Suivez votre progression
Accueil Trailhead
Accueil Trailhead

Protection de vos données

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Protéger vos données
  • Gérer les jetons et les informations d’identification OAuth
  • Créer des intégrations d’API sécurisées

Protection face aux risques de sécurité courants

Quelle que soit la manière dont vous choisissez d’intégrer vos applications ou vos systèmes externes à Marketing Cloud, vous devez suivre certaines directives pour protéger vos données. Les bonnes pratiques que nous présentons dans cette unité vous aideront à éviter les risques de sécurité courants tels que les scripts inter-sites, l’exposition de données confidentielles, les injections HTML, etc. Examinons de plus près ces menaces potentielles.

Falsification de requête inter-site

Cette pratique incite un utilisateur authentifié à effectuer une action indésirable sur un serveur vulnérable.

Injection HTML

Cette attaque place du code HTML sur un site Web vulnérable, tel qu’un iframe qui affiche une page différente de celle prévue.

Script inter-site

Un pirate utilise JavaScript sur un domaine vulnérable et oblige un utilisateur à cliquer sur un lien malveillant. Le navigateur exécute alors le JavaScript, ce qui entraîne des problèmes.

Redirections arbitraires

Dans ce type d’attaque, l’utilisateur clique sur ce qui semble être une URL de serveur classique, mais le lien l’envoie en réalité vers un site malveillant.

Exécution de code à distance

Cette attaque détecte des vulnérabilités sur les serveurs cibles et exécute des données d’entrée.

N’ayez crainte : bien que ces menaces de sécurité soient assez effrayantes, des solutions existent pour protéger vos données. Découvrons donc quelques bonnes pratiques en matière de sécurité des données. 

Bonnes pratiques en matière de sécurité des données

Limiter les autorisations

Chaque fois que vous créez des jetons d’accès OAuth, assurez-vous qu’ils ne sont valides que pour les tâches nécessaires. Après tout, si votre voisin avait besoin de quelque chose dans votre abri de jardin, lui donneriez-vous aussi les clés de votre maison ? En d’autres termes, attribuez uniquement les autorisations nécessaires aux jetons et au package installé.

Sécuriser vos jetons

Lorsque vous stockez vos valeurs de jeton, ne conservez que le jeton d’actualisation sur votre serveur externe. Demandez un nouveau jeton d’accès lorsque vous en avez besoin et ne stockez que cette valeur dans la mémoire. Ces jetons doivent bénéficier de la même sécurité et priorité que les informations d’identification de compte Salesforce.

Utiliser un protocole TLS récent

Assurez-vous que vos serveurs Web externes utilisent une configuration TLS récente et appliquez le protocole TLS dans vos requêtes aux API Marketing Cloud. Votre jeton d’accès ne doit apparaître que dans l’en-tête d’autorisation.

Vérifier les messages d’erreur

Bien entendu, vos messages d’erreur se doivent d’être un peu plus descriptifs que ERREUR : #12345. Toutefois, n’y donnez pas non plus trop de renseignements. Assurez-vous de ne pas inclure de traces de la pile et de journaux de débogage dans votre message d’erreur : ainsi, les pirates ne pourront pas utiliser ces informations contre vous.

Créer des sessions sécurisées

Assurez-vous que vos sessions utilisent des procédures sécurisées pour créer, gérer et finaliser le travail des utilisateurs autorisés. Renouvelez régulièrement les ID de session pour faire en sorte que les pirates ne puissent pas récupérer et conserver ces valeurs d’accès. Assurez-vous que votre intégration vérifie également la session utilisateur et les niveaux d’autorisation avant d’accorder l’accès à des données ou fonctions restreintes. Fournissez uniquement à vos collaborateurs les informations dont ils ont besoin. Enfin, utilisez autant que possible des points de terminaison propres au locataire pour garantir que vos requêtes emploient les connexions les plus sécurisées possibles.

Stocker correctement les informations confidentielles

Stockez toutes les informations confidentielles sur votre propre système en appliquant les bonnes pratiques de stockage sécurisé de votre plate-forme. Vous vous demandez pourquoi vous devez stocker de manière sécurisée dans votre propre système les informations confidentielles telles que les mots de passe, les numéros de carte de crédit et les numéros de sécurité sociale ? La réponse est simple : parce que ces informations ne doivent jamais être stockées sur des serveurs Marketing Cloud !

Appliquer des correctifs aux logiciels et matériels importants

Évitez les problèmes liés à l’exécution de code à distance en corrigeant les vulnérabilités des services utilisant les ports du serveur Web, en mettant à jour les packages logiciels et en exécutant les données utilisateur désérialisées avec précaution.

Vous vous sentez mieux protégé ? La sécurité est une préoccupation constante et nous vous recommandons de réévaluer régulièrement vos besoins en la matière. Ces informations vous donnent toutefois des bases solides pour vos initiatives. Vous avez bien travaillé !

Ressources