Learning Objectives / Objectifs de formation
After completing this unit, you’ll be able to : / Une fois cette unité terminée, vous pourrez :
- Secure your data. / Protéger vos données
- Manage OAuth tokens and credentials. / Gérer les jetons et les informations d’identification OAuth
- Create secure API integrations. / Créer des intégrations d’API sécurisées
Avoid Common Security Risks / Protection face aux risques de sécurité courants
No matter how you choose to integrate your apps or external systems with Marketing Cloud, there are some guidelines you should follow to keep your data safe. / Quelle que soit la manière dont vous choisissez d’intégrer vos applications ou vos systèmes externes à Marketing Cloud, vous devez suivre certaines directives pour protéger vos données.
The best practices we cover in this unit help you avoid common security risks like cross-site scripting, sensitive data exposure, HTML injection, and others. / Les bonnes pratiques que nous présentons dans cette unité vous aideront à éviter les risques de sécurité courants tels que les scripts inter-sites, l’exposition de données confidentielles, les injections HTML, etc.
Let’s take a closer look at these potential threats. /Examinons de plus près ces menaces potentielles.
Cross-Site Request Forgery / Falsification de requête inter-site
This practice tricks an authenticated user into performing an unwanted action on a vulnerable server. /Cette pratique incite un utilisateur authentifié à effectuer une action indésirable sur un serveur vulnérable.
HTML Injection / Injection HTML
This attack puts HTML on a vulnerable website, such as an iframe that displays a different page than intended. / Cette attaque place du code HTML sur un site Web vulnérable, tel qu’un iframe qui affiche une page différente de celle prévue.
Cross-Site Scripting / Script inter-site
An attacker uses Javascript on a vulnerable domain and gets a user to click on a malicious link. The browser executes the Javascript and, well, bad things happen. / Un pirate utilise JavaScript sur un domaine vulnérable et oblige un utilisateur à cliquer sur un lien malveillant. Le navigateur exécute alors le JavaScript, ce qui entraîne des problèmes.
Arbitrary Redirects / Redirections arbitraires
This attack involves a user clicking on what appears to be a typical server URL, but the link sends them to a malicious site. / Dans ce type d’attaque, l’utilisateur clique sur ce qui semble être une URL de serveur classique, mais le lien l’envoie en réalité vers un site malveillant.
Remote Code Exécution / Exécution de code à distance
This attack finds vulnerabilities in target servers and executes input data. / Cette attaque détecte des vulnérabilités sur les serveurs cibles et exécute des données d’entrée.
Good news: even though these are some pretty scary security threats, there are things you can do to protect your data. Let’s review some data security best practices. / N’ayez crainte : bien que ces menaces de sécurité soient assez effrayantes, des solutions existent pour protéger vos données. Découvrons donc quelques bonnes pratiques en matière de sécurité des données.
Data Security Best Practices / Bonnes pratiques en matière de sécurité des données
Limit Permissions /Limiter les autorisations
Whenever you create OAuth access tokens, make sure they are valid only for the necessary tasks. / Chaque fois que vous créez des jetons d’accès OAuth, assurez-vous qu’ils ne sont valides que pour les tâches nécessaires.
After all, if your neighbor needed something out of your garage, would you give them keys to the entire house? / Après tout, si votre voisin avait besoin de quelque chose dans votre abri de jardin, lui donneriez-vous aussi les clés de votre maison ?
In other words, assign only the necessary permissions to the tokens and the installed package. / En d’autres termes, attribuez uniquement les autorisations nécessaires aux jetons et au package installé.
Secure Your Tokens / Sécuriser vos jetons
When you store your token values, keep only the refresh token on your external server. / Lorsque vous stockez vos valeurs de jeton, ne conservez que le jeton d’actualisation sur votre serveur externe.
Request a new access token when you need one, and only store that value in memory. / Demandez un nouveau jeton d’accès lorsque vous en avez besoin et ne stockez que cette valeur dans la mémoire.
