Learning Objectives / Objectifs de formation
After completing this unit, you’ll be able to: / Une fois cette unité terminée, vous pourrez :
- Use SSL encryption for page interactions. / Utiliser le cryptage SSL dans le cadre des interactions de page
- Create form security methods to prevent malicious submissions. / Créer des méthodes de sécurité destinées aux formulaires afin d’empêcher les soumissions malveillantes
Protect Your Pages / Protection de vos pages
We talked about the security features and encryption keys built into Marketing Cloud earlier in this module. / Nous avons parlé des fonctionnalités de sécurité et des clés de cryptage intégrées à Marketing Cloud précédemment dans ce module.
And as a security-conscious developer, you’re probably eager to secure your web and landing pages in Marketing Cloud, too. / En tant que développeur soucieux de la sécurité, vous êtes probablement impatient de protéger votre site Web et vos pages de destination dans Marketing Cloud.
After all, what’s the point of all this security if you let anybody (or any bot) in the door? Here’s how to lock down your pages. / Après tout, quel est l’intérêt de toute cette sécurité si vous laissez n’importe qui (ou n’importe quel robot) y accéder ? Voici comment protéger vos pages.
Use SSL Certificates / Utilisation des certificats SSL
Marketing Cloud handles more than just messages—web pages allow subscribers to submit information, subscribe to communications, or view messages outside of their email client. / Marketing Cloud gère bien plus que des messages : les pages Web permettent aux abonnés de soumettre des informations, de s’abonner à des communications ou de consulter des messages en dehors de leur client de messagerie.
To ensure the safest experience, we recommend using SSL certificates to secure web-based communications. / Pour garantir une expérience sécurisée, nous vous recommandons d’utiliser des certificats SSL pour protéger les communications Web.
These certificates can secure: / Ces certificats peuvent sécuriser :
- CloudPage URLs / Les URL CloudPage
- Landing pages in your account / Les pages de destination dans votre compte
- Links included in email messages from Email Studio / Les liens inclus dans les e-mails d’Email Studio
- Portfolio content / Le contenu du portefeuille
Plus, SSL certificates add an encryption layer to web traffic and help prevent external parties from intercepting sensitive information. Whew! That’s a relief. / De plus, les certificats SSL ajoutent une couche de cryptage au trafic Web et empêchent les parties externes d’intercepter des informations confidentielles. Ouf ! Quel soulagement.
Need a certificate? Well, you can purchase your own certificates or you can allow Marketing Cloud to manage those purchases for you. / Vous avez besoin d’un certificat ? Eh bien, vous pouvez acheter vos propres certificats ou autoriser Marketing Cloud à gérer ces achats à votre place.
If your certificates are purchased through Marketing Cloud, you can use them to secure both pages and content. / Si vos certificats sont achetés via Marketing Cloud, vous pouvez les utiliser pour sécuriser à la fois les pages et le contenu.
Plus, Marketing Cloud manages and renews the certificates with no additional cost. If you purchase your own certificates, you can only use your certificates to secure pages (not images). / De plus, Marketing Cloud gère et renouvelle les certificats sans frais supplémentaires. Si vous achetez vos propres certificats, vous ne pourrez les utiliser que pour sécuriser des pages (pas des images).
Note / Remarque
We recommend using certificates that are valid for a year or less. Why? You guessed it: They’re more secure. / Nous vous recommandons d’utiliser des certificats valables un an ou moins. Pourquoi ? Vous l’avez deviné : ils sont plus sécurisés.
Manage Form Submissions / Gestion des soumissions de formulaire
When you use CloudPages or API integrations to capture subscriber information, it’s important that you handle it with trust and security in mind. / Il est important de garder la confiance et la sécurité à l’esprit lorsque vous utilisez CloudPages ou des intégrations d’API pour capturer des informations sur les abonnés. We’re here to help. / Nous allons vous aider.
Check out these tips to help you secure your form data. (And remember, these aren’t the only security factors you should consider, but they’re a good place to start in Marketing Cloud.) / Lisez les conseils suivants : ils vous aideront à protéger vos données de formulaire (et rappelez-vous que bien qu’il ne s’agisse pas des seuls facteurs de sécurité à prendre en compte, ils constituent un bon point de départ dans Marketing Cloud).
- If you include query strings in your pages, don’t pass SubscriberID, SubscriberKey, or ContactKey values in the clear. / Si vous incluez des chaînes de requête à vos pages, ne transmettez pas les valeurs SubscriberID, SubscriberKey ou ContactKey en clair. Also, use encryption and not Base64 or StringtoHex encoding to pass values from fields. Encoding can be easily decoded, as opposed to attempting decryption. / En outre, pour transmettre les valeurs des champs, utilisez le cryptage au lieu d’un codage Base64 ou StringtoHex. Contrairement au cryptage, le codage peut en effet être facilement décodé.
- Any processing and validation of fields should occur on the server side. / Tous les traitements et validations des champs doivent avoir lieu côté serveur. We also recommend using two or more query string parameters to verify that the same subscriber is interacting with the page before presenting any data. /Nous vous recommandons également d’utiliser au minimum deux paramètres de chaîne de requête pour vérifier qu’un seul et même abonné interagit avec la page avant d’afficher des données.
- Any application pages you create should require authentication. We recommend using the AMPscript MicrositeURL function to encrypt query string parameters. / Toutes les pages d’application que vous créez doivent nécessiter une authentification. Nous vous recommandons d’utiliser la fonction AMPscript MicrositeURL pour crypter les paramètres de chaîne de requête.
- Any non-authenticated or non-application public landing pages should include a global IF/THEN clause that checks for empty required parameters. / Toute page de destination publique non authentifiée ou hors application doit inclure une clause IF/THEN globale qui contrôle l’absence de paramètres obligatoires.This step prevents any processing when somebody tries to access the page directly, instead of through your assigned flow. / Cette étape empêche le traitement des données lorsque quelqu’un essaie d’accéder à la page directement plutôt que par le biais de votre flux attribué.
- Enable security headers in your pages using this Server-Side JavaScript sample. / Activez les en-têtes de sécurité sur vos pages à l’aide de cet exemple JavaScript côté serveur.
Example: Enable Security Headers for a Web Page / Exemple : activation des en-têtes de sécurité pour une page Web
<script runat=server>
Platform.Response.SetResponseHeader("Strict-Transport-Security","max-age=200");
Platform.Response.SetResponseHeader("X-XSS-Protection","1; mode=block");
Platform.Response.SetResponseHeader("X-Frame-Options","Deny");
Platform.Response.SetResponseHeader("X-Content-Type-Options","nosniff");
Platform.Response.SetResponseHeader("Referrer-Policy","strict-origin-when-cross-origin");
Platform.Response.SetResponseHeader("Content-Security-Policy","default-src 'self'");
</script>
This example helps prevent common web form issues, such as cross-site scripting or SQL injections. / Cet exemple permet d’éviter les problèmes de formulaire Web courants, tels que les scripts inter-sites ou les injections SQL.
Ready to go further? The next unit tackles our top data security recommendations and best practices. / Prêt à aller plus loin ? L’unité suivante aborde nos principales recommandations et bonnes pratiques en matière de sécurité des données.
Resources / Ressources
