Vous avez ouvert Setup → Security → Health Check dans votre Salesforce. Vous voyez un score : 73 %, 87 %, peut-être 91 %. Vous voyez une couleur (verte, jaune, rouge). Vous voyez une liste de paramètres. Et vous vous demandez : qu’est-ce que ça veut vraiment dire ? Que faut-il prioriser ? Et surtout, est-ce que ce score reflète vraiment la sécurité de mon instance ?
Voici tout ce que Health Check sait faire — et tout ce qu’il ne voit pas.
Ce qu’est Health Check
Health Check est un outil natif Salesforce gratuit et inclus dans toutes les éditions Enterprise et supérieures. Il compare votre configuration sécurité à un baseline standard recommandé par Salesforce, et calcule un score sur 100.
Il couvre une cinquantaine de paramètres répartis en cinq catégories :
- Login Access Policies : gestion des sessions, durée d’inactivité, IP ranges.
- Network Access : restrictions IP au niveau de l’org.
- Password Policies : longueur, complexité, expiration, historique.
- Remote Site Settings : sites externes autorisés depuis Apex.
- Session Settings : durée, sécurité, cookies, protection contre les attaques.
Chaque paramètre a un poids dans le score global. Les paramètres “High-Risk” (par exemple : durée de session, longueur minimale de mot de passe) pèsent plus que les paramètres “Low-Risk”.
Comment lire votre score
- Vert (90-100) : configuration alignée avec les recommandations Salesforce. C’est l’objectif minimum à viser.
- Jaune (80-89) : quelques écarts, à corriger en quick wins.
- Orange (50-79) : écarts significatifs, à traiter en priorité.
- Rouge (<50) : posture sécurité dégradée, action immédiate.
Un score de 73 (jaune-orange) que nous voyons souvent en audit suggère typiquement : MFA non enforcée correctement, durée de session trop longue, politique de mot de passe trop souple, IP ranges absents.
Les paramètres qui pèsent le plus dans le score
- Multi-Factor Authentication enforcement : -50 points si désactivée.
- Password length minimum : -25 points si inférieur à 8 caractères.
- Session timeout : -20 points si supérieur à 8h.
- Lock sessions to IP from which they originated : -15 points si désactivé.
- Force logout on session timeout : -10 points si désactivé.
En cochant simplement les 4 premiers, vous remontez de 30 à 50 points sur le score sans toucher à des éléments structurels.
Ce que Health Check NE voit PAS
C’est la partie cruciale. Un score Health Check à 100 %, c’est rassurant mais largement insuffisant. Voici ce que l’outil ignore.
- La distribution des permissions admin. 50 utilisateurs avec View All Data ne baisse pas le score Health Check. Pourtant c’est le risque sécurité numéro 1.
- Les comptes inactifs. Des dizaines de licences laissées actives à d’anciens collaborateurs : Health Check ne le voit pas.
- Les Connected Apps non gouvernées. Des dizaines d’apps OAuth installées au fil des années, certaines abandonnées : Health Check ne fait aucun audit.
- Le sharing model trop ouvert. OWD en Public Read/Write sur des objets sensibles : invisible pour Health Check.
- Les Profils permissifs par clonage. Le permission sprawl : zéro check.
- Les exports de données massifs effectués historiquement. Sans Event Monitoring, pas de visibilité.
- Les sites Experience Cloud mal configurés. Permissions guest user trop ouvertes : invisible.
- L’absence de Field History Tracking sur des champs sensibles.
- L’absence de stratégie de backup testée.
- La cohérence avec votre PCA et votre conformité réglementaire.
Un score Health Check à 100 % couvre environ 30 % de la posture sécurité réelle d’une instance Salesforce. C’est nécessaire mais pas suffisant.
L’audit complémentaire qui voit le reste
Un audit sécurité Salesforce sérieux ajoute systématiquement à Health Check les vérifications suivantes :
- Cartographie des permissions admin : qui a quoi, depuis quand, est-ce justifié.
- Audit Profils + Permission Sets : permission sprawl, doublons, droits oubliés.
- Inventaire des Connected Apps : usage récent, permissions accordées, dernière utilisation.
- Revue du sharing model : OWD, sharing rules, role hierarchy, exception manuelles.
- Vérification du Field History Tracking sur les champs critiques (montants, statuts, propriétaires).
- Activation et exploitation d’Event Monitoring (analyse forensic 90 jours).
- Test de la stratégie backup et restauration.
- Vérification de la conformité RGPD (durées de conservation, consentements, sandbox masking).
- Cartographie des intégrations externes et de leur sécurité (OAuth, certificats, IP whitelisting).
- Sites Experience Cloud : audit des permissions guest user et des données exposées.
Voir notre article complet sur la responsabilité partagée Salesforce et notre checklist RGPD en 14 points.
Comment passer un Health Check de 70 à 95 en 2 semaines
Voici l’ordre de priorité concret :
- Jour 1-2 : activer le MFA enforcement strict (pas de bypass possible). Communication interne, formation rapide. +50 points si MFA était partielle.
- Jour 3 : ajuster la politique de mot de passe (longueur 10, complexité, expiration 90 jours, historique 5). +15 points.
- Jour 4-5 : configurer Session Settings (durée 4h, lock to IP, force logout). +20 points.
- Semaine 2 : configurer les IP ranges au niveau profil ou org pour les profils sensibles. +10 points.
- Semaine 2 (suite) : revue des Remote Site Settings, suppression des entrées non justifiées.
Avec ce plan vous remontez de 70 à 95 en 2 semaines, sans changer la structure de l’instance.
Conclusion : Health Check est un point de départ, pas une finalité
Health Check est un excellent outil pour identifier rapidement les écarts de configuration sécurité standard. Atteignez le 95+ — c’est tenable en 2 semaines. Mais ne croyez pas qu’un score vert suffit. La sécurité réelle d’une instance Salesforce passe par un audit qui couvre les permissions, le sharing model, les connected apps, le monitoring, le backup et la conformité.
Chez Cloud Girafe, nous proposons des audits sécurité Salesforce qui dépassent largement Health Check. Si vous voulez aller plus loin que la conformité standard, contactez-nous sur cloudgirafe.fr. Téléchargez aussi notre livre blanc Sécurité Salesforce pour le détail méthodologique.
