Réservations T3 2026 · 2 créneaux retainer ouverts · Direct ou via intégrateur Paris ·Séoul
Sébastien Tang TRANSFORMATION & DELIVERY CRM
N° 046 Agentforce & IA 7 min read · 16 juin 2026

Security Mesh Summer '26 : enjeux pour les ETI

Comment la Security Mesh de Salesforce Summer '26 transforme la gouvernance des données sensibles dans les ETI françaises. Analyse architecturale pour DSI.

défiler pour lire ↓
Security Mesh Summer '26 : enjeux pour les ETI: hero image
Security Mesh
EN BREF

À lire si

vous êtes DSI ou architecte solution dans une ETI française et vous devez décider comment activer la Security Mesh Summer 26 sans casser vos contrôles d'accès et vos agents Agentforce existants.

01
Une couche additive, pas un remplacement
Les politiques Security Mesh s'ajoutent aux profils et permission sets. Un utilisateur doit satisfaire les deux couches, ce qui crée des blocages si la logique additive est ignorée.
02
Aligner les politiques sur le registre RGPD
Définir 8 à 15 politiques par catégorie de données transforme la conformité documentaire en contrôle technique effectif, après une cartographie de 40 à 80 champs sensibles.
03
Auditer Agentforce avant toute activation
Les agents existants subissent désormais les politiques Security Mesh et peuvent échouer silencieusement. L'Agentforce Testing Center doit valider chaque agent avant déploiement.

La Security Mesh de Salesforce Summer ‘26 n’est pas une mise à jour de sécurité parmi d’autres. C’est un changement de paradigme dans la façon dont les contrôles d’accès aux données sont architecturés au sein de la plateforme. Pour les ETI françaises, qui jonglent entre conformité RGPD, dépendance aux ESN et DSI sous-staffées, les implications sont concrètes et immédiates.

Le problème n’est pas technique en premier lieu. C’est un problème de gouvernance qui devient technique.

Ce que la Security Mesh change réellement dans l’architecture Salesforce

Avant Summer ‘26, la sécurité dans Salesforce reposait sur un modèle périmétrique : profils, ensembles d’autorisations, règles de partage. Chaque couche était configurée indépendamment, souvent par des équipes différentes, avec une visibilité transversale quasi nulle. Le résultat dans les orgs matures : des matrices d’autorisations impossibles à auditer, des règles de partage en cascade dont personne ne comprend plus l’origine, et des données sensibles accessibles à des utilisateurs qui n’auraient jamais dû y avoir accès.

La Security Mesh introduit une couche d’orchestration de politique centralisée. Concrètement, les politiques de sécurité deviennent des objets de premier ordre dans la plateforme, avec leur propre cycle de vie, leur versioning et leur traçabilité. Au lieu de reconstruire mentalement qui peut voir quoi en croisant profils, permission sets et sharing rules, un architecte solution peut désormais définir des politiques déclaratives qui s’appliquent de façon cohérente à travers les objets, les clouds et les agents Agentforce.

Ce n’est pas anodin. Dans les orgs avec plus de 200 profils actifs et 15 business units, la dette de sécurité accumulée représente un risque réel. La Security Mesh ne l’efface pas automatiquement, mais elle fournit enfin un mécanisme pour la résorber de façon contrôlée.

Pourquoi les ETI françaises sont particulièrement exposées

Les grandes entreprises françaises ont généralement des équipes sécurité dédiées, des RSSI avec des budgets, des processus d’audit formalisés. Les ETI, elles, fonctionnent souvent avec un DSI qui porte simultanément la casquette de responsable de la conformité, de l’architecture et des relations avec les ESN. La gouvernance Salesforce est déléguée de fait à l’intégrateur, ce qui crée une dépendance structurelle documentée dans de nombreuses organisations de cette taille.

Le RGPD a imposé des obligations de traçabilité et de minimisation des données que la plupart des ETI ont adressées au niveau juridique, sans les traduire en contrôles techniques dans leur org Salesforce. Résultat : des registres de traitement qui décrivent une réalité théorique, et une org où les données personnelles de clients, prospects et partenaires sont accessibles bien au-delà du cercle des utilisateurs légitimes.

