Salesforce est un formidable levier de croissance pour les entreprises. Mais comme tout outil puissant, il demande un minimum de vigilance pour être utilisé en toute sécurité. Trop souvent, la sécurité est considérée comme un sujet secondaire, voire optionnel, surtout dans les PME où les ressources sont limitées et où les urgences prennent souvent le dessus sur la prévention. Pourtant, un CRM mal sécurisé peut rapidement devenir un point d’entrée pour des erreurs humaines, des fuites de données, voire des attaques malveillantes.
Pourquoi les PME sont particulièrement exposées
Dans les grandes entreprises, la gestion de la sécurité Salesforce est généralement encadrée par des équipes dédiées, avec des procédures documentées, des audits réguliers et des outils complémentaires. Les PME, en revanche, disposent rarement de ces ressources. Il est fréquent que la gestion de Salesforce soit confiée à une seule personne ou à une équipe très réduite, souvent orientée vers le fonctionnel plus que vers l’infrastructure ou la cybersécurité. Dans ce contexte, certaines erreurs se répètent, non pas par négligence, mais par manque d’information, de formation ou de temps.
Cinq erreurs de sécurité que l’on retrouve souvent
1. Des accès administrateurs non maîtrisés
Il arrive très souvent que d’anciens employés ou des prestataires externes conservent leurs accès administrateurs, parfois pendant des mois après leur départ. Dans certains cas, les accès ne sont jamais révoqués car personne ne sait exactement à quoi ils servent.
Ce qu’il faut faire : mettre en place une politique claire de gestion des identifiants, désactiver les comptes inactifs, et limiter les droits d’administration au strict nécessaire.
2. Une authentification multifacteur (MFA) absente ou partielle
Malgré les recommandations officielles, certaines PME tardent encore à activer la MFA pour tous les utilisateurs, ou l’ont contournée pour certaines intégrations tierces. Pourtant, c’est un moyen simple et très efficace pour protéger les accès.
Ce qu’il faut faire : activer la MFA pour tous les utilisateurs et vérifier que les applications connectées respectent également ce niveau d’exigence.
3. Des intégrations tierces peu sécurisées
Beaucoup d’orgs Salesforce de PME sont connectées à des outils tiers (marketing automation, formulaires, outils internes) via des tokens d’accès ou des APIs qui ne sont pas revus régulièrement. Ces connexions peuvent rester actives longtemps après leur utilisation réelle.
Ce qu’il faut faire : dresser une liste des intégrations actives, révoquer les connexions inutiles et appliquer le principe du moindre privilège.
4. L’absence de journaux d’audit activés
Sans journaux d’audit, impossible de savoir qui a fait quoi dans l’org. C’est pourtant essentiel pour retracer un incident ou comprendre une erreur.
Ce qu’il faut faire : activer les logs d’audit disponibles dans Salesforce et les consulter régulièrement, au moins en cas de changement majeur ou de comportement suspect.
5. Une gestion approximative des profils utilisateurs
Par souci de simplicité, certaines entreprises appliquent un profil unique à tous leurs utilisateurs, sans distinction de rôle ou de niveau d’accès. Cela facilite certes l’administration, mais expose également l’org à des risques importants.
Ce qu’il faut faire : définir des profils adaptés aux rôles réels des utilisateurs et utiliser des permission sets pour gérer les droits spécifiques.
Quelles actions simples mettre en place ?
Il n’est pas nécessaire d’avoir une équipe cybersécurité pour bien protéger votre org Salesforce. Voici quelques réflexes utiles :
- Activer la MFA partout
- Supprimer les comptes inactifs tous les trimestres
- Créer une documentation des accès et des intégrations
- Réaliser une revues des profils utilisateurs deux fois par an
- Mettre en place une alerte interne dès qu’un profil admin est créé ou modifié
Ces actions, simples mais structurantes, permettent d’assainir la base, de réduire les risques, et de bâtir une gouvernance plus sérieuse à long terme.
Visionnez notre webinar sur la sécurité CRM
Chez Guimini, on pense que la sécurité doit être accessible. Pas anxiogène, pas opaque. C’est pourquoi nous avons organisé un webinar spécialement pensé pour les PME qui veulent mieux protéger leurs données sans se noyer dans la complexité technique. Visionnez le replay dès maintenant !
Et si ce sujet vous parle, nos experts sécurité se feront un plaisir d'échanger avec vous ! Contactez-nous.
.webp)
