Le modèle de responsabilité partagée de Zendesk

Zendesk fournit une plateforme de service client capable d’évoluer rapidement et configurable à l’extrême, et beaucoup des plus grandes entreprises au monde, travaillant dans tous les secteurs, nous font confiance.  En aidant nos clients à exploiter notre plateforme cloud pour leurs besoins de service client, nous leur permettons de réduire leurs frais, d’évoluer pour pouvoir toujours répondre à la demande et d’offrir à leurs clients des interactions remarquablement simples.

En passant au cloud, les entreprises bénéficient des avantages mentionnés ci-dessus, mais il peut y avoir une certaine ambiguïté : quelle partie est responsable de quoi ?  Pour que les choses soient claires et simples, nous avons créé un modèle de responsabilité partagée, que nous vous présentons ci-dessous.  C’est un cadre qui clarifie quelle partie est responsable de quels contrôles pour la sécurité et la confidentialité de vos données.  Que vous soyez un administrateur consciencieux, un responsable de la sécurité, de la conformité ou de la confidentialité ou que vous soyez chargé de configurer les contrôles appropriés pour l’utilisation des Services Zendesk dans votre environnement, vous devriez y trouver toutes les précisions dont vous avez besoin. 

En bref, « Zendesk est responsable de la sécurité du Service lui-même et vous êtes responsable de la sécurité de vos instances particulières du Service ». 

1. Contrôles d’accès et hygiène des données
2. Intégrations
3. Données, confidentialité, conformité et considérations réglementaires
4. Surveillance
5. Maintenance
6. Incidents de sécurité (rôles et responsabilités)
7. Liens utiles
8. Journal des modifications

Remarque – Notez que les termes qui commencent pas une lettre majuscule ont le sens qui leur est affecté dans l’Accord sur les services principaux de Zendesk (ASP).   

I. Contrôles d’accès et hygiène
Le contrôle de l’accès aux systèmes sensibles et aux données qu’ils contiennent est au cœur des principes de sécurité. 

1. L’Abonné est responsable de tous les contrôles d’accès à ses instances du service, notamment :
   1. Gérer le provisioning, la modification, l’hygiène continue, le maintien de la précision des droits et le deprovisioning de tous les utilisateurs, y compris les utilisateurs finaux et les agents (qu’ils soient sur site, à distance ou fassent partie du personnel d’une tierce partie) 
   2. Choisir et configurer la méthode d’authentification pour accéder au service parmi les offres prises en charge (qui peuvent inclure mots de passe, authentification multifacteur, connexion unique, etc.)
   3. Configurer et surveiller divers aspects du traitement des sessions comme les déconnexions, les appareils connectés, etc.
   4. Autoriser ou interdire l’accès à son instance Support à notre personnel d’assistance
   5. Configurer l’accès aux services de l’API REST de Zendesk (le cas échéant, notamment les intégrations, l’utilisation du Service Zendesk Sunshine, etc.) et en comprendre les implications
   6. Configurer les restrictions IP de produit prises en charge, s’il le souhaite
   7. Considérer les autres contrôles d’accès n’ayant pas trait aux produits, par exemple, les appareils que les agents ont le droit d’utiliser pour accéder à ses instances, ainsi que tous les contrôles physiques, logiques ou réglementaires applicables pour ses utilisateurs ou appareils autorisés
2. Zendesk est responsable de tous les contrôles d’accès aux systèmes sous-jacents du service, notamment :
   1. Maintenir des politiques et des procédures pour assurer le provisioning, la modification, l’hygiène continue, le maintien de la précision des droits et le deprovisioning de tous les utilisateurs (qu’ils soient sur site, à distance ou fassent partie du personnel d’une tierce partie) en toute sécurité
   2. Appliquer le contrôle d’accès en fonction du rôle (Role Based Access Control ou RBAC), le principe du moindre privilège (Principle of Least Privilege ou PLP), la sécurité via des identifiants appropriés, y compris l’authentification multifacteur pour l’accès de tous les employés et tous les sous-traitants aux systèmes et applications critiques contenant des Données de service de l’Abonné
   3. Effectuer des vérifications ponctuelles de ce qui précède

II. Intégrations 
L’utilisation de tierces parties peut considérablement améliorer l’efficacité, mais peut aussi nuire à la sécurité.

1. L’Abonné est responsable de réfléchir aux implications en matière de sécurité de l’utilisation de toutes les intégrations tierces qu’il choisit d’utiliser avec le Service, notamment :
   1. Les intégrations via l’API et/ou le SDK
   2. Les intégrations via l’installation d’applications Marketplace ou l’activation de canaux tiers
   3. Les intégrations avec toute partie tierce qui aide l’Abonné en lui fournissant du personnel, des outils, du code ou entretenant directement les instances Zendesk
2. Zendesk est responsable de faire attention d’intégrer des parties tierces dignes de confiance au Service, notamment :
   1. Contrôler et exercer une diligence raisonnable continue pour tous les Sous-traitants
   2. Intégrer les acquisitions au Service de façon sécurisée
   3. S’assurer que tous les partenariats produits et/ou intégrations du Service avec des tierces parties respectent les considérations appropriées en matière de sécurité 

III. Données, confidentialité, conformité et considérations réglementaires
Il est indispensable de tenir compte des données utilisées, de leur traitement approprié, de tout cadre réglementaire pertinent et de l’importance des garanties données par des tiers.

