Suivez votre progression
Accueil Trailhead
Accueil Trailhead

Protection de votre site Web et de vos pages de destination

Objectifs de formation

Une fois cette unité terminée, vous pourrez :

  • Utiliser le cryptage SSL dans le cadre des interactions de page
  • Créer des méthodes de sécurité destinées aux formulaires afin d’empêcher les soumissions malveillantes

Protection de vos pages

Nous avons parlé des fonctionnalités de sécurité et des clés de cryptage intégrées à Marketing Cloud précédemment dans ce module. En tant que développeur soucieux de la sécurité, vous êtes probablement impatient de protéger votre site Web et vos pages de destination dans Marketing Cloud. Après tout, quel est l’intérêt de toute cette sécurité si vous laissez n’importe qui (ou n’importe quel robot) y accéder ? Voici comment protéger vos pages.

Utilisation des certificats SSL

Marketing Cloud gère bien plus que des messages : les pages Web permettent aux abonnés de soumettre des informations, de s’abonner à des communications ou de consulter des messages en dehors de leur client de messagerie. Pour garantir une expérience sécurisée, nous vous recommandons d’utiliser des certificats SSL pour protéger les communications Web. Ces certificats peuvent sécuriser :

  • Les URL CloudPage
  • Les pages de destination dans votre compte
  • Les liens inclus dans les e-mails d’Email Studio
  • Le contenu du portefeuille

De plus, les certificats SSL ajoutent une couche de cryptage au trafic Web et empêchent les parties externes d’intercepter des informations confidentielles. Ouf ! Quel soulagement.

Vous avez besoin d’un certificat ? Eh bien, vous pouvez acheter vos propres certificats ou autoriser Marketing Cloud à gérer ces achats à votre place. Si vos certificats sont achetés via Marketing Cloud, vous pouvez les utiliser pour sécuriser à la fois les pages et le contenu. De plus, Marketing Cloud gère et renouvelle les certificats sans frais supplémentaires. Si vous achetez vos propres certificats, vous ne pourrez les utiliser que pour sécuriser des pages (pas des images).

Remarque

Remarque

Nous vous recommandons d’utiliser des certificats valables un an ou moins. Pourquoi ? Vous l’avez deviné : ils sont plus sécurisés. 

Gestion des soumissions de formulaire

Il est important de garder la confiance et la sécurité à l’esprit lorsque vous utilisez CloudPages ou des intégrations d’API pour capturer des informations sur les abonnés. Nous allons vous aider. Lisez les conseils suivants : ils vous aideront à protéger vos données de formulaire (et rappelez-vous que bien qu’il ne s’agisse pas des seuls facteurs de sécurité à prendre en compte, ils constituent un bon point de départ dans Marketing Cloud).

  • Si vous incluez des chaînes de requête à vos pages, ne transmettez pas les valeurs SubscriberID, SubscriberKey ou ContactKey en clair. En outre, pour transmettre les valeurs des champs, utilisez le cryptage au lieu d’un codage Base64 ou StringtoHex. Contrairement au cryptage, le codage peut en effet être facilement décodé.
  • Tous les traitements et validations des champs doivent avoir lieu côté serveur. Nous vous recommandons également d’utiliser au minimum deux paramètres de chaîne de requête pour vérifier qu’un seul et même abonné interagit avec la page avant d’afficher des données.
  • Toutes les pages d’application que vous créez doivent nécessiter une authentification. Nous vous recommandons d’utiliser la fonction AMPscript MicrositeURL pour crypter les paramètres de chaîne de requête.
  • Toute page de destination publique non authentifiée ou hors application doit inclure une clause IF/THEN globale qui contrôle l’absence de paramètres obligatoires. Cette étape empêche le traitement des données lorsque quelqu’un essaie d’accéder à la page directement plutôt que par le biais de votre flux attribué.
  • Activez les en-têtes de sécurité sur vos pages à l’aide de cet exemple JavaScript côté serveur.

Exemple : activation des en-têtes de sécurité pour une page Web

<script runat=server>
   Platform.Response.SetResponseHeader("Strict-Transport-Security","max-age=200");
   Platform.Response.SetResponseHeader("X-XSS-Protection","1; mode=block");
   Platform.Response.SetResponseHeader("X-Frame-Options","Deny");
   Platform.Response.SetResponseHeader("X-Content-Type-Options","nosniff");
   Platform.Response.SetResponseHeader("Referrer-Policy","strict-origin-when-cross-origin");
   Platform.Response.SetResponseHeader("Content-Security-Policy","default-src 'self'");
</script>

Cet exemple permet d’éviter les problèmes de formulaire Web courants, tels que les scripts inter-sites ou les injections SQL.

Prêt à aller plus loin ? L’unité suivante aborde nos principales recommandations et bonnes pratiques en matière de sécurité des données.

Ressources