« View All / Modify All » Salesforce : le contournement à surveiller
View All et Modify All contournent discrètement le modèle de partage Salesforce. Rôle, origine, qui vérifier et pourquoi ils comptent pour les agents IA.
L”essentiel du modèle de partage Salesforce consiste à accorder soigneusement l”accès aux enregistrements. View All et Modify All balaient tout cela d”un revers de main : ils permettent à un utilisateur de voir ou de modifier tout, en ignorant totalement le partage. Indispensables aux administrateurs, ils deviennent dangereux lorsqu”ils se répandent. Voici ce qu”ils font et comment les garder sous contrôle.
Ce qu”ils font réellement
Ces permissions contournent le modèle de partage : valeurs par défaut à l”échelle de l”organisation, hiérarchie des rôles, règles de partage, tout y passe :
- View All : voir chaque enregistrement d”un objet.
- Modify All : voir, modifier, supprimer et transférer chaque enregistrement d”un objet.
Un utilisateur disposant de View All sur les Cases voit chaque requête de l”organisation, même avec une valeur par défaut Private et aucune règle de partage en vue. Le partage ne s”applique tout simplement pas à lui pour cet objet.
Lorsqu”elles sont présentes, le reste du modèle de partage n”a plus d”importance : elles se placent au-dessus de lui.
Deux portées : objet ou organisation entière
| Permission | Portée | Effet |
|---|---|---|
| View All (objet) | Un objet | Voir tous les enregistrements de cet objet |
| Modify All (objet) | Un objet | Contrôle total de tous les enregistrements de cet objet |
| View All Data | Organisation entière | Voir (presque) tous les enregistrements, tous objets confondus |
| Modify All Data | Organisation entière | Contrôle total de (presque) tous les enregistrements, tous objets confondus |
Les versions au niveau objet sont délimitées et parfois légitimes. Les versions à l”échelle de l”organisation, View All Data / Modify All Data, sont l”artillerie lourde : puissantes, et celles à surveiller de plus près.
D”où elles viennent
- Profil System Administrator : livré par défaut avec View All Data et Modify All Data.
- Profils et ensembles d”autorisations personnalisés : fréquemment accordés pour régler un cas ponctuel (« laissons juste le support voir toutes les requêtes »), puis oubliés.
Comme les permissions d”un utilisateur sont l”union de son profil et de chaque ensemble d”autorisations assigné, elles peuvent se cacher dans n”importe lequel de plusieurs ensembles d”autorisations, ce qui les rend faciles à perdre de vue. Elles sont étroitement liées aux profils et ensembles d”autorisations.
Pourquoi ce sont les premières choses à vérifier quand un accès semble anormal
Lorsqu”un utilisateur peut voir un enregistrement qu”il ne devrait pas voir, le bouton Partage peut n”afficher rien — parce que l”accès ne provient pas du partage du tout. View All / Modify All accordent l”accès sans apparaître comme un partage. Alors avant de fouiller dans les règles de partage, écartez d”abord cette piste.
Pourquoi elles comptent doublement pour les agents IA
Un agent IA hérite des permissions de son utilisateur d”exécution. Si cette identité porte View All Data, l”agent peut lire chaque enregistrement de l”organisation sur demande, contournant chaque règle de partage que vous avez configurée. Confirmer que l”identité de l”agent est dépourvue de ces permissions est une étape essentielle de l”audit des accès avant déploiement.
Les garder sous contrôle
- Inventoriez chaque profil et chaque ensemble d”autorisations à la recherche de View All/Modify All au niveau objet et de View All Data/Modify All Data à l”échelle de l”organisation.
- Listez les utilisateurs qui détiennent chacune, directement ou via des ensembles d”autorisations.
- Appliquez le moindre privilège : remplacez les View All généralisés par des règles de partage délimitées partout où l”accès n”a pas réellement besoin d”être à l”échelle de l”organisation.
- Revérifiez après chaque changement : un nouvel ensemble d”autorisations peut réintroduire un contournement en silence.
Faire ressortir le contournement automatiquement
Le plus difficile, c”est que ces permissions n”apparaissent pas là où vous cherchez le partage : ce sont un interrupteur distinct, logé dans l”un de nombreux ensembles d”autorisations, qui passe silencieusement outre tout le reste. AgentForceAccess les prend en compte automatiquement : lorsqu”il explique pourquoi un utilisateur (ou l”utilisateur d”un agent) peut voir un enregistrement, « il possède View All Data — le partage ne s”applique pas » est mis en évidence aussi clairement que n”importe quelle règle de partage, pour que le contournement cesse d”être ce qui vous échappe.
Questions fréquentes
Que font exactement View All et Modify All ?
Elles accordent l'accès à chaque enregistrement d'un objet en ignorant le modèle de partage. View All signifie voir chaque enregistrement ; Modify All signifie voir, modifier, supprimer et transférer chaque enregistrement. Les versions au niveau objet s'appliquent à un seul objet ; les versions à l'échelle de l'organisation « View All Data » et « Modify All Data » s'appliquent à (presque) tous les objets en une fois.
Qui possède ces permissions par défaut ?
Le profil System Administrator inclut View All Data et Modify All Data. Au-delà, elles apparaissent sur des profils et ensembles d'autorisations personnalisés, souvent ajoutées pour résoudre un besoin d'accès ponctuel puis jamais retirées. Auditez chaque profil et chaque ensemble d'autorisations, pas seulement les administrateurs.
Pourquoi sont-elles dangereuses pour les agents IA ?
Un agent hérite des permissions de son utilisateur d'exécution. Si cet utilisateur possède View All Data, l'agent peut lire chaque enregistrement de l'organisation sur demande, contournant tout le partage que vous avez soigneusement configuré. Avant de déployer un agent, confirmez que son identité ne porte pas ces permissions.
Comment trouver qui possède View All / Modify All ?
Vérifiez chaque profil et ensemble d'autorisations pour View All/Modify All au niveau objet et View All Data/Modify All Data à l'échelle de l'organisation, puis listez les utilisateurs qui leur sont assignés. C'est fastidieux à la main, car la permission peut provenir de n'importe lequel des nombreux ensembles d'autorisations détenus par un utilisateur.
Voyez-le sur votre propre org
AgentForceAccess explique, en langage clair, pourquoi n'importe quel utilisateur peut voir n'importe quel enregistrement ou fichier — à travers chaque mécanisme de partage Salesforce.
Demander un accès anticipé