1. L’Abonné est responsable de traiter de façon appropriée les données qu’il obtient et utilise, notamment :
   1. Comprendre les types de données pour son cas d’utilisation spécifique
   2. Traiter ces données conformément aux politiques de classification et de confidentialité des données de son entreprise, aux lois applicables aux données elles-mêmes, aux utilisateurs qui les fournissent, au secteur de l’Abonné et à toute juridiction pertinente
   3. Choisir les canaux qu’il autorise pour la communication avec ses instances du Service
   4. Assurer la maintenance des instances et des Données de service conformément à tous les cadres de conformité, juridiques ou réglementaires applicables qui peuvent concerner le secteur, les utilisateurs ou le cas d’utilisation de l’Abonné
   5. Fournir à Zendesk les certificats TLS nécessaires s’il souhaite un mappage d’hôte avec un domaine parent non Zendesk à des fins de cryptage du trafic vers et depuis l’interface et l’API Zendesk
   6. Comprendre quand il est possible que les données ne soient pas cryptées en transit et traiter ces canaux ou protocoles en conséquence (principalement l’e-mail, les SMS ou les intégrations tierces réalisées à l’entière discrétion de l’Abonné qui ne prennent pas le cryptage en charge)
   7. S’assurer que les types de données utilisés dans l’instance de l’Abonné respectent les Conditions générales de l’Accord sur les services principaux de Zendesk (pour en savoir plus, consultez l’Accord en question)
   8. S’assurer que le niveau de disponibilité et le plan de reprise d’activité choisis par l’Abonné sont conformes aux politiques et aux réglementations que doit respecter l’Abonné
2. Zendesk est responsable de : 
   1. Protéger de façon appropriée toutes les Données de service de toute divulgation au niveau du Service (c.-à-d. infrastructure ou code) 
   2. Crypter les données en transit vers ou depuis l’interface ou l’API Zendesk sur les réseaux publics 
   3. Crypter toutes les données au repos
   4. Fournir à l’Abonné des informations sur les données recueillies par les cookies des produits ainsi que par l’utilisation par défaut des services 
   5. Décrire avec précision l’utilisation que Zendesk fait des Données de service, notamment les Données à caractère personnel, de façon anonymisée ou non, pour fournir ses Services ou à d’autres fins
   6. Fournir à l’Abonné des outils et des fonctionnalités qui l’aident à remplir ses propres obligations en matière de données à caractère personnel ou données réglementées
   7. Respecter les lois et cadres réglementaires applicables pertinents pour nos offres de service et les emplacements où nous les proposons
   8. Obtenir et fournir les assurances de conformité des tierces parties indépendantes pertinentes pour nos offres de service

IV. Surveillance
Pour assurer une sécurité adéquate, il faut connaître et comprendre les processus et les activités.

1. L’Abonné est responsable de surveiller toutes les activités dans ses instances du Service, notamment :
   1. Surveiller les activités des utilisateurs (via les consultations de l’interface ou les journaux API)
   2. Exercer une diligence raisonnable pour les communications avec des inconnus ou le contenu non approuvé provenant du Service
   3. Tenir des journaux des données extraites du Service conformément à toutes les réglementations applicables
2. Zendesk est responsable de surveiller les processus et les activités du Service lui-même, notamment :
   1. Les activités et les accès avec droits au sein du réseau de production
   2. Le trafic entrant afin de signaler ou de bloquer les envois ou les adresses IP non approuvés
   3. La disponibilité du Service
   4. Les comportements anormaux dans les ressources du réseau de l’entreprise ou de production
   5. La sécurité du code, de l’infrastructure, du trafic et du personnel pertinent (employés ou sous-traitants)

V. Maintenance
La mise à jour et la correction des systèmes et du code permettent de prévenir de nombreux problèmes de sécurité. 

1. L’Abonné est responsable d’assurer la maintenance et de réparer tous les systèmes ou le code au-delà des limites architecturales et/ou contractuelles de Zendesk*, notamment :
   1. Sa propre infrastructure, notamment les points de terminaison des employés, les réseaux, l’infrastructure personnalisée ou les couches intergicielles tierces qu’il utilise pour accéder au ou aux Services Zendesk et/ou traiter ses Données de service avant l’entrée ou la sortie des systèmes Zendesk 
   2. Son propre code non standard utilisé pour fournir des fonctionnalités supplémentaires au ou aux Services Zendesk, notamment le code développé en interne ou par un tiers que l’Abonné a développé lui-même ou acheté pour l’utiliser avec les services Zendesk. Cela inclut également le code personnalisé développé par les Services professionnels Zendesk à la demande de l’Abonné, à condition que la responsabilité dudit code et de sa maintenance ait été transférée à l’Abonné dans le cadre de l’accord personnalisé.
2. Zendesk est responsable d’assurer la maintenance et de réparer tous les systèmes ou le code qui se trouvent dans ses limites architecturales et/ou contractuelles, notamment :
   1. Sa propre infrastructure gérée logiquement au sein des installations du fournisseur d’hébergement utilisées pour fournir les Services, y compris les systèmes d’exploitation, l’infrastructure de sécurité et les systèmes sous son contrôle direct, les systèmes de conteneurs et d’orchestration, etc.
   2. Sa propre infrastructure gérée physiquement et/ou logiquement au sein de l’environnement d’entreprise Zendesk, comme les points de terminaison des employés, l’infrastructure du réseau d’entreprise, etc.
   3. Les bases de code propriétaires qui permettent les Services Zendesk

