Zendesk fournit une gamme d’options de sécurité que vous pouvez utiliser pour garantir la protection des informations privées. Cet article présente les meilleures pratiques de sécurité pour vous aider à vous lancer. Nous vous conseillons vivement de former vos agents et administrateurs et de les encourager à suivre les meilleures pratiques afin de garantir un environnement sécurisé.
Consultez le Zendesk Suite Actionable Security Guide pour une liste détaillée des meilleures pratiques de sécurité que nous vous conseillons de mettre en œuvre dans votre instance.
- Renforcez la sécurité des mots de passe pour vos agents
- Ne divulguez jamais les noms d’utilisateur, les adresses e-mail ou les mots de passe
- Limitez le nombre d’agents avec accès administrateur
- Authentifiez à distance les utilisateurs en connexion unique
- Surveillez les journaux des audits des comptes
- Limitez l’accès ou suivez des pratiques de programmation sécurisées si vous utilisez l’API REST
- Fournissez une adresse e-mail pour les notifications de sécurité
Si vous avez des questions sur la sécurité de votre instance Zendesk, contactez Zendesk directement. Si vous constatez ou suspectez une infraction à la sécurité, envoyez un ticket avec le sujet « Sécurité » et avec une description détaillée. Vous pouvez aussi envoyer un message à security@zendesk.com.
Renforcez la sécurité des mots de passe pour vos agents
Zendesk propose quatre niveaux de sécurité des mots de passe : Recommandé, Élevé, Moyen et Faible. Vous pouvez aussi spécifier un niveau de sécurité personnalisé. Un administrateur peut définir un niveau de sécurité des mots de passe pour les utilisateurs finaux et un autre pour les agents et les administrateurs.
Zendesk vous conseille vivement de configurer le niveau de sécurité des mots de passe Recommandé pour les membres de l’équipe et les utilisateurs finaux pour protéger votre compte. Ce niveau de sécurité est configuré avec des spécifications de mot de passe strictes, vérifie les mots de passe communément compromis et se fonde sur les meilleures pratiques et les normes du secteur en matière de sécurité.
Renforcez la sécurité des mots de passe des agents pour éviter que des utilisateurs non autorisés les devinent et accèdent au système. Vous devez également exiger des administrateurs et des agents qu’ils choisissent un mot de passe unique pour leur compte Zendesk et évitent de réutiliser ces mots de passe pour des systèmes externes.
Encouragez les agents à surveiller leur propre compte. Zendesk envoie aux agents une notification par e-mail lorsque leur mot de passe a été modifié. De plus, les agents peuvent facilement surveiller leur compte en activant les alertes par e-mail pour les connexions à partir de nouveaux appareils. Si vous voyez une nouvelle connexion à partir d’un appareil suspect, retirez l’appareil en question pour fermer la session de l’utilisateur, puis choisissez un nouveau mot de passe.
Exigez l’authentification à deux facteurs pour les agents et les administrateurs afin d’ajouter une couche de sécurité supplémentaire. Nous vous conseillons d’envoyer un message contenant le lien pour l’article expliquant l’utilisation de l’authentification à deux facteurs à votre équipe d’assistance.
Envisagez d’utiliser un gestionnaire de mots de passe comme 1Password ou LastPass. Les gestionnaires de mots de passe vous aident à générer un mot de passe fort unique que vous pouvez utiliser pour tous vos autres sites.
Ne divulguez jamais les noms d’utilisateur, les adresses e-mail ou les mots de passe
Les agents et les administrateurs Zendesk ne doivent jamais communiquer leur nom d’utilisateur, leur adresse e-mail ou leur mot de passe.
Si vous utilisez le système standard d’authentification, l’utilisateur dispose d’une seule solution sécurisée pour changer son mot de passe : cliquer sur le lien Mot de passe oublié de l’écran de connexion Zendesk. En réponse, le système demande à l’utilisateur d’entrer une adresse e-mail valide et active (déjà vérifiée comme appartenant à un utilisateur légitime de votre compte). Une fois cette adresse envoyée, l’utilisateur reçoit alors un e-mail contenant un lien de réinitialisation du mot de passe.
Si vous avez mis en place un service d’authentification avec connexion unique (SSO) tel qu’Active Directory, Open Directory, LDAP ou SAML, les changements de mot de passe peuvent être effectués selon une procédure similaire dans ce service.
Certains pirates/hackers n’hésitent pas à utiliser des techniques « d’ingénierie sociale » pour convaincre des utilisateurs de leur communiquer le mot de passe d’accès à certains comptes. Certains pirates/hackers utilisent des outils qui leur permettent d’imiter des adresses e-mail légitimes (associées à un domaine également légitime) et d’usurper ensuite l’identité d’un utilisateur. Autrement dit, certaines demandes par e-mail qui semblent légitimes peuvent fort bien ne pas provenir de l’adresse d’expédition mentionnée.
Si vous êtes contacté par une personne qui prétend être un administrateur ou un utilisateur, notez immédiatement son adresse IP (affichée dans la vue des événements du ticket) et essayez de vérifier son identité (par exemple, en l’appelant au numéro de téléphone qui figure dans « son » profil d’utilisateur). En cas de doute, vous ne devez JAMAIS communiquer d’informations sensibles ni modifier un compte en réponse à une demande de ce type. Les utilisateurs légitimes peuvent modifier les paramètres de leur propre compte.
