Assurer la sécurité de GoMeddo : comment nous répondons aux nouvelles exigences de sécurité de Salesforce

Chez GoMeddo, la sécurité n'est pas une considération secondaire. Elle fait partie intégrante de la manière dont nous développons, maintenons et faisons évoluer notre produit. Ainsi, lorsque Salesforce a récemment annoncé des exigences de sécurité obligatoires pour tous les partenaires AppExchange, nous nous sommes immédiatement mis au travail. Voici ce qui se passe, pourquoi c'est important et ce que nous faisons pour y répondre.

Ce que Salesforce exige

Salesforce renforce les exigences de sécurité pour toutes les applications connectées (CA) et les applications clientes externes (ECA) utilisées dans les applications des partenaires AppExchange. Ces modifications sont obligatoires pour toute application partenaire exécutée dans plus de deux organisations de production de clients, et elles doivent être mises en œuvre avant le 11 mai 2026. Tout manquement à cette obligation pourrait entraîner le retrait de l'application partenaire de l'AppExchange ou la suspension de son interopérabilité avec les services Salesforce.

‍

Les principales exigences consistent à activer le protocole PKCE (Proof Key for Code Exchange) et la rotation des jetons de rafraîchissement pour toutes les applications connectées et les applications clientes externes. Deux exigences supplémentaires, à savoir la durée de vie (TTL) des jetons de rafraîchissement inactifs et la liste blanche des plages d'adresses IP pour les jetons de rafraîchissement, devraient devenir configurables vers le 13 avril 2026 et devront également être mises en place avant la date limite.

‍

Il ne s'agit pas simplement de cases à cocher administratives. Le PKCE constitue une protection essentielle contre les attaques visant à intercepter les codes d'autorisation, tandis que la rotation des jetons de rafraîchissement garantit que les jetons ne peuvent pas être réutilisés à l'insu de l'utilisateur s'ils venaient à être compromis. Ensemble, ces deux mesures renforcent considérablement le flux OAuth qui sous-tend la manière dont GoMeddo interagit avec Salesforce pour le compte de nos clients.

: ce que fait GoMeddo

L'équipe de GoMeddo a examiné attentivement les exigences et a désormais mis en place un plan précis. Voici un résumé des changements que nous apportons.

‍

Tout d'abord, nous mettons à jour nos applications connectées afin que les fonctionnalités PKCE et la rotation des jetons d'actualisation soient activées par défaut. Cela garantit que tous les clients utilisant GoMeddo bénéficient de ces protections sans avoir à intervenir eux-mêmes.

‍

Deuxièmement, dès que Salesforce aura mis à disposition les paramètres correspondants (prévus vers le 13 avril), nous configurerons nos applications pour gérer correctement la durée de validité (TTL) des jetons de rafraîchissement inactifs et la liste blanche des plages d'adresses IP autorisées pour les jetons de rafraîchissement. Ces paramètres permettent un contrôle plus précis de la manière dont les jetons de rafraîchissement peuvent être utilisés et des endroits où ils peuvent l'être, ce qui réduit encore davantage la surface d'attaque.

‍

Troisièmement, et c'est peut-être le plus important d'un point de vue technique, nous profitons de cette occasion pour accélérer notre transition des boîtiers de première génération (1GP) vers ceux de deuxième génération (2GP).

‍

Il s'agit d'une évolution architecturale majeure. Les packages de deuxième génération sont mieux adaptés aux normes actuelles de la plateforme Salesforce et prennent en charge nativement les applications client externes.

‍

En adoptant les ECA, nous ne nous contentons pas de répondre aux exigences actuelles, mais nous positionnons GoMeddo de manière à pouvoir satisfaire plus facilement les futures exigences en matière de sécurité, à mesure que la plateforme Salesforce continue d'évoluer.

Ce que cela signifie pour vous en tant que client

En bref : rien, pour l'instant. Les mises à jour sont entièrement gérées de notre côté, et notre objectif est que cette transition se fasse en toute transparence.

Il est toutefois recommandé de mettre à jour vos paquets vers les dernières versions afin de bénéficier des dernières améliorations en matière de sécurité et des nouvelles fonctionnalités.

‍

Nous croyons en la transparence. Même si nous ne prévoyons pas de mesure immédiate de votre part, le passage aux offres de deuxième génération constitue un changement important de plateforme, et il est probable qu'à un moment donné, nous devrons demander à nos clients de prendre des mesures spécifiques dans le cadre de cette transition.

‍

Le moment venu, nous vous contacterons de manière proactive pour vous fournir des instructions claires, un délai suffisant et toute l'aide nécessaire afin que cette transition se fasse en douceur.

: pourquoi c'est important

Il est utile de prendre un peu de recul et de comprendre pourquoi Salesforce agit ainsi. L'écosystème AppExchange bénéficie de la confiance de centaines de milliers d'entreprises à travers le monde.

‍

Maintenir cette confiance exige une vigilance constante, et les menaces pesant sur OAuth et l'authentification par jetons se sont complexifiées au fil du temps. Ces nouvelles exigences reflètent les meilleures pratiques actuelles en matière de sécurité des applications, et nous adhérons pleinement à l'esprit qui les sous-tend.

‍

Pour GoMeddo, c'est également une opportunité. Le passage aux packages 2GP et aux ECA ne se résume pas à une simple mise en conformité. Il s'agit du fondement d'une intégration avec Salesforce plus robuste, plus facile à maintenir et à l'épreuve du temps, ce qui se traduira au final par une expérience améliorée et plus sécurisée pour les équipes qui comptent chaque jour sur GoMeddo.

‍

Nous vous tiendrons informés au fur et à mesure de l'avancement de ces changements. Comme toujours, si vous avez des questions, n'hésitez pas à contacter notre équipe d'assistance.