Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Audit de Salesforce : Le Setup Audit Trail et le suivi de l'historique des champs

Audit de Salesforce : Le Setup Audit Trail et le suivi de l'historique des champs

Jan 19, 2024

D'emblée, Salesforce peut vous fournir une grande partie des informations nécessaires pour réussir un audit SOX. Mais il existe des lacunes, et le processus peut être frustrant et prendre beaucoup de temps. Avant de commencer, il est important de comprendre ce que vous pouvez — et ne pouvez pas — faire dans votre Org déjà.

Dans cet article, nous examinons deux des principaux outils Salesforce pour la préparation de l'audit SOX audit prep — le Setup Audit Trail et le Field History Tracking.

Conformité SOX : Ce qui est concerné

Avant de nous pencher sur les outils spécifiques que Salesforce propose pour la préparation de l'audit, il est utile de revoir ce que, exactement, les auditeurs souhaitent voir. Malheureusement, il n'y a pas de réponse claire à cela ; ce n'est que depuis quelques années que les auditeurs ont commencé à examiner de plus près Salesforce, et chacun apportera un niveau de familiarité différent avec la plateforme.

Avec cette réserve, ce que nous observons, c'est une concentration sur trois éléments et comment ils peuvent potentiellement impacter la reconnaissance des revenus :

  • Accès: Vos politiques concernant la provision, les mots de passe, l'authentification multi-facteurs et les modifications apportées aux utilisateurs, profils et ensembles de permissions.
  • Modifications de métadonnées/configuration : Comment vos équipes examinent et approuvent les demandes de changement, et comment ces approbations sont réconciliées avec les changements réels dans le système.
  • Modifications des données de configuration : Comment vous suivez les modifications de configuration des objets critiques liés aux revenus (généralement dans les applications CPQ et Billing)

Contenu connexe sélectionné :

Le journal de configuration d'audit

Pourquoi nous l'aimons

Le Setup Audit Trail de Salesforce est simple et direct — il consigne les modifications d'une large gamme de types de changements et les rassemble dans un fichier exportable montrant la nature du changement, qui l'a effectué et quand il a été réalisé. Il suit les modifications de tout, des informations de l'entreprise et de la devise aux détails des profils et des ensembles de permissions — consultez le Salesforce Security Guide pour la liste complète.

Une fois que vous avez généré votre rapport, vous pouvez filtrer les données par Type et approfondir les modifications qui préoccupent le plus vos auditeurs.

Où c'est disponible

Salesforce Classic et Lightning Experience; Contact Manager, Essentials, Group, Professional, Enterprise, Performance, Unlimited, Developer et Database.com Editions

Où cela fait défaut

Le journal d'audit de configuration vous fournit une quantité assez volumineuse d'informations, mais il ne conserve ces données que pendant 180 jours. Cela signifie que tout changement que vos auditeurs souhaiteraient voir au-delà de cette période serait inatteignable. Cela oblige les équipes à stocker les données ailleurs – ce qui soulève souvent des questions sur leur exactitude de la part des auditeurs.

L'autre problème majeur avec le Setup Audit Trail est qu'il montre les changements qui ont eu lieu dans votre Org, mais il ne montre pas s'ils ont été examinés ou approuvés — des détails critiques pour les auditeurs qui voudront voir que les modifications sensibles ont suivi un processus approprié.

En conséquence, les équipes Salesforce doivent manuellement rapprocher le journal d'audit avec les demandes et approbations pertinentes (qui pourraient se trouver dans un système de billetterie externe comme Jira, dans un e-mail, dans un document partagé, etc.) C'est un processus extrêmement chronophage qui nécessite des ressources considérables à l'approche d'un audit.

Quoi d'autre ?

Le journal d'audit de configuration fait du bon travail pour capturer les modifications de configuration, mais il manque encore certaines choses. Par exemple, il ne peut pas suivre :

  • Modifications de la vue de liste personnalisée
  • Modifications des types de rapport ou des critères de filtrage
  • Création de nouveau rapport

En fin de compte, ce ne sont pas nécessairement de grandes lacunes, mais si vos auditeurs veulent les voir, vous devrez compter sur autre chose que le Setup Audit Trail.

