C'est la fin d'une époque sur Salesforce : pour les comptes les plus sensibles, le mot de passe et même les applications d'authentification classiques ne suffiront plus. À partir du 1er juillet 2026, Salesforce impose une authentification multifacteur (MFA) résistante au hameçonnage pour tous les administrateurs et utilisateurs à privilèges élevés. Une mesure plus stricte que le MFA standard déjà en place, et qui mérite d'être bien comprise avant l'échéance.
Chez Guimini, on accompagne nos clients sur leurs projets Salesforce au quotidien, et cette transition concerne directement vos équipes IT et vos administrateurs. On vous détaille ce qui change, qui est concerné, et comment vous organiser sans stress.
Pourquoi Salesforce impose la MFA maintenant
Le contexte est simple : les cyberattaques visant les CRM se sont multipliées et sophistiquées ces dernières années. Un mot de passe, même robuste, reste un point d'entrée unique trop facile à compromettre (phishing, fuite de données, réutilisation de mots de passe...). Salesforce héberge des données stratégiques, pipeline commercial, données clients, contrats, qui en font une cible de choix.
La réponse de Salesforce : généraliser une double vérification d'identité à la connexion, et bannir les méthodes jugées trop vulnérables.
MFA standard vs MFA résistant au hameçonnage : ne pas confondre les deux échéances
Il y a en réalité deux niveaux d'exigence qui arrivent presque en même temps, et il est important de ne pas les mélanger :
- Le MFA standard (codes via application d'authentification type Google Authenticator, Salesforce Authenticator) devient obligatoire pour tous les utilisateurs employés d'ici le 20 juillet 2026.
- Le MFA résistant au hameçonnage (passkeys, clés de sécurité physiques, biométrie) devient obligatoire pour les administrateurs et utilisateurs à privilèges élevés à partir du 1er juillet 2026. Pour eux, une simple application TOTP ne sera plus acceptée.
Le gros changement pour tous les utilisateurs
Fini les codes par SMS, email ou appel
Ces méthodes, longtemps considérées comme suffisantes, ne seront plus acceptées. Trop faciles à intercepter, elles ne répondent plus aux standards de sécurité attendus en 2026.
Trois façons de valider votre connexion
Selon votre équipement, vous aurez le choix entre :
- Une application d'authentification sur smartphone professionnel (Salesforce Authenticator, Google Authenticator, Microsoft Authenticator) : validation en un clic.
- Une vérification matérielle, via la biométrie de votre ordinateur (Windows Hello, Touch ID) ou une clé de sécurité physique type YubiKey, pour ceux qui n'ont pas de smartphone pro.
- Votre portail SSO d'entreprise (Okta, Microsoft Entra ID...) si votre organisation l'utilise déjà, dans ce cas, la double vérification se configure directement sur ce portail, pas dans Salesforce.
Un cran de sécurité supplémentaire pour les administrateurs
Les profils à hauts privilèges, administrateurs système, droits "Modifier toutes les données", "Personnaliser l'application" ou "Créer du code Apex" sont les cibles prioritaires des attaquants. Pour eux, l'application mobile classique ne sera plus suffisante : Salesforce impose une méthode dite "résistante au hameçonnage" (biométrie poste de travail, clé physique, ou gestionnaire de mots de passe compatible FIDO2/WebAuthn comme 1Password ou Bitwarden).
Le calendrier à retenir
.png)
Autrement dit : si vous testez en sandbox, le sujet est déjà sur la table. En production, vous avez jusqu'à fin juillet pour que toute votre organisation soit conforme. Un administrateur non enregistré sur une méthode conforme au moment de l'activation sera tout simplement bloqué jusqu'à régularisation.
Comment se préparer sans perdre de temps
- Ne pas attendre la dernière minute. Configurez la MFA dès que possible plutôt que de découvrir un blocage un lundi matin chargé.
- Vérifier les informations de profil (email professionnel, numéro de téléphone) de chaque utilisateur dans Salesforce, indispensables pour la récupération de compte.
- Anticiper les besoins matériels pour les utilisateurs sans smartphone professionnel ou soumis à des contraintes réglementaires (commande de clés de sécurité, configuration biométrique).
- Auditer vos profils à privilèges élevés en priorité : ce sont eux qui doivent basculer sur les méthodes résistantes au hameçonnage.
Votre plan d'action en 4 étapes
- Identifier les utilisateurs concernés : profil System Administrator et les 4 permissions à privilèges élevés.
- Activer les méthodes conformes dans Setup (clés de sécurité, authentificateurs intégrés).
- Communiquer l'échéance à chaque administrateur et l'accompagner dans l'enregistrement de sa méthode, avant l'activation.
- Tester la connexion de chaque admin en sandbox avant le 1er juillet, et prévoir une méthode de secours pour éviter qu'un seul admin se retrouve verrouillé sans solution.
Faites le point sur votre organisation Salesforce
Au-delà de la contrainte technique, cette échéance est un bon prétexte pour auditer qui a accès à quoi dans votre org : profils, permissions, comptes dormants, droits d'administration distribués sans réelle nécessité. C'est souvent en préparant un changement de ce type qu'on découvre des configurations héritées qui mériteraient un nettoyage.
En tant qu'agence pure-play Salesforce, c'est exactement le type d'accompagnement qu'on fait au quotidien chez Guimini : pas seulement vous aider à cocher la case MFA, mais en profiter pour sécuriser et clarifier durablement votre organisation.
Besoin d'un coup de main pour préparer cette transition sereinement ? Parlons-en.
FAQ - Sécurité Salesforce 2026 : Authentification MFA
La MFA est-elle vraiment obligatoire pour tous les utilisateurs Salesforce ?
Oui, sans exception, qu'il s'agisse d'une connexion directe à l'interface ou via SSO, en production comme en sandbox.
Que se passe-t-il si je ne configure pas la MFA avant l'échéance ?
L'accès à votre environnement Salesforce sera bloqué jusqu'à ce que la double vérification soit configurée.
Le SSO me dispense-t-il de configurer la MFA dans Salesforce ?
Oui, mais la double vérification doit alors être activée directement sur votre portail SSO (Okta, Microsoft Entra ID, etc.), pas dans Salesforce.
Quelle est la différence de traitement pour les administrateurs ?
Les administrateurs et profils à droits élevés doivent utiliser une méthode résistante au hameçonnage (biométrie, clé physique FIDO2/WebAuthn) : les applications mobiles classiques ne suffisent plus pour eux.
Les administrateurs peuvent-ils continuer à utiliser Google ou Microsoft Authenticator ?
Non. Ces applications sont classées comme MFA standard et seront bloquées pour les utilisateurs à privilèges. Il faut basculer vers une clé de sécurité ou un authentificateur intégré.
Que faire si le seul administrateur de l'organisation se retrouve verrouillé ?
Le support Salesforce peut émettre un code de connexion à usage unique pour restaurer l'accès. Pour éviter cette situation, assurez-vous qu'au moins un administrateur de secours est enregistré avant l'échéance.
Les intégrations API sont-elles concernées ?
Non, le changement ne porte que sur les connexions via interface utilisateur. Les flux OAuth JWT Bearer et Client Credentials continuent de fonctionner normalement.
Un passkey synchronisé dans le cloud est-il accepté ?
Oui, les passkeys cloud-synchronisés (1Password, Bitwarden) sont officiellement reconnus comme conformes à l'exigence FIDO2/WebAuthn.

.webp)