctions est généralement à la main de l'administrateur de l'org et le décommissionnement d'anciennes fonctions est annoncé très en avance, laissant le temps de se retourner. La compatibilité ascendante est préservée, tout est fait pour ne pas brusquer l'expérience utilisateur.
Avec la MFA, il n'y avait pas d'autre choix pour l'éditeur que d'être un peu directif et volontariste, car il s'agit de sécurité. Mais cette fois-ci, ce sont les organisations les plus agiles - souvent les plus petites - qui réaliseront le passage de façon plus tranquille que les "grosses boîtes".