Sécurité – Meilleures pratiques S’abonner

Zendesk permet de définir plusieurs niveaux de sécurité pour les mots de passe : faible, moyen et élevé. Si vous avez la version Enterprise, vous pouvez spécifier votre propre niveau de sécurité des mots de passe. Un administrateur peut définir un niveau de sécurité des mots des mots de passe pour les utilisateurs finaux et un autre pour les agents et les administrateurs.

En renforçant la sécurité des mots de passe, vous évitez que des utilisateurs non autorisés les devinent et accèdent au système. Les utilisateurs dont le mot de passe a le niveau de sécurité « Élevé » doivent changer de mot de passe tous les 90 jours (trois mois). Pour en savoir plus, consultez Configuration du niveau de sécurité des mots de passe (Professional et Enterprise).

Vous devez également exiger de vos administrateurs et de vos agents qu’ils choisissent un mot de passe unique pour leur compte Zendesk : ils doivent adopter un mot de passe différent de celui qu’ils utilisent dans les systèmes externes tels que Salesforce, GoodData, etc. Avec cette précaution, si un pirate/hacker détermine l’un des mots de passe d’un utilisateur, il pourra accéder uniquement au compte associé.

Enfin, vous pouvez rendre l’authentification à deux facteurs obligatoire pour tous les agents et administrateurs. Consultez Gestion de l’authentification à deux facteurs. Nous vous conseillons d’envoyer un message contenant le lien pour l’article expliquant l’utilisation de l’authentification à deux facteurs du Guide de l’agent à votre équipe d’assistance.

Même s’il n’est pas toujours facile de concilier les besoins des utilisateurs et la sécurité de leurs comptes, les meilleures pratiques suggèrent que les agents et les administrateurs Zendesk ne divulguent JAMAIS aucun nom d’utilisateur, aucune adresse e-mail, ni aucun mot de passe à qui que ce soit.

Si vous utilisez le système standard d’authentification, l’utilisateur dispose d’une seule solution sécurisée pour changer son mot de passe : cliquer sur le lien de création de mot de passe [procédure à compléter] qui est affiché dans l’écran de connexion de votre Zendesk. En réponse, le système demande à l’utilisateur d’entrer une adresse e-mail valide et active (déjà vérifiée comme appartenant à un utilisateur légitime de votre compte d’administrateur Zendesk). Quelques instants plus tard, il reçoit à cette adresse un e-mail qui l’invite à modifier son mot de passe manuellement.

Si vous avez mis en place un service d’authentification avec connexion unique (SSO) tel qu’Active Directory, Open Directory, LDAP ou SAML, les changements de mot de passe peuvent être effectués selon une procédure similaire dans ce service.

Vous devez également tenir compte du fait que certains pirates/hackers n’hésitent pas à utiliser des techniques « d’ingénierie sociale » pour convaincre des utilisateurs de « les dépanner » en communiquant le mot de passe d’accès à certains comptes. L’une de leurs méthodes consiste à contacter le service d’assistance le soir ou le week-end, en espérant que le personnel présent sera moins expérimenté et moins méfiant. Ils peuvent même prétendre qu’il y a un problème de sécurité et que le mot de passe considéré doit être changé immédiatement (et remplacé par une valeur qu’ils sont prêts à communiquer).

Certains pirates/hackers utilisent des outils qui leur permettent d’imiter des adresses e-mail légitimes (associées à un domaine également légitime) et d’usurper ensuite l’identité d’un utilisateur. Autrement dit, certaines demandes par e-mail qui semblent légitimes peuvent fort bien ne pas provenir de l’adresse d’expédition mentionnée. Si vous êtes contacté par une personne qui prétend être un administrateur ou l’utilisateur d’un compte, notez immédiatement son adresse IP (affichée dans la vue des événements et des notifications des tickets) et essayez de vérifier son identité (par exemple, en l’appelant au numéro de téléphone qui figure dans « son » profil d’utilisateur). En cas de doute, vous ne devez JAMAIS communiquer d’informations sensibles ni modifier un compte en réponse à une demande de ce type. Les utilisateurs légitimes peuvent modifier par eux-mêmes les paramètres de leur compte en utilisant les méthodes décrites ci-dessus.