These tokens need to receive the same security and priority as Salesforce account credentials. / Ces jetons doivent bénéficier de la même sécurité et priorité que les informations d’identification de compte Salesforce.
Use Up-to-Date TLS / Utiliser un protocole TLS récent
Make sure your external web servers use an up-to-date TLS configuration, and enforce TLS in your requests to Marketing Cloud APIs. / Assurez-vous que vos serveurs Web externes utilisent une configuration TLS récente et appliquez le protocole TLS dans vos requêtes aux API Marketing Cloud.
Your access token should only appear in the authorization header. / Votre jeton d’accès ne doit apparaître que dans l’en-tête d’autorisation.
Review Error Messages / Vérifier les messages d’erreur
Of course, your error messages should be a little more descriptive than ERROR: #12345. / Bien entendu, vos messages d’erreur se doivent d’être un peu plus descriptifs que ERREUR : #12345.
But don’t give away everything in the error message either. / Toutefois, n’y donnez pas non plus trop de renseignements. Make sure that you don’t include stack traces and debug logs in your error message to prevent attackers from using that information against you. / Assurez-vous de ne pas inclure de traces de la pile et de journaux de débogage dans votre message d’erreur : ainsi, les pirates ne pourront pas utiliser ces informations contre vous.
Create Secure Sessions / Créer des sessions sécurisées
Make sure your sessions use secure procedures to create, manage, and end work for authorized users. / Assurez-vous que vos sessions utilisent des procédures sécurisées pour créer, gérer et finaliser le travail des utilisateurs autorisés.
Rotate session IDs to make sure attackers can’t keep and maintain those values for access. Renouvelez régulièrement les ID de session pour faire en sorte que les pirates ne puissent pas récupérer et conserver ces valeurs d’accès.
Make sure your integration also verifies user session and permission levels before granting access to restricted data or functions. / Assurez-vous que votre intégration vérifie également la session utilisateur et les niveaux d’autorisation avant d’accorder l’accès à des données ou fonctions restreintes.
Keep your functions on a need-to-know basis. And use tenant-specific endpoints whenever available to ensure your requests use the most secure connections possible. / Fournissez uniquement à vos collaborateurs les informations dont ils ont besoin. Enfin, utilisez autant que possible des points de terminaison propres au locataire pour garantir que vos requêtes emploient les connexions les plus sécurisées possibles.
Store Sensitive Info Properly / Créer des sessions sécurisées
Store all sensitive information on your own system using your platform’s secure storage best practices. Why store sensitive information—such as passwords, credit card numbers, and Social Security numbers—securely on your own system? / Stockez toutes les informations confidentielles sur votre propre système en appliquant les bonnes pratiques de stockage sécurisé de votre plate-forme. Vous vous demandez pourquoi vous devez stocker de manière sécurisée dans votre propre système les informations confidentielles telles que les mots de passe, les numéros de carte de crédit et les numéros de sécurité sociale ?
Because that information should never be stored on Marketing Cloud servers! / La réponse est simple : parce que ces informations ne doivent jamais être stockées sur des serveurs Marketing Cloud !
Patch All Important Software and Hardware/ Appliquer des correctifs aux logiciels et matériels importants
Avoid remote code execution problems by patching vulnerabilities on services listening on web server ports, updating software packages, and executing deserialized user data cautiously. / Évitez les problèmes liés à l’exécution de code à distance en corrigeant les vulnérabilités des services utilisant les ports du serveur Web, en mettant à jour les packages logiciels et en exécutant les données utilisateur désérialisées avec précaution.
Feeling more secure now? Security is an ongoing concern, and you should regularly reevaluate your security needs. This information gives you a strong foundation for your efforts, though. Nice work! / Vous vous sentez mieux protégé ? La sécurité est une préoccupation constante et nous vous recommandons de réévaluer régulièrement vos besoins en la matière. Ces informations vous donnent toutefois des bases solides pour vos initiatives. Vous avez bien travaillé !
Resources / Ressources
