La cybersécurité s’est imposée comme l’un des sujets les plus critiques pour les entreprises aujourd’hui. Pression réglementaire accrue, multiplication des accès aux données, arrivée des agents IA capables d’agir directement dans les systèmes : les entreprises évoluent aujourd’hui dans des environnements bien plus dynamiques et complexes.
Une répartition claire des rôles
Dans ce contexte, Salesforce défend un principe structurant : la sécurité ne repose jamais sur un seul acteur, mais sur une répartition claire des rôles entre le fournisseur de la plateforme Cloud et les organisations qui l’utilisent. Cette approche repose sur une idée simple : chacun assume des responsabilités bien définies et complémentaires. Dans l’écosystème du SaaS, ce principe prend la forme d’un modèle de responsabilité partagée. Avec Salesforce, le fonctionnement est limpide : l’éditeur assure la sécurité du cloud, tandis que l’utilisateur garantit la sécurité dans le cloud.
Pour mieux comprendre, il faut imaginer un immeuble de haute sécurité. Si Salesforce, le propriétaire, s’engage sur l’intégrité de la structure et la surveillance des parties communes, il appartient au locataire de verrouiller la porte de son appartement et de protéger les objets de valeur, ses données, qui s’y trouvent. « Et c’est cette complémentarité qui assure la sécurité globale », résume Clément Pélegrin, directeur de l’équipe avant-vente architecture Data & AI. Dans ce modèle de responsabilité partagée, le fournisseur assume la sécurité de la plateforme, tout en laissant suffisamment de flexibilité pour que chaque client puisse la configurer en fonction de ses besoins spécifiques.
Concrètement, Salesforce protège tout ce que l’utilisateur ne voit pas : l’infrastructure, les data centers, les réseaux ou encore évidemment les correctifs logiciels. En somme, tout ce qui est invisible mais fondamental pour faire fonctionner l’ensemble qui repose désormais sur Hyperforce, son architecture déployée actuellement sur un ‘hyperscaler’ tel que AWS. En France, les clients peuvent par exemple s’appuyer sur la redondance de trois data centers localisés sur le territoire français.
Pour garantir un haut niveau de sécurité, une configuration précise et attentive des éléments de sécurité, par le client, est indispensable. Le client garde la maîtrise de ses données, de ses accès et de ses usages. C’est lui qui choisit ses règles d’authentification, définit les profils et applique le principe du moindre privilège. C’est lui encore qui active l’authentification multi-facteurs, restreint les adresses IP autorisées, organise les droits d’accès et structure ses environnements de travail.
Un travail essentiel, souvent sous-estimé, que Salesforce s’efforce continuellement de rendre plus clair et plus accessible.
L’éditeur ne fait pas « à la place » du client, mais lui donne un cadre pour avancer sans se perdre dans les réglages, qui, par nature, sont propres à chaque client. En l’occurrence, Salesforce Health Check (nativement disponible), permet de visualiser et mesurer son niveau de sécurité, avec des audits qui aident à repérer les configurations fragiles ou encore, des guides détaillant les bonnes pratiques à appliquer au quotidien. Et si une entreprise souhaite renforcer son dispositif, elle peut activer, entre autres, des fonctionnalités avancées de chiffrement ou de surveillance des données. L’enjeu est simple : aider chaque client à prendre en main et à maintenir sa sécurité, sans avoir à affronter seul la complexité.
Des enjeux de sécurité croissants pour les entreprises
Les organisations évoluent aujourd’hui dans un environnement difficile à maîtriser. Les attaques gagnent en précision, les surfaces d’exposition s’élargissent et les obligations réglementaires s’alourdissent. Ainsi, 68% des responsables sécurité estiment que la conformité devient plus complexe, d’autant qu’elle dépend de règles qui changent selon les régions géographiques ou les secteurs d’activités.
À cette pression s’ajoute l’erreur humaine, facteur tout aussi déterminant. Un compte non désactivé, un accès oublié, une configuration mal effectuée et une « porte reste ouverte » sans que personne ne s’en aperçoive. Ces situations reflètent à la fois un manque de vigilance et des environnements fragmentés, où les outils se dispersent et les rôles se multiplient.
Dans ce paysage en mouvement constant, une répartition claire des responsabilités apporte un cadre lisible. L’éditeur de solutions renforce la base technique, tandis que l’entreprise ajuste ses bonnes pratiques. C’est cette articulation qui permet de bâtir une défense capable de suivre le rythme.
Un suivi constant pour une sécurité pérenne
Une sécurité efficace ne repose pas uniquement sur un bon paramétrage initial. Elle exige un suivi constant, car un environnement bien configuré peut vite dériver si personne ne l’entretient. « On peut avoir la meilleure configuration au départ, mais elle sera vite dépréciée si elle n’est pas revue et maintenue régulièrement et correctement dans le temps », rappelle Clément Pélegrin, directeur de l’équipe avant-vente architecture Data & AI.
Cette vigilance passe par quelques réflexes simples : vérifier les accès, repérer les comptes inactifs, retirer une application connectée devenue inutile ou tester chaque évolution dans un environnement dédié. Elle repose aussi sur la formation régulière des équipes, qu’il s’agisse des administrateurs ou des utilisateurs qui manipulent la donnée au quotidien.
Jusqu’ici, ces vérifications reposent surtout sur des actions manuelles, souvent répétitives et parfois chronophages. Dans ce cas, une console de sécurité (Security Center) permet de faciliter ces tâches en offrant une vue consolidée et en temps réel du niveau de sécurité des instances Salesforce, appartenant à un client.
D’autant plus que Salesforce enrichit cette solution en y ajoutant de l’IA agentique. Ainsi, à partir de cette année, de nouveaux agents assistent les administrateurs dans ces tâches de fond. Ils peuvent demander à la plateforme la politique à appliquer pour respecter certaines réglementations comme le RGPD, ou identifier en un instant quels utilisateurs disposent d’une permission sensible. Une manière de simplifier la vigilance tout en renforçant la fiabilité des contrôles.
Contenu proposé par Salesforce