Il est conseillé d’informer les agents de ces risques de sécurité et de définir une politique de sécurité dont l’existence devra être connue de tous les utilisateurs et qui pourra être consultée par ceux-ci s’ils constatent un incident de ce type.

Les administrateurs sont autorisés à accéder à toutes les zones de votre Zendesk – ce qui n’est pas le cas des agents. Par exemple, les fonctions de sécurité décrites dans ce chapitre sont accessibles exclusivement aux administrateurs. En limitant le nombre d’agents qui bénéficient d’un accès administrateur, vous réduisez les risques de sécurité. Avec le rôle d’agent standard, les agents disposent de tous les accès nécessaires pour gérer et résoudre les tickets.

Dans l’édition Enterprise de Zendesk Support, vous disposez de rôles d’agent spéciaux qui permettent d’accorder des autorisations complémentaires à certains agents. Dans cette version, vous pouvez également définir des rôles d’agent personnalisés et désigner les zones de Zendesk Support auxquelles ces rôles donnent accès. Notez toutefois que ces autorisations sont limitées aux zones Utilisateurs, Tickets, Forums et Workflow de Zendesk Support (par exemple, l’accès aux paramètres de sécurité est réservé exclusivement aux propriétaires de compte et aux administrateurs).

Si vous ne souhaitez pas que vos agents accèdent aux informations concernant les utilisateurs finaux, vous pouvez créer un rôle qui ne leur permet pas de modifier les profils des utilisateurs finaux ni de consulter la liste de tous vos utilisateurs finaux. Pour empêcher cet accès, configurez les deux autorisations suivantes :

Pour en savoir plus, consultez Création de rôles personnalisés et affectation des agents (Enterprise).

Zendesk notifie automatiquement tous les administrateurs lorsque la plupart de ces événements se produisent, mais vous devez vérifier que ces notifications sont envoyées aux bonnes personnes. Dans Zendesk, vous pouvez créer un groupe qui recevra ces alertes.

Dans la version Enterprise de Zendesk Support, vous pouvez surveiller à l’aide du journal des audits plusieurs événements de sécurité, comme les suspensions d’utilisateurs, les modifications des règles applicables aux mots de passe, l’adoption d’identité d’utilisateur, les exportations de données de clients, les modifications apportées à la définition des rôles personnalisés ainsi que d’autres événements. Cela vous permet de suivre bon nombre des modifications importantes apportées à votre compte. Pour en savoir plus, consultez Consultation du journal des audits en cas de modifications (Enterprise).

Étant donné que les agents ont un rôle doté de plus de privilèges, ils peuvent servir d’indicateurs lorsqu’un pirate informatique a réussi à s’introduire frauduleusement dans votre Zendesk. Pour sécuriser son accès, un intrus peut ajouter une nouvelle adresse e-mail dans un profil d’administrateur et lancer une réinitialisation de mot de passe.

Zendesk envoie aux agents une notification par e-mail lorsque leur mot de passe a été modifié. En outre, les agents peuvent facilement surveiller leur compte utilisateur en activant les alertes par e-mail pour les connexions à partir de nouveaux appareils (consultez la section Vérification des appareils et applications ayant accédé à votre compte dans le Guide de l’agent Zendesk). Si vous voyez une nouvelle connexion à partir d’un emplacement suspect, retirez l’appareil en question pour fermer la session de l’utilisateur, puis choisissez un nouveau mot de passe.

Outre la méthode d’authentification des utilisateurs fournie par Zendesk, vous pouvez également utiliser la méthode de connexion unique, qui authentifie les utilisateurs extérieurs à votre Zendesk. Il en existe deux types : connexion unique de réseau social et connexion unique d’entreprise.

La connexion unique de réseau social comporte des options de connexion supplémentaires que vous pouvez fournir à vos clients. Par exemple, vous pouvez grouper les connexions à Facebook, Google et Twitter sur la page de connexion de votre centre d’aide. Vos clients peuvent alors se connecter, soit avec leur compte Zendesk, soit par l’intermédiaire d’un réseau social.