Prévenez vos agents de ces types de risques de sécurité. De plus, créez une politique de sécurité que tout le monde connaît et qui peut servir de référence quand des incidents de ce genre surviennent.
Limitez le nombre d’agents avec accès administrateur
Les administrateurs sont autorisés à accéder à toutes les zones de votre compte Zendesk – ce qui n’est pas le cas des agents. Vous pouvez réduire les risques de sécurité en limitant le nombre d’agents qui bénéficient d’un accès administrateur. Avec le rôle d’agent standard, les agents disposent de tous les accès nécessaires pour gérer et résoudre les tickets.
Vous disposez de rôles d’agent spéciaux qui permettent d’accorder des permissions complémentaires à certains agents. Avec les éditions Enterprise, vous pouvez également définir des rôles d’agent personnalisés et désigner les zones de Zendesk auxquelles ces rôles donnent accès et que ces rôles peuvent gérer. Ces permissions sont limitées (par exemple, l’accès aux paramètres de sécurité est réservé exclusivement aux propriétaires de compte et aux administrateurs).
Si vous ne souhaitez pas que vos agents accèdent aux informations concernant les utilisateurs finaux, vous pouvez créer un rôle qui ne leur permet pas de modifier les profils des utilisateurs finaux ni de consulter la liste de tous vos utilisateurs finaux.
Limitez l’accès aux informations privées dans les tickets
Avec les éditions Enterprise, les administrateurs peuvent désigner un groupe comme privé. Cela limite généralement l’accès aux agents qui font partie du groupe, mais les administrateurs et les chefs d’équipe y ont accès par défaut et vous pouvez accorder aux agents la permission de consulter les tickets privés. Les agents qui travaillent sur des tickets privés ne peuvent pas utiliser @mentions ni ouvrir de conversations annexes avec des membres de l’équipe hors du groupe privé. L’utilisation de groupes de tickets privés peut considérablement réduire la visibilité sur le contenu des tickets.
Si vous ne voulez pas que les agents aient accès à des informations sensibles dans les tickets, vous pouvez créer des groupes privés et affecter les agents de votre choix à ces groupes.
Authentifiez à distance les utilisateurs en connexion unique
Outre la méthode d’authentification des utilisateurs fournie par Zendesk, vous pouvez également utiliser la méthode de connexion unique, qui authentifie les utilisateurs extérieurs à Zendesk. Il existe deux options de connexion unique : connexion unique de réseau social et connexion unique d’entreprise.
La connexion unique de réseau social permet à vos clients de se connecter soit avec leur compte Zendesk, soit avec l’un de leurs comptes de réseaux sociaux, comme Google ou Microsoft. Ces options sont pratiques, mais nous vous conseillons de désactiver les connexions de réseaux sociaux inutiles.
La connexion unique d’entreprise contourne Zendesk et authentifie vos utilisateurs en externe. Quand un utilisateur navigue jusqu’à votre page de connexion Zendesk ou clique sur un lien pour accéder à votre compte Zendesk, il peut s’authentifier en se connectant à un serveur d’entreprise ou un fournisseur d’identité tiers, comme OneLogin ou Okta.
Quand vous fournissez la connexion unique d’entreprise ou de réseau social, nous vous conseillons d’utiliser l’authentification à deux facteurs (parfois appelée authentification multifacteur) que ces services fournissent. Cela ajoute une autre couche de protection en demandant une preuve d’identité supplémentaire. Si vous utilisez JWT ou SAML, vous devrez les configurer pour votre compte Zendesk. Pour la connexion unique de réseau social, c’est vos utilisateurs qui devront les configurer. Tous ces services fournissent la documentation nécessaire.
Les agents et les utilisateurs finaux peuvent avoir différentes façons de s’authentifier. Vous pouvez sécuriser Zendesk Support en créant une politique d’authentification plus stricte pour les agents, tout en fournissant un accès facile à vos clients et utilisateurs finaux.
Surveillez les journaux des audits des comptes
Le journal des audits suit les modifications importantes apportées à votre compte. Vous pouvez surveiller à l’aide du journal des audits plusieurs événements de sécurité, comme les suspensions d’utilisateurs, les modifications des règles applicables aux mots de passe, les exportations de données de clients, les modifications apportées à la définition des rôles personnalisés ainsi que d’autres événements.
Limitez l’accès ou suivez des pratiques de programmation sécurisées si vous utilisez l’API REST
Vous pouvez utiliser l’API REST Zendesk et le framework des applications Zendesk pour élargir les fonctionnalités de votre instance de Zendesk Support.
Si vous souhaitez élargir les fonctionnalités de votre instance Zendesk, nous vous conseillons fortement de suivre les meilleures pratiques de programmation sécurisées. Une bonne référence est l’Open Web Application Security Project (OWASP), que vous pouvez consulter ici.
Fournissez une adresse e-mail pour les notifications de sécurité
Si un incident de sécurité impacte vos Données de service, la notification de nos clients dans les délais prescrits est la priorité et l’obligation légale de Zendesk. Ajoutez l’adresse e-mail de la personne ou du groupe chargés de la sécurité pour votre organisation à qui nous devons envoyer les notifications en cas d’incident de sécurité. Consultez Choix d’une adresse e-mail pour les notifications de sécurité.