Sécurité Salesforce 2026 : Tout comprendre aux nouvelles règles de connexion obligatoires

Dans un contexte mondial où les cyberattaques se complexifient, Salesforce franchit un cap décisif pour protéger l’accès à vos données professionnelles. D’ici l’été 2026, les méthodes de connexion traditionnelles évoluent vers des protocoles hautement sécurisés. Cette mise à jour, technique mais essentielle, impactera le quotidien de chaque utilisateur.

Salesforce impose l’authentification multifacteur (MFA) pour TOUS les utilisateurs et la renforce pour les utilisateurs ayant un profil Administrateur système, des autorisations « Modifier toutes les données, Afficher toutes les données, Personnaliser l’application ou Créer du code Apex ». Cette mesure s’applique aux connexions directes à l’interface utilisateur et aux connexions SSO (authentification unique), aussi bien dans les environnements de production que dans les environnements de test.

Les méthodes de vérification MFA renforcées de Salesforce utilisent des clés de sécurité WebAuthn et des authentificateurs intégrés. Ces méthodes sont également appelées « Passkeys ». Salesforce recommande d’utiliser la connexion sans mot de passe via les passkeys pour une connexion plus rapide.

1. Ce qui change pour TOUS les utilisateurs

L’usage de l’authentification multifacteur (MFA) qui consiste à valider votre identité via une double vérification lors de la connexion devient techniquement obligatoire à partir de juin 2026 pour accéder à vos environnements Salesforce. Sans cette configuration, l’accès à votre outil de travail quotidien sera bloqué.

La fin définitive des SMS et des e-mails : Recevoir un code temporaire par SMS, par e-mail ou par appel vocal ne sera plus accepté par Salesforce. Ces canaux de communication traditionnels sont aujourd’hui jugés trop vulnérables au piratage.

Les options de connexion qui s’offrent à vous :

• Si vous possédez un smartphone professionnel ou autorisé : Vous devrez utiliser une application d’authentification. L’application gratuite Salesforce Authenticator est recommandée pour sa simplicité (validation en un clic via notification push), mais des alternatives comme Google Authenticator ou Microsoft Authenticator sont également validées.
• Si vous ne disposez pas d’un smartphone professionnel : Aucun problème, vous pourrez valider votre connexion de manière totalement matérielle. Soit via la biométrie intégrée de votre ordinateur (comme Windows Hello ou Touch ID de Mac), soit en insérant une petite clé de sécurité physique (de type clé USB YubiKey).
• Si votre entreprise utilise une Connexion Unique (SSO) : Si vous vous connectez déjà à Salesforce via un portail d’entreprise centralisé (tel que Okta, Microsoft Entra ID, etc.), la double vérification ne se fera pas dans Salesforce, mais devra impérativement être activée et configurée directement sur ce portail. 

2. Ce qui change spécifiquement pour les Administrateurs

Les personnes disposant de privilèges d’administration détiennent les accès les plus sensibles et sont donc les cibles prioritaires des cyberattaques.

Pour eux, les applications classiques sur smartphone ne suffiront plus.

Ils devront obligatoirement utiliser une méthode dite « résistante au hameçonnage », à savoir la biométrie de leur poste de travail (Windows Hello, Touch ID) ou des clés de sécurité physiques ou des gestionnaire de mots de passe prenant en charge et stockant les clés d’accès FIDO2/WebAuthn (par exemple, 1Password, Bitwarden).

3. Le calendrier de déploiement

L’application de ces nouvelles règles de sécurité se fera de manière échelonnée et automatique selon le calendrier officiel suivant :

• Environnements de test (Sandbox) : Activation à partir du 22 juin 2026 , échelonnée sur environ 7 jours.
• Environnements de production : Activation définitive à partir du 1er juillet 2026 , échelonnée sur environ 30 jours.

4. Comment vous préparer dès aujourd’hui ?

Pour garantir la continuité de vos activités professionnelles et aborder sereinement cette transition, voici les trois réflexes à adopter dès maintenant :

1. N’attendez pas la date limite : Configurez votre méthode de double vérification dès que votre équipe informatique ou votre administrateur vous y invite. Cela vous évitera d’être bloqué de manière inopportune au milieu d’une journée de travail chargée.

2. Mettez à jour vos coordonnées : Prenez 2 minutes pour vérifier que votre adresse e-mail professionnelle et votre numéro de téléphone sont parfaitement renseignés et à jour dans vos paramètres profils Salesforce. C’est indispensable pour faciliter la récupération autonome de votre compte en cas de perte de votre méthode principale.

3. Anticipez les besoins en matériel : Si votre situation requiert l’usage d’un dispositif biométrique ou d’une clé de sécurité physique (absence de smartphone, contraintes réglementaires), rapprochez-vous immédiatement de votre service informatique ou de vos administrateurs Salesforce pour commander et recevoir votre équipement.

Ressources :

• https://help.salesforce.com/s/articleView?id=005321561&type=1
• https://help.salesforce.com/s/articleView?id=005321563&type=1
• https://help.salesforce.com/s/articleView?id=xcloud.identity_passkey_login_enable.htm&type=5