* Notez que bien que les applications Marketplace s’exécutent au sein des limites architecturales de Zendesk, elles ne sont pas couvertes par l’Accord sur les services principaux de Zendesk : elles sont couvertes par des modalités spécifiques entre l’Abonné et les développeurs des applications comme l’indiquent les conditions d’utilisation des applications de notre Marketplace. Les développeurs tiers des applications Marketplace sont responsables de leur maintenance.

VI. Incidents de sécurité
Malgré tous les efforts déployés, il peut arriver que des incidents surviennent.  La manière dont vous identifiez, réagissez et récupérez après un incident de sécurité est essentielle pour atténuer les problèmes et conserver la confiance des clients.  Cette section explique les rôles et les responsabilités de chaque partie pendant les incidents de sécurité.

1. L’Abonné est responsable de tous les incidents ou violations de sécurité au sein de ses instances, qui ne sont pas dus à des vulnérabilités ou des incidents au sein du service lui-même, notamment : 
1. Enquêter sur et remédier à toute infraction présumée ou réelle au sein de son instance due à (i) un contrôle d’accès ou une hygiène des données insuffisant (y compris l’utilisation d’identifiants faibles ou exploitables), (ii) une surveillance insuffisante des activités des utilisateurs, (iii) une absence de diligence raisonnable pour les communications ou le contenu non approuvé dérivé d’interactions avec les utilisateurs ou (iv) tout incident ou toute violation dû à une intégration avec une tierce partie, quand l’Abonné a réalisé cette intégration à son entière discrétion
2. Envoyer les notifications obligatoires aux organismes gouvernementaux et aux forces de l’ordre ou aux utilisateurs finaux pour les prévenir des violations dues aux actions de l’Abonné, des tierces parties intégrées ou ayant un lien avec les notifications de violation des Données de service au sujet de l’instance de l’Abonné reçues de Zendesk
2. Zendesk est responsable de contrôler les enquêtes sur les incidents de sécurité et de notifier les abonnés concernés de toute violation des Données de service ayant eu lieu via le service lui-même, notamment : 
   1. Avoir une politique de réponse aux incidents de sécurité documentée et des membres du personnel avec des rôles et des responsabilités de sécurité pertinents
   2. Enquêter sur toute activité anormale
   3. Contenir toute violation des Données de service confirmée
   4. Prévenir les abonnés concernés, ainsi que les organismes gouvernementaux et les forces de l’ordre si la loi l’exige
   5. S’assurer que des processus de sauvegarde et de reprise d’activité solides sont mis en place et testés

VII. Liens utiles

Un service client sécurisé avec la sécurité Zendesk

Meilleures pratiques de sécurité de Zendesk

Zendesk - Portail juridique

Contrôles d’accès et hygiène des données

Gestion de la sécurité et de l’accès des utilisateurs dans Zendesk Support (liens agrégés)

Rôles d’utilisateur dans Chat

Authentification des utilisateurs dans Chat

Accorder à Zendesk un accès temporaire à votre compte

Intégrations

API Zendesk

Applications de Zendesk Marketplace

Sous-traitants Zendesk

Sous-traitants Zendesk Connect

Partenaires Zendesk

Données, confidentialité, conformité et considérations réglementaires

Politiques portant sur les cookies au sein des produits Zendesk

Accord sur les services principaux

Protection des données et de la confidentialité Zendesk

Surveillance

Journal des audits des modifications des instances Support (Interface / API)

API Journal des audits des événements des tickets Support

Tableaux de bord Chat

Interface de l’historique des chats

API Exportations incrémentales et API en temps réel Chat

Tableau de bord Talk

API incrémentales Talk

API Objets personnalisés, événements et profils Sunshine

API en temps réel Sell/Firehose API

 

Si vous avez d’autres questions, contactez-nous en envoyant un message à security@zendesk.com  

VIII. Journal des modifications
16 juin 2023

1. Ajout d’un journal des modifications
2. Ajout à la Section V - Maintenance
3. Clarification des détails des incidents causés par l’utilisation d’identifiants faibles ou exploitables utilisés par les Abonnés et/ou leurs utilisateurs finaux comme relevant de la responsabilité de l’Abonné dans la section VI - Incidents de sécurité.