La connexion unique d’entreprise est différente de la connexion unique de réseau social. La connexion unique d’entreprise remplace toutes les autres options de connexion ; elle n’est pas optionnelle. Après son activation pour votre compte Zendesk, vos clients ne voient pas la page de connexion de votre centre d’aide. À la place, ils se connectent en général à un réseau d’entreprise, puis accèdent à Zendesk Support par simple clic sur un lien et sont automatiquement connectés. La gestion et l’authentification des utilisateurs se passent en dehors de votre Zendesk. La technologie de token Web JSON (JWT) est disponible pour les éditions Team et supérieures. Les éditions Professional et Enterprise prennent en charge la connexion unique utilisant SAML (Secure Assertion Markup Language).

Dans les deux cas, que vous fournissiez la connexion unique à vos utilisateurs par le biais de la connexion unique d’entreprise ou la connexion unique de réseau social, nous vous conseillons d’utiliser l’authentification à deux facteurs (ou multifacteur) que fournissent ces services. Cela ajoute une autre couche de protection en demandant une preuve d’identité supplémentaire. Si vous utilisez JWT ou SAML, vous devrez les configurer pour votre Zendesk. Pour la connexion unique de réseau social, c’est vos utilisateurs qui devront les configurer. Tous ces services fournissent la documentation nécessaire.

Pour en savoir plus sur la connexion unique, consultez les sections suivantes :

Dans la version Enterprise de Zendesk Support, un administrateur peut limiter l’accès à certaines adresses IP. Avec une configuration de ce type, seuls les utilisateurs que vous ajoutez manuellement dans votre compte et dont l’adresse IP figure dans la plage que vous spécifiez sont autorisés à accéder à Zendesk Support.

Cette restriction peut être appliquée à l’ensemble des utilisateurs ou seulement aux agents. Si vous sélectionnez « agents uniquement », seul l’accès des agents est limité (et non celui des utilisateurs).

Pour en savoir plus, consultez Limitation de l’accès à votre Zendesk en utilisant les restrictions IP (Enterprise).

Vous pouvez utiliser l’API REST Zendesk et le framework des applications Zendesk pour élargir les fonctionnalités de votre instance de Zendesk Support.

Si vous n’envisagez pas d’utiliser ces outils pour élargir Zendesk Support, n’activez pas l’API. Sous Admin > Canaux > API, désélectionnez les options Accès par token et Accès par mot de passe.

Si vous souhaitez élargir les fonctionnalités de votre Zendesk, nous vous conseillons fortement de suivre les meilleures pratiques de programmation sécurisées. Une bonne référence est l’Open Web Application Security Project (OWASP), que vous pouvez consulter ici (https://www.owasp.org/index.php/Main_Page).

En outre, les applications accédant aux API Zendesk ne doivent jamais utiliser votre nom d’utilisateur et mot de passe, mais un token OAuth (consultez Authentification OAuth avec votre application). Cela vous permet d’isoler les actions initiées par cette application et de révoquer le token si vous pensez qu’il a été piraté.

Il arrive que les utilisateurs finaux incluent leur numéro de carte de crédit dans les demandes d’assistance quand ils devraient éviter de le faire. Non seulement le numéro de carte de crédit peut être vu par toute personne ayant accès au ticket, mais il est automatiquement stocké dans une base de données avec le reste du ticket. Si vous disposez de l’édition Professional ou Enterprise, vous pouvez biffer (supprimer) des chiffres des numéros de carte de crédit afin qu’ils ne puissent plus servir. Consultez Biffure automatique des numéros de carte de crédit dans les tickets (Professional et Enterprise).

Dans Zendesk Support, les pièces jointes utilisent des liens. Si vous n’activez pas les pièces jointes privées, tout individu qui trouve un lien peut y accéder sans s’authentifier dans Zendesk. Activez les pièces jointes privées sauf si vous avez vraiment une raison de ne pas le faire. Consultez Autorisation de pièces jointes aux tickets.

Vous pouvez activer un filtre pour le centre d’aide qui empêche la publication des publications d’utilisateurs finaux qui semblent être du spam. Les publications suspectes sont envoyées dans une file d’attente de spam. Là, les administrateurs peuvent les passer en revue et les gérer. Pour en savoir plus, consultez Utilisation du filtre anti-spam pour empêcher le spam de pénétrer dans votre centre d’aide.