L'activation de l'authentification multifacteurs (MFA) n'est plus qu'une question de jours pour Salesforce. Après l'avoir annoncée en mars dernier, l'éditeur a depuis multiplié les points d'information pour sensibiliser les entreprises qui vont devoir inclure cette stratégie de sécurité, à terme, dans toutes leurs solutions. A compter du 1er février 2022, Salesforce active en effet la fonction MFA dans ses solutions avec un étalement prévu. A terme, les produits concernés par sa généralisation incluent tous ceux conçus sur Platform (Sales Cloud, Analytics Cloud, Marketing Cloud, Field Service...), B2C Commerce Cloud, Heroku, Marketing Cloud Datorama, Email et Mobile Studio, ainsi que Journey Builder, Cloud Social, Mulesoft Anypoint Platform, Quip et Tableau.
« À compter du 1er février 2022, Salesforce exigera des clients qu'ils utilisent MFA pour accéder aux produits Salesforce. Tous les utilisateurs internes qui se connectent aux produits Salesforce (y compris les solutions partenaires) via l'interface utilisateur doivent utiliser MFA pour chaque connexion. Nous vous encourageons à commencer à planifier ce changement dès maintenant et, dans la mesure du possible, à commencer à mettre en œuvre la MFA », indique l'éditeur dans une FAQ.
Mise en oeuvre étalée en fonction des produits
Salesforce prévoit ainsi d'activer automatiquement MFA pour les utilisateurs qui se connectent directement aux produits Salesforce. Mais les administrateurs auront toujours la possibilité de le désactiver si leurs utilisateurs ne sont pas encore prêts. Une date limite est cependant fixée après laquelle sa désactivation ne sera plus possible.
La mise en oeuvre du MFA varie en fonction des produits Salesforce et un récapitulatif est disponible ici. Par exemple, pour les produits Quip, le MFA est mis en place au 1er février 2022 et est exigé au 1er mai 2022. Pour l'ensemble des utilisateurs de Marketing Cloud Social, le déploiement est étalé de juin à août 2022, avec une mise en oeuvre obligatoire courant octobre à décembre 2022. Les utilisateurs de solutions Platform ont un peu plus de temps puisque la période d'activation est fixée entre septembre et octobre 2022 avant une activation définitive entre mai et juin 2023.
La qualité de la mise en oeuvre pas vérifiée
Pour accompagner les entreprises dans leur parcours MFA, Salesforce a publié un guide ainsi qu'un Q&A pour vérifier si les prérequis sont bien à niveau. L'éditeur justifie cette mise en oeuvre par le renforcement de la sécurité sur les accès à ses solutions sans pour autant aller jusqu'à en vérifier la qualité. « Salesforce n'exige pas que les clients certifient le respect de leurs obligations contractuelles. Conformément à cette pratique, les clients n'ont pas besoin d'obtenir une certification formelle ou d'attester de quelque manière que ce soit à Salesforce qu'ils satisfont à l'exigence contractuelle MFA », indique l'éditeur. « Les clients qui n'activent pas la MFA d'ici le 1er février 2022 ne respecteront pas leurs obligations contractuelles. Nous vous recommandons de parler avec votre équipe juridique pour comprendre les implications de la non-activation de l'authentification multifacteurs à la date requise ».