La Security Mesh change l’équation parce qu’elle permet d’aligner les politiques de sécurité sur les catégories de données RGPD directement dans la plateforme. Un champ contenant des données de santé, des informations financières ou des données comportementales peut se voir attribuer une politique de sécurité qui s’applique indépendamment du profil de l’utilisateur. C’est une approche data-centric plutôt que role-centric, et c’est exactement ce que le RGPD demande conceptuellement.

Pour aller plus loin sur les risques de conformité liés aux données dans Salesforce, l’article sur les risques RGPD de Momentum pour les DSI illustre comment des décisions d’architecture peuvent créer des expositions réglementaires non anticipées.

L’architecture de déploiement qui fonctionne pour une ETI

Déployer la Security Mesh sans préparation dans une org existante est une erreur que beaucoup vont commettre. La tentation est de migrer toutes les règles de partage existantes vers des politiques Security Mesh en une seule passe. C’est la mauvaise approche.

L’architecture qui fonctionne dans ce contexte suit trois phases distinctes.

Phase 1 : cartographie des données sensibles. Avant de toucher à la configuration, il faut identifier les objets et champs qui contiennent des données à risque réglementaire. Dans une org Salesforce typique d’ETI, cela représente entre 40 et 80 champs répartis sur 10 à 20 objets. Data Cloud peut accélérer cette cartographie si l’org l’utilise, via les Data Model Objects et les métadonnées de classification. Sans Data Cloud, c’est un travail manuel qui prend entre 3 et 5 jours pour une org de taille moyenne.

Phase 2 : définition des politiques par catégorie de données. La Security Mesh permet de définir des politiques à grain fin. L’erreur classique est de créer une politique par profil utilisateur, ce qui reproduit exactement le problème qu’on cherche à résoudre. La bonne approche est de créer des politiques par catégorie de données : données d’identification directe, données financières, données comportementales, données contractuelles. Chaque politique définit les conditions d’accès, les restrictions de modification et les règles d’audit. Le nombre de politiques reste ainsi gérable : entre 8 et 15 pour une ETI avec une org bien structurée.

Phase 3 : déploiement progressif avec validation. La Security Mesh s’active par objet, pas globalement. Cela permet un déploiement progressif avec validation à chaque étape. Le pattern recommandé est de commencer par les objets les plus sensibles avec le moins d’utilisateurs légitimes, valider le comportement en sandbox pendant deux semaines minimum, puis étendre progressivement. Un déploiement complet sur une org ETI prend entre 6 et 10 semaines en suivant ce rythme.

Les écueils que la plupart des équipes vont rencontrer

Le premier écueil est la confusion entre Security Mesh et les contrôles existants. Les profils et permission sets ne disparaissent pas avec Summer ‘26. La Security Mesh s’ajoute comme une couche supplémentaire, ce qui signifie qu’un utilisateur doit satisfaire à la fois les contrôles traditionnels et les politiques Security Mesh pour accéder à une donnée. Les équipes qui ne comprennent pas cette logique additive vont créer des blocages inattendus en production.

Le deuxième écueil concerne Agentforce. Les agents configurés avant Summer ‘26 fonctionnent avec les autorisations de l’utilisateur qui les invoque. Avec la Security Mesh, les politiques s’appliquent également aux actions exécutées par les agents. Un agent de service client qui accédait jusqu’ici aux données de contrat d’un client peut se retrouver bloqué si une politique Security Mesh restreint l’accès à ces données aux seuls utilisateurs du département juridique. L’audit des Topics et Actions Agentforce existants est non négociable avant le déploiement.

Le troisième écueil est organisationnel. La Security Mesh nécessite une décision sur qui possède les politiques de sécurité. Dans une ETI, cette question n’a souvent pas de réponse claire. Le DSI ? L’équipe Salesforce ? Le DPO ? En pratique, la gouvernance des politiques Security Mesh doit être portée conjointement par le DSI et le DPO, avec l’équipe technique en position d’exécution. Les organisations qui laissent cette décision à l’intégrateur créent une dépendance supplémentaire qu’elles regretteront lors du prochain renouvellement de contrat.

