Comment sécuriser votre compte

Estimé 5 minute de lecture

Mis à jour 29 août 2024, 19:08 EST

Découvrez comment sécuriser au mieux votre compte et vos données Klaviyo.

Il est essentiel de configurer votre communication et d'attribuer correctement les rôles, en particulier lorsque le trafic sur votre site et les messages de votre marque augmentent.

Avant de commencer

Il y a deux contrôles de sécurité cruciaux à passer en revue :

Vérification de la sécurité des clés d'API publiques ou privées
Examen de l'utilisateur et vérification de l'accès

Vérification de la sécurité des clés d'API publiques ou privées

Pour accéder aux clés API de votre compte :

Cliquez sur le nom de votre organisation dans le coin inférieur gauche.
Sélectionnez Settings > API Keys.

Votre clé publique, également appelée ID de site, se trouve dans le tableau de la première section de cette page, tandis que vos clés privées sont répertoriées dans le second tableau intitulé Clés API privées.

Clé d'API publique
Une API que vous pouvez partager avec d'autres personnes afin qu'elles puissent obtenir certaines informations à partir de votre API. Votre clé API publique est l'identifiant de votre compte. Utilisez votre clé d'API publique, et non votre clé d'API privée, lors de la configuration et de l'utilisation de la bibliothèque JavaScript de Klaviyo.
Clé API privée
Une clé API qui lit des données et manipule des objets sensibles (par exemple, des listes dans Klaviyo). Il est important de préserver la confidentialité des clés d'API privées. Traitez-les comme des mots de passe, gardés en lieu sûr et jamais exposés au public,
Dans Klaviyo, les clés API privées commencent toutes par le préfixe "pk_" et sont suivies de 34 caractères alphanumériques. Par exemple, une clé privée ressemblera à : pk_abc123def456ghi789jkl0mno123pqrst4.

Vous ne pourrez pas consulter une clé d'API privée après l'avoir créée.

Pourquoi ne pouvez-vous pas utiliser des clés d'API privées à la place des clés d'API publiques ?

L'utilisation accidentelle d'une clé d'API privée au lieu d'une clé publique peut conduire à une utilisation abusive de votre compte si un acteur malveillant trouve la clé privée. Si vous utilisez la mauvaise clé API dans votre JavaScript, vous ne pourrez pas non plus collecter ou utiliser avec succès les données applicables.

Vérifiez que tout le code côté client utilise votre clé d'API publique.

Avez-vous écrit un code personnalisé utilisant les objets Learnq, klOnsite ou Klaviyo, un code qui appelle nos points d'extrémité API côté client, ou avez-vous installé Klaviyo.js manuellement? Si vous répondez par l'affirmative à l'une des questions ci-dessus, il est important de vérifier que vous n'utilisez que votre clé d'API publique dans ces cas.

Vous devrez vérifier chaque page de votre site à l'aide d'un code personnalisé. Vous pouvez commencer par votre page d'accueil :

Ouvrez votre site web.
Cliquez avec le bouton droit de la souris et sélectionnez Voir la source de la page.
Lorsque la nouvelle page s'ouvre, sélectionnez Editer > Trouver > Trouver... et recherchez "pk_".
Assurez-vous qu'aucune clé privée n'est utilisée en tant que company_id, "token" ou, dans de rares cas, en tant que valeur de compte.
Si vous trouvez des clés d'API privées (la valeur commence par "pk_"), consultez la section ci-dessous sur les mesures à prendre lorsque votre clé d'API privée est exposée.

Que faire si votre clé d'API privée a été exposée ?