Contenu connexe sélectionné :

Suivi de l'historique des champs

Pourquoi nous l'aimons

Le suivi de l'historique des champs vous permet de sélectionner des champs individuels dans un objet standard ou personnalisé et de suivre automatiquement toute modification apportée à ceux-ci.

Une fois que vous avez sélectionné certains champs à suivre, un enregistrement de tout changement sera ajouté à la liste associée Historique, capturant la date et l'heure du changement, son auteur, et d'autres détails importants. Et à moins que vous n'achetiez l'add-on Field Audit Trail, ces informations ne sont conservées que pendant 18 mois à travers votre Org, et jusqu'à 24 mois si vous exportez via l'API.

Où c'est disponible

Salesforce Classic (non disponible dans tous les Orgs), Lightning Experience et l'application Salesforce ; Contact Manager, Essentials, Group, Professional, Enterprise, Performance, Unlimited, Developer et les éditions Database.com (les objets standards ne sont pas disponibles dans Database.com)

Où cela fait défaut

Semblable au journal d'audit de configuration, les données collectées par le suivi de l'historique des champs sont à la fois trop abondantes et insuffisantes. Vous obtiendrez beaucoup d'informations, mais seulement jusqu'à un certain point — un maximum de 20 champs peuvent être sélectionnés par objet, et seulement 18 mois de données (24 en utilisant l'API) sont collectés.

De plus, le suivi de l'historique des champs n'enregistre les modifications qu'à partir du moment où il est activé — ce qui peut poser problème si vous ne prenez pas le temps de déterminer ce qui est concerné à l'avance.

Quoi d'autre ?

Le suivi de l'historique des champs n'est pas disponible dans toutes les organisations, ni pour tous les objets. De plus :

  • Si un champ contient plus de 255 caractères, les anciennes et nouvelles valeurs ne seront pas enregistrées
  • Les modifications des champs de temps ne sont pas non plus suivies

L'essentiel

Il est tout à fait possible de réussir un audit SOX en utilisant les outils intégrés de Salesforce. Cependant, en fonction des attentes de vos Auditeurs, le processus peut être plus difficile et prendre plus de temps que nécessaire. Les attentes et les exigences des Auditeurs pour la plateforme Salesforce sont également en augmentation. De plus en plus, nous constatons que des outils supplémentaires sont nécessaires.

Nous avons conçu Netwrix Strongpoint pour combler les lacunes laissées par le Field History Tracking et le Setup Audit Trail. Nos produits offrent un ensemble complet d'outils de conformité qui suivent et rapportent les modifications apportées à l'accès des utilisateurs, aux métadonnées et aux données de configuration liées aux revenus dans un journal détaillé et immuable. Nous disposons également d'intégrations conçues pour les principaux systèmes de billetterie afin d'aider à automatiser la réconciliation de nos journaux avec les demandes de changement d'origine où les modifications ont commencé. Nous vous fournissons plusieurs outils pour travailler avec ces données et produire des rapports prêts pour l'audit qui réduiront considérablement vos coûts et votre niveau de stress.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Paul Staz

Vice-président des Ventes et du Marketing

En tant que VP des Ventes et du Marketing, Paul est responsable de stimuler la croissance des produits d'Infrastructure et d'Applications dans le portefeuille de Netwrix. Ses principaux domaines de concentration sont la sécurité et la conformité pour NetSuite, Salesforce et l'Infrastructure Réseau. Il est passionné par les Stratégies de Mise sur le Marché et par générer des résultats positifs pour les clients. Auparavant, Paul a été VP des Ventes et du Marketing chez Strongpoint où il a dirigé les fonctions de Mise sur le Marché avant son acquisition par Netwrix. Paul est titulaire d'un Bachelor of Arts et d'un Master en Administration des Affaires de l'Université McMaster à Hamilton, Ontario, Canada.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité