De nombreuses organisations exigent des mots de passe complexes dans le cadre de leurs politiques de sécurité. Certaines réglementations, comme le Règlement général sur la protection des données (RGPD), exigent que les organisations prennent des mesures pour assurer la sécurité des données personnelles et l’utilisation de mots de passe complexes en fait partie.

Zendesk vous conseille vivement de configurer le niveau de sécurité des mots de passe Recommandé pour les membres de l’équipe et les utilisateurs finaux pour protéger votre compte.

Les niveaux de sécurité Faible, Moyen et Élevé ont des exigences de sécurité moins rigoureuses. Zendesk conseille de changer le niveau de sécurité et de le configurer sur Recommandé si vous utilisez l’un de ces trois niveaux.

Vous pouvez prendre connaissance des exigences qui s’appliquent aux mots de passe pour le niveau de sécurité sélectionné à la page d’authentification des membres de l’équipe ou des utilisateurs finaux.

Le niveau de sécurité Personnalisé est réservé aux membres de l’équipe et peut être utilisé si le niveau Recommandé ne satisfait pas à vos exigences. Consultez Configuration d’un niveau de sécurité des mots de passe personnalisé pour les membres de l’équipe.

Seuls les administrateurs peuvent modifier le niveau de sécurité des mots de passe. Quand vous passez à un niveau de sécurité plus élevé (p. ex., de Moyen à Recommandé), tous les mots de passe, quel que soit leur niveau de sécurité, expireront après 5 jours. Tous les utilisateurs finaux et membres de l’équipe doivent modifier leur mot de passe afin de respecter les règles du nouveau niveau de sécurité.

L’augmentation du niveau de sécurité du mot de passe peut entraîner l’expiration instantanée de certains mots de passe. Si un mot de passe a plus de 90 jours et que le niveau de sécurité est modifié et configuré sur un niveau plus élevé avec une restriction d’expiration, ce mot de passe est considéré comme expiré.

Zendesk envoie une notification par e-mail aux administrateurs et aux agents trois jours avant et le jour même de l’expiration du mot de passe.

Si vous changez le niveau de sécurité et passez de Faible, Moyen ou Élevé à Recommandé ou Personnalisé, cette modification est irréversible. Vous recevrez le message suivant après avoir cliqué sur Enregistrer.

Vous pouvez alterner entre les niveaux Faible, Moyen et Élevé et revenir en arrière.

Pour modifier le niveau de sécurité des mots de passe

1. Ouvrez les paramètres de sécurité des mots de passe des membres de l’équipe ou utilisateurs finaux.
   • Dans le Centre d’administration, cliquez sur Compte () dans la barre latérale, puis sélectionnez Sécurité > Authentification des membres de l’équipe.
   • Dans le Centre d’administration, cliquez sur Compte () dans la barre latérale, puis sélectionnez Sécurité > Authentification des utilisateurs finaux.

     La commande Utilisateurs finaux n’est pas disponible jusqu’à ce que vous activiez le centre d’aide. Consultez Premiers pas avec Guide.

2. Sélectionnez un niveau du mot de passe, puis cliquez sur Enregistrer.
3. Si le niveau Faible, Moyen ou Élevé était précédemment configuré et que vous passez au niveau Personnalisé ou Recommandé, un message vous avertira que les niveaux précédents ne seront plus disponibles. Cliquez sur Enregistrer pour confirmer.

Si le niveau de sécurité des mots de passe Recommandé ne satisfait pas aux exigences de votre entreprise pour les membres de l’équipe, vous pouvez créer un niveau de sécurité personnalisé.

La plupart des options personnalisées sont faciles à comprendre, à l’exception des options suivantes :

• Nombre de mots de passe précédents à refuser - Les nouveaux mots de passe doivent être différents des mots de passe précédents que vous avez configurés.
• Tentatives ratées autorisées jusqu’au verrouillage - Si un utilisateur final ou un agent saisit d’affilée un mot de passe incorrect le nombre de fois spécifié, son compte sera verrouillé pendant une durée donnée, et il ne pourra pas se connecter jusqu’à l’expiration de cette période de verrouillage.
• Nombre max. de lettres ou de chiffres consécutifs - Le nombre maximum de lettres et de chiffres séquentiels autorisés dans les mots de passe. Par exemple, si vous configurez ce maximum sur 4, un mot de passe comme admin12345, qui contient cinq chiffres séquentiels, sera refusé. Si vous configurez le maximum sur 5, ce mot de passe sera accepté.
• Les mots de passe peuvent ressembler aux adresses e-mail - Contrôle si les nouveaux mots de passe peuvent inclure une partie de l’adresse e-mail. Par exemple, si ce paramètre est configuré sur Non, un utilisateur avec l’adresse david@masociete.com ne peut pas inclure le mot david dans son mot de passe.

Les propriétaires de compte peuvent permettre aux administrateurs de configurer les mots de passe pour les utilisateurs. Cependant, Zendesk vous conseille de ne pas activer cette option pour des raisons de sécurité. Cela évite que des pirates/hackers n’utilisent des techniques « d’ingénierie sociale » pour convaincre des personnes de bonne foi de leur communiquer des informations confidentielles.

Par exemple, une technique employée par les pirates consiste à appeler sans arrêt ou d’envoyer à un centre d’assistance de nombreux e-mails en se faisant passer pour un client frustré qui a oublié son mot de passe et n’arrive pas à le récupérer, jusqu’à ce qu’un agent bienveillant ne finisse par modifier le mot de passe manuellement pour ce client en colère. Une fois ce mot de passe modifié, le pirate a accès aux informations confidentielles.

Vous pouvez aussi configurer les mots de passe des utilisateurs par le biais de l’API. Consultez la section Set a user’s password (Configuration du mot de passe d’un utilisateur) dans la documentation destinée aux développeurs.

Pour permettre aux administrateurs de configurer les mots de passe pour les utilisateurs

1. Dans le Centre d’administration, cliquez sur l’icône Compte () dans la barre latérale, puis sélectionnez Sécurité > Avancée.
2. Dans l’onglet Mots de passe, sélectionnez Permettre aux administrateurs de configurer les mots de passe.

   Vous devez être le propriétaire du compte pour voir ce paramètre.

3. Cliquez sur Enregistrer.

   Quand l’administrateur configure les mots de passe pour les utilisateurs, ces derniers reçoivent un e-mail les en avertissant.

Vous pouvez configurer Zendesk pour que les agents et autres membres de l’équipe soient automatiquement déconnectés après une période d’inactivité. Les agents restent connectés tant qu’ils utilisent activement le produit. Les utilisations actives incluent la saisie de texte ou les clics sur les liens.

Vous pouvez envisager de publier un article dans votre portail Zendesk Support pour rappeler les meilleures pratiques pour les mots de passe à vos agents et vos utilisateurs. Parmi les recommandations courantes, on peut citer :

• N’utilisez jamais le même mot de passe pour plus d’un compte.
• Ne partagez jamais votre mot de passe.
• Ne notez jamais votre mot de passe par écrit.
• Ne communiquez jamais votre mot de passe par téléphone, e-mail ou messagerie instantanée.
• Déconnectez-vous avant de laisser votre ordinateur sans surveillance.
• Changez votre mot de passe chaque fois que vous suspectez qu’il a été compromis.

Pour en savoir plus sur la sécurisation de vos informations confidentielles, consultez Meilleures pratiques de sécurité.