Depuis le 1er février 2022, l’authentification multifactorielle (MFA) est contractuellement obligatoire, même si une tolérance d’ordre technique perdurera jusqu’en 2023. L’activation de la MFA relève de problématiques à la fois techniques et organisationnelles. Un tel projet est l’occasion de repenser l’authentification voire la cybersécurité dans son ensemble, à l’échelle du SI de l’entreprise.
Salesforce impose progressivement l’authentification multifactorielle
Salesforce a annoncé en 2021 un plan d’activation de l’authentification multifactorielle (MFA), déjà techniquement disponible depuis l’an dernier. Une étape cruciale a été franchie le 1er février 2022. Depuis cette date, les entreprises qui ne l’ont pas activée ne sont plus en conformité avec le nouveau contrat d’utilisation. Salesforce n’effectuera d’abord aucune vérification. Mais courant 2022, la plateforme procèdera à une activation automatique de la MFA, de façon progressive, service par service. Dans un premier temps, les administrateurs auront la possibilité de la désactiver. Mais dès mars 2022 pour certains produits, et surtout à partir de mai 2023 pour l’ensemble des services, le processus sera irréversible et la MFA deviendra de facto obligatoire. Les entreprises ont donc le temps de la mettre en place, même si la non-conformité contractuelle peut présenter un risque juridique, notamment en cas d’attaque.
Des problématiques techniques et surtout organisationnelles et économiques
Dans un monde 100 % Salesforce, l’activation de la MFA est techniquement simple. Il suffit de la déclencher et de déployer l’application mobile Salesforce Authenticator. Le projet est plus complexe si l’on décide d’intégrer la MFA à l’échelle de plusieurs applications, SaaS ou sur site, via une solution de SSO. On pourra alors s’appuyer sur des solutions tierces de méta-annuaires, d’authentification forte et de SSO comme Thalès STA, Azure AD, Okta ou Onelogin.
Mais la véritable difficulté est davantage organisationnelle et économique, et elle augmente en fonction du nombre d’utilisateurs. Car il s’agit d’équiper ces derniers de dispositifs permettant de renforcer l’authentification. On peut opter pour des smartphones accueillant une app comme Salesforce Authenticator, Google Authenticator, Microsoft Authenticator ou encore Authy. Elle sera installée soit sur des appareils dédiés à l’usage professionnel, ce qui aura un coût, soit sur les smartphones personnels, ce qui nécessitera l’accord des utilisateurs. En général, aucune de ces deux solutions n’est réaliste à grande échelle. L’alternative consiste à équiper les employés de dispositifs biométriques ou de clés sécurisées comme YubiKey de Yubico ou Titan de Google. Dans tous les cas, le déploiement nécessite un important effort d’accompagnement au changement – démarche qu’il s’agit d’adapter à chaque type de population.
L’occasion de repenser la sécurité au-delà de l’authentification
Que l’on s’en tienne au monde Salesforce ou qu’on étende la MFA à toutes les applications critiques, il est conseillé d’en profiter pour refondre la sécurité du SI, dont l’authentification n’est qu’une brique. Même avec la MFA, l’entreprise n’est en effet pas à l’abri d’une cyberattaque. La panoplie des solutions s’étend alors aux VPN, au chiffrement des données et aux sauvegardes, associées à un plan de récupération et de redémarrage. Sans ces mesures, la reprise d’activité après une attaque se compte généralement en semaines.
Des projets de quelques jours à plusieurs mois selon le contexte et l’ambition
La mise en place de la MFA Salesforce est un projet à part entière qui comprend les traditionnelles étapes de préparation, de déploiement, de gestion du changement et de support. L’effort est fonction des contraintes organisationnelles, de la taille des populations concernées, du périmètre et de la solution choisie. Selon que le projet est limité à Salesforce ou étendu au SI, sa durée peut varier de quelques semaines à plusieurs mois.
Lamine Hadj-Arab, consultant manager chez Almavia CX
Cyril Louis, CEO et cofondateur de Mavericx, Salesforce MVP
Philippe Le Thomas, practice leader, annuaires et identités chez Anetys