Si votre clé d'API privée a été utilisée au lieu de votre clé d'API publique :

Enregistrez la clé d'API privée (vous en aurez besoin plus tard) et remplacez-la par votre clé d'API publique. Cela permettra à votre code de fonctionner comme prévu au sein de la plateforme Klaviyo.
Supprimez et remplacez la clé exposée afin de protéger les données de votre entreprise et de vos clients contre toute exposition non autorisée.
Identifiez toutes les intégrations et applications à clé privée que vous pouvez avoir, y compris le code personnalisé.
Pour chaque intégration et application qui utilise une clé d'API privée exposée, créez une nouvelle clé dans les paramètres de votre compte en sélectionnant Créer une clé d'API privée.
Donnez à la clé une étiquette significative pour une identification rapide ainsi qu'un champ d'application spécifique.
Après avoir créé une clé d'API privée unique pour chaque intégration, mettez à jour la ou les intégrations avec la nouvelle clé d'API privée.
Une fois que toutes les intégrations utilisant la clé exposée ont été mises à jour, survolez la clé exposée et cliquez sur Supprimer.
- Veillez à sélectionner la bonne clé à supprimer, car il n'y a pas de vérification lorsque le bouton de suppression est sélectionné.

Une fois la suppression effectuée, vous aurez protégé vos données contre tout accès non autorisé via la clé privée exposée.

Pour plus d'informations sur la sécurité des clés API, consultez la page Gérer les clés API de vos comptes.

Contrôle de la gestion des utilisateurs et de l'accès aux données

Il est important de savoir qui a accès aux différentes fonctions et informations de votre compte. Pour voir tous les utilisateurs qui ont accès à votre compte :

Allez au nom de votre organisation dans le coin inférieur gauche.
Sélectionnez Paramètres.

L'examen périodique des utilisateurs de votre compte et de leur niveau d'accès est une activité importante en matière de sécurité. Trois activités permettent de sécuriser votre compte :

Révision des utilisateurs
Passez en revue tous les utilisateurs de votre compte et identifiez ceux qui n'ont plus besoin d'accès. Supprimez les utilisateurs qui ne devraient plus être actifs en sélectionnant le X à côté de leur adresse électronique. Les raisons les plus courantes pour supprimer l'accès sont les suivantes
- Changement de rôle au sein de l'entreprise
- Licenciement d'un salarié
- Expiration du contrat d'un fournisseur tiers.
Examen des rôles
Assurez-vous que chaque utilisateur dispose des autorisations appropriées et qu'il ne peut accéder qu'aux données et fonctionnalités nécessaires à l'exécution de son travail. Pour savoir à quoi les rôles d'utilisateur ont accès, consultez la rubrique Gestion des utilisateurs et privilèges.
Authentification multifactorielle
L'authentification multifactorielle ajoute une couche supplémentaire de sécurité à votre compte en exigeant un mot de passe à usage unique en plus de votre nom d'utilisateur et de votre mot de passe habituels. Il s'agit d'une protection contre les tentatives de deviner le mot de passe et les attaques par hameçonnage, et d'une bonne pratique générale en matière de sécurité. Dans l'onglet Utilisateurs (Paramètres > Utilisateurs), activez l'option Exiger une authentification en deux étapes pour tous les utilisateurs. Les utilisateurs devront alors configurer l'authentification multifactorielle pour leur compte s'ils ne l'ont pas déjà fait.

Ressources complémentaires

Cet article vous a-t-il été utile ?

Utilisez ce formulaire uniquement pour nous faire part de vos commentaires sur cet article. Comment contacter l’assistance.

Explorer d’autres contenus Klaviyo

Communauté

Contactez des membres de votre secteur, des partenaires et des experts Klaviyo pour trouver de l’inspiration, partager des informations et obtenir des réponses à toutes vos questions.

Consulter la communauté

Formation en direct

Participez à une session en direct avec des experts Klaviyo pour découvrir les bonnes pratiques, apprendre à configurer des fonctionnalités clés et bien plus encore.

S’inscrire (EN) ↗

Assistance

Accédez à l’assistance via votre compte.

Assistance par e-mail (essai gratuit et comptes payants) Disponible 24h/24 et 7j/7

Chat/assistant virtuel
La disponibilité varie selon l'emplacement et le type de forfait

Se connecter