Pour les ETI qui gèrent déjà une dette technique significative dans leur org, l’article sur le framework d’évaluation de la dette technique Salesforce fournit une méthode pour prioriser les chantiers avant d’ajouter une nouvelle couche de complexité.

Ce que les DSI doivent décider maintenant

Summer ‘26 est disponible. La Security Mesh est activable dès aujourd’hui. La question n’est pas si les ETI françaises doivent l’adopter, mais dans quel ordre et avec quelle gouvernance.

Trois décisions structurantes doivent être prises avant tout déploiement.

La première : qui réalise la cartographie des données sensibles ? Si c’est l’ESN en place, le DSI doit s’assurer que la méthodologie est documentée et que les livrables restent propriété de l’entreprise. Une cartographie réalisée dans les outils de l’intégrateur sans transfert de connaissance est une cartographie inutilisable lors du prochain changement de prestataire.

La deuxième : comment les politiques Security Mesh s’articulent-elles avec le registre RGPD existant ? L’opportunité est réelle de synchroniser les deux référentiels. Une politique Security Mesh qui ne correspond à aucune entrée dans le registre de traitement est soit superflue, soit le signe que le registre est incomplet. Cette synchronisation est un travail de fond qui prend du temps mais qui transforme la conformité RGPD d’une obligation documentaire en un contrôle technique effectif.

La troisième : quel est le plan de test pour les agents Agentforce existants ? Si l’org utilise Agentforce, l’Agentforce Testing Center doit être mobilisé pour valider le comportement de chaque agent après activation des politiques Security Mesh. Ce n’est pas optionnel. Un agent qui échoue silencieusement à récupérer des données à cause d’une politique mal configurée produit des réponses incorrectes sans erreur visible pour l’utilisateur final.

Les architectes solution qui accompagnent des ETI dans cette transition ont intérêt à consulter les ressources sur l’architecture Agentforce pour comprendre comment la Security Mesh s’intègre dans une architecture agent complète.

Points Clés

  • La Security Mesh de Summer ‘26 introduit des politiques de sécurité déclaratives centralisées, distinctes des profils et permission sets existants. Les deux couches coexistent et s’appliquent de façon additive.
  • Pour les ETI françaises, l’alignement entre politiques Security Mesh et registre de traitement RGPD est l’opportunité de transformer une conformité documentaire en contrôle technique effectif.
  • Le déploiement progressif par objet est la seule approche viable : commencer par les données les plus sensibles avec le moins d’utilisateurs légitimes, valider en sandbox pendant deux semaines minimum avant chaque extension.
  • Les agents Agentforce existants doivent être audités et testés via l’Agentforce Testing Center avant activation des politiques Security Mesh. Les blocages silencieux sont le risque principal.
  • La gouvernance des politiques Security Mesh doit être portée conjointement par le DSI et le DPO, pas déléguée à l’ESN. C’est une décision organisationnelle, pas technique.
Vous voulez ça pour votre org ?

Un audit Agentforce Readiness de 2 à 3 semaines qui vous dit quels agents survivent en production.

Cartographie des accès données, audit du modèle de sécurité face aux patrons de l’ère IA, scorecard de production-readiness avec remédiation priorisée. Un rapport écrit que votre CTO peut emmener au board, pas une présentation.

Durée 2–3 semaines · À partir de 18 000 € · Réponse < 24 h · NDA par défaut
Notes d’architecture · mensuel

Un article par mois. Sans remplissage.

Les notes que j’envoie aux CTO et partenaires SI. Patrons d’architecture, post-mortems, et l’avis occasionnel qui ne tiendra pas dans une proposition.

~1 200 lecteurs · RGPD par défaut · désabonnement en un clic
Sébastien Tang

Sébastien Tang

Responsable Transformation & Delivery CRM — Salesforce, indépendant. 14 ans à piloter des programmes Salesforce d'entreprise de bout en bout : delivery, redressement de programme, gouvernance multi-cloud, et readiness Agentforce et Data 360. EN · FR.

Disponibilité T3 2026 · 2 places de retainer ouvertes · Paris · Séoul
Réserver un appel