Zendesk fournit une gamme d’options de sécurité que vous pouvez utiliser pour garantir la protection des informations privées. Cet article présente les meilleures pratiques de sécurité pour vous aider à vous lancer. Nous vous conseillons vivement de former vos agents et administrateurs et de les encourager à suivre les meilleures pratiques afin de garantir un environnement sécurisé.
Consultez le Zendesk Suite Actionable Security Guide pour une liste détaillée des meilleures pratiques de sécurité que nous vous conseillons de mettre en œuvre dans votre instance.
- Renforcez la sécurité des mots de passe pour vos agents
- Ne divulguez jamais les noms d’utilisateur, les adresses e-mail ou les mots de passe
- Limitez le nombre d’agents avec accès administrateur
- Authentifiez à distance les utilisateurs en connexion unique
- Surveillez les journaux des audits des comptes
- Limitez l’accès ou suivez des pratiques de programmation sécurisées si vous utilisez l’API REST
Si vous avez des questions sur la sécurité de votre instance Zendesk, contactez Zendesk directement. Si vous constatez (ou suspectez) une infraction à la sécurité, envoyez un ticket avec le sujet « Sécurité » et avec une description détaillée. Vous pouvez aussi envoyer un message à security@zendesk.com.
Renforcez la sécurité des mots de passe pour vos agents
Zendesk fournit trois niveaux de sécurité pour les mots de passe : faible, moyen, élevé. Vous pouvez aussi spécifier un niveau de sécurité personnalisé. Un administrateur peut définir un niveau de sécurité des mots des mots de passe pour les utilisateurs finaux et un autre pour les agents et les administrateurs.
Renforcez la sécurité des mots de passe des agents pour éviter que des utilisateurs non autorisés les devinent et accèdent au système. Vous devez également exiger des administrateurs et des agents qu’ils choisissent un mot de passe unique pour leur compte Zendesk et évitent de réutiliser ces mots de passe pour des systèmes externes.
Encouragez les agents à surveiller leur propre compte. Zendesk envoie aux agents une notification par e-mail lorsque leur mot de passe a été modifié. De plus, les agents peuvent facilement surveiller leur compte en activant les alertes par e-mail pour les connexions à partir de nouveaux appareils. Si vous voyez une nouvelle connexion à partir d’un appareil suspect, retirez l’appareil en question pour fermer la session de l’utilisateur, puis choisissez un nouveau mot de passe.
Exigez l’authentification à deux facteurs pour les agents et les administrateurs afin d’ajouter une couche de sécurité supplémentaire. Nous vous conseillons d’envoyer un message contenant le lien pour l’article expliquant l’utilisation de l’authentification à deux facteurs à votre équipe d’assistance.
Ne divulguez jamais les noms d’utilisateur, les adresses e-mail ou les mots de passe
Les agents et les administrateurs Zendesk ne doivent jamais communiquer leur nom d’utilisateur, leur adresse e-mail ou leur mot de passe.
Si vous utilisez le système standard d’authentification, l’utilisateur dispose d’une seule solution sécurisée pour changer son mot de passe : cliquer sur le lien Mot de passe oublié de l’écran de connexion Zendesk. En réponse, le système demande à l’utilisateur d’entrer une adresse e-mail valide et active (déjà vérifiée comme appartenant à un utilisateur légitime de votre compte). Une fois cette adresse envoyée, l’utilisateur reçoit alors un e-mail contenant un lien de réinitialisation du mot de passe.
Si vous avez mis en place un service d’authentification avec connexion unique (SSO) tel qu’Active Directory, Open Directory, LDAP ou SAML, les changements de mot de passe peuvent être effectués selon une procédure similaire dans ce service.
Certains pirates/hackers n’hésitent pas à utiliser des techniques « d’ingénierie sociale » pour convaincre des utilisateurs de leur communiquer le mot de passe d’accès à certains comptes. Certains pirates/hackers utilisent des outils qui leur permettent d’imiter des adresses e-mail légitimes (associées à un domaine également légitime) et d’usurper ensuite l’identité d’un utilisateur. Autrement dit, certaines demandes par e-mail qui semblent légitimes peuvent fort bien ne pas provenir de l’adresse d’expédition mentionnée.
Si vous êtes contacté par une personne qui prétend être un administrateur ou un utilisateur, notez immédiatement son adresse IP (affichée dans la vue des événements du ticket) et essayez de vérifier son identité (par exemple, en l’appelant au numéro de téléphone qui figure dans « son » profil d’utilisateur). En cas de doute, vous ne devez JAMAIS communiquer d’informations sensibles ni modifier un compte en réponse à une demande de ce type. Les utilisateurs légitimes peuvent modifier les paramètres de leur propre compte.
Prévenez vos agents de ces types de risques de sécurité. De plus, créez une politique de sécurité que tout le monde connaît et qui peut servir de référence quand des incidents de ce genre surviennent.
Limitez le nombre d’agents avec accès administrateur
Les administrateurs sont autorisés à accéder à toutes les zones de votre compte Zendesk – ce qui n’est pas le cas des agents. Vous pouvez réduire les risques de sécurité en limitant le nombre d’agents qui bénéficient d’un accès administrateur. Avec le rôle d’agent standard, les agents disposent de tous les accès nécessaires pour gérer et résoudre les tickets.
Vous disposez de rôles d’agent spéciaux qui permettent d’accorder des permissions complémentaires à certains agents. Dans cette version, vous pouvez également définir des rôles d’agent personnalisés et désigner les zones de Zendesk auxquelles ces rôles donnent accès et que ces rôles peuvent gérer. Ces permissions sont limitées (par exemple, l’accès aux paramètres de sécurité est réservé exclusivement aux propriétaires de compte et aux administrateurs).
Si vous ne souhaitez pas que vos agents accèdent aux informations concernant les utilisateurs finaux, vous pouvez créer un rôle qui ne leur permet pas de modifier les profils des utilisateurs finaux ni de consulter la liste de tous vos utilisateurs finaux.
Authentifiez à distance les utilisateurs en connexion unique
Outre la méthode d’authentification des utilisateurs fournie par Zendesk, vous pouvez également utiliser la méthode de connexion unique, qui authentifie les utilisateurs extérieurs à Zendesk. Il existe deux options de connexion unique : connexion unique de réseau social et connexion unique d’entreprise.
La connexion unique de réseau social permet à vos clients de se connecter soit avec leur compte Zendesk, soit avec l’un de leurs comptes de réseaux sociaux, comme Google ou Microsoft. Ces options sont pratiques, mais nous vous conseillons de désactiver les connexion de réseaux sociaux inutiles.
La connexion unique d’entreprise contourne Zendesk et authentifie vos utilisateurs en externe. Quand un utilisateur navigue jusqu’à votre page de connexion Zendesk ou clique sur un lien pour accéder à votre compte Zendesk, il peut s’authentifier en se connectant à un serveur d’entreprise ou un fournisseur d’identité tiers, comme OneLogin ou Okta.
Quand vous fournissez la connexion unique d’entreprise ou de réseau social, nous vous conseillons d’utiliser l’authentification à deux facteurs (parfois appelée authentification multifacteur) que ces services fournissent. Cela ajoute une autre couche de protection en demandant une preuve d’identité supplémentaire. Si vous utilisez JWT ou SAML, vous devrez les configurer pour votre compte Zendesk. Pour la connexion unique de réseau social, c’est vos utilisateurs qui devront les configurer. Tous ces services fournissent la documentation nécessaire.
Les agents et les utilisateurs finaux peuvent avoir différentes façons de s’authentifier. Vous pouvez sécuriser Zendesk Support en créant une politique d’authentification plus stricte pour les agents, tout en fournissant un accès facile à vos clients et utilisateurs finaux.
Surveillez les journaux des audits des comptes
Le journal des audits suit les modifications importantes apportées à votre compte. Vous pouvez surveiller à l’aide du journal des audits plusieurs événements de sécurité, comme les suspensions d’utilisateurs, les modifications des règles applicables aux mots de passe, les exportations de données de clients, les modifications apportées à la définition des rôles personnalisés ainsi que d’autres événements.
Limitez l’accès ou suivez des pratiques de programmation sécurisées si vous utilisez l’API REST
Vous pouvez utiliser l’API REST Zendesk et le framework des applications Zendesk pour élargir les fonctionnalités de votre instance de Zendesk Support.
Si vous souhaitez élargir les fonctionnalités de votre instance Zendesk, nous vous conseillons fortement de suivre les meilleures pratiques de programmation sécurisées. Une bonne référence est l’Open Web Application Security Project (OWASP), que vous pouvez consulter ici.
0 Commentaires
Vous devez vous connecter pour laisser un commentaire.