Temps de lecture : 7 minutes

Ce guide présente un aperçu des meilleures pratiques de sécurité qu’il est conseillé aux abonnés Zendesk Suite d’implémenter dans leur instance. Nous vous conseillons d’implémenter ces pratiques dès l’adoption de Zendesk Suite et de régulièrement vérifier vos paramètres et les meilleures pratiques de votre entreprise afin de vous assurer de leur pertinence et de leur respect par les employés.

Zendesk fournit une vaste gamme de contrôles conçus pour vous aider à assurer la sécurité de vos informations (et des informations de vos clients). Nous vous conseillons vivement de former vos agents et vos administrateurs pour qu’ils appliquent ces meilleures pratiques de sécurité et minimisent votre exposition aux risques, conformément à notre modèle de responsabilité partagée. Ce cadre décrit les responsabilités de chaque abonné Zendesk quant à la sécurité de son instance. Pour en savoir plus, consultez le modèle de responsabilité partagée de Zendesk.

 

Cet article contient les sections suivantes sur les meilleures pratiques pour Zendesk Suite :

  • Général
  • Contrôle d’accès
  • Accès aux systèmes, réseaux et domaines
  • Gestion des données
  • E-mail
  • API
  • Surveillance
  • Plan de reprise d’activité

 

Meilleures pratiques de sécurité pour Zendesk Suite

Général

  • Utilisez une sandbox pour les tests et le développement afin de ne pas compromettre votre instance de production.
  • Limitez l’utilisation de l’application mobile pour les utilisations et les workflows des agents.
  • Activez la modération du contenu dans votre centre d’aide Guide et dans les threads des forums pour éviter le spam ou le contenu indésirable dans votre communauté Gather.
  • Examinez toutes les fonctionnalités automatisées qui envoient des notifications et vérifiez qu’elles ciblent les utilisateurs prévus.

 

Contrôle d’accès

Général

  • Quand vous utilisez l’authentification Zendesk native :
    • Personnalisez le niveau de sécurité des mots de passe afin qu’il corresponde aux politiques internes de votre entreprise.
    • Configurez le délai d’expiration des sessions le plus court possible pour vos agents et vos administrateurs.
    • Désactivez les connexions via les réseaux sociaux inutiles pour les utilisateurs finaux.
  • Quand vous utilisez la connexion unique (SSO) :
    • Utilisez la connexion unique intégrée au produit ou la connexion unique d’entreprise existante pour gérer vos configurations de façon centralisée.
    • Couplez toute authentification multifacteur que vous utilisez avec votre connexion unique pour couvrir vos connexions Zendesk.
    • Si vous voulez toujours autoriser l’authentification par mot de passe via l’authentification Zendesk native car vous voulez assurer la disponibilité en cas de panne de la connexion unique, ne désactivez pas l’authentification par mot de passe.  Mais si vous ne voulez plus qu’il soit possible d’utiliser des mots de passe une fois la connexion unique configurée, désactivez l’authentification par mot de passe.  Notez que la désactivation de l’accès par mot de passe mettra fin à toutes les sessions ouvertes pour lesquelles l’authentification par mot de passe avait été utilisée.
  • N’activez pas l’accès au compte sans identifiants à moins d’avoir besoin qu’un employé Zendesk accède à votre compte (lors d’interactions avec l’assistance Zendesk, les services professionnels, etc.).

Utilisateurs

  • Passez en revue les appareils connectés associés à votre profil d’agent et supprimez ceux que vous n’utilisez plus ou qui vous semblent suspects. Notez que seuls les agents, les administrateurs et le propriétaire du compte ont accès à cette fonctionnalité.
  • Si vous créez une instance Zendesk fermée, exigez des utilisateurs finaux qu’ils s’inscrivent et vérifiez leurs adresses e-mail avant de les autoriser à envoyer des tickets afin de réduire tout spam potentiel.
  • Appliquez des rôles personnalisés pour vos agents afin de limiter l’accès en fonction de ce qui est nécessaire pour chaque poste.
  • Envisagez d’utiliser des segments d’utilisateurs et/ou des droits d’accès basés sur la marque pour l’utilisation de Guide.
  • Utilisez la liste autorisée pour définir des utilisateurs ou groupes d’utilisateurs spécifiques, qui ont accès à votre compte et/ou la possibilité d’envoyer des demandes/chats.
  • Suspendez des utilisateurs, refusez-les et/ou empêchez-les d’interagir avec les services Zendesk en utilisant la liste bloquée, si nécessaire.
  • Passez en revue les utilisateurs de votre compte et suspendez/rétrogradez les utilisateurs qui n’ont plus besoin d’accéder à votre système. 

Mots de passe

  • L’authentification à deux facteurs (A2F) est la norme conseillée pour les connexions des agents et des administrateurs à Zendesk.
  • Si différents groupes ont des besoins de sécurité différents, envisagez de configurer un niveau de sécurité des mots de passe personnalisé pour les utilisateurs finaux et un autre pour les agents et les administrateurs quand ils utilisent l’authentification Zendesk native.
  • Créez un mot de passe unique pour votre compte Zendesk (c’est-à-dire un mot de passe qui n’est pas actuellement utilisé pour la connexion aux systèmes ou applications externes).
  • Activez les alertes par e-mail pour les connexions à partir de nouveaux appareils pour permettre aux agents de surveiller leur compte et de repérer les connexions à partir d’appareils non autorisés. Consultez Vérification des appareils et applications ayant accédé à votre compte dans le Guide de l’agent Zendesk.

 

Accès aux systèmes, réseaux et domaines

  • Utilisez les espaces de travail contextuels pour optimiser vos workflows et n’afficher que les outils pertinents (p. ex., macros. applications, formulaires, etc.) et vous assurer que les agents n’ont accès qu’aux fonctions et workflows système dont ils ont besoin pour réaliser une tâche.
  • Restreignez l’accès en fonction des adresses IP pour les agents et/ou les utilisateurs finaux.
  • Suspendez des utilisateurs, refusez-les et/ou empêchez-les d’interagir avec les services Zendesk en utilisant la liste bloquée, si nécessaire.
  • Quand vous utilisez des URL non Zendesk, générez vos propres certificats SSL ou des certificats SSL fournis par Zendesk avec le mappage d’hôte et fournissez un accès sécurisé à votre centre d’aide.  Si vous fournissez votre propre certificat SSL, n’oubliez pas de le mettre à jour régulièrement.

 

Gestion des données

  • Utilisation des données 
    • Capturez uniquement les données nécessaires pour une certaine utilisation et minimisez ainsi l’exposition des données clients et/ou internes sensibles.
  • Suppression/Suppression d’information 
    • Consultez les guides sur la conformité aux lois sur la confidentialité et la protection des données pour prendre connaissance des conseils de suppression et suppression d’information, conformément aux réglementations sur la vie privée.
    • Envisagez de ne pas enregistrer les appels et/ou de supprimer automatiquement les enregistrements quand vous utilisez la fonctionnalité Talk, dans le cas où de tels enregistrements risqueraient de poser un problème de conformité aux réglementations du secteur ou à la législation. 
    • Activez la suppression automatique d’information pour protéger les données client sensibles dans les tickets et les chats. Remarque – Cette fonctionnalité utilise une vérification basée sur la formule de Luhn, qui supprime la plupart des chiffres d’un numéro de carte de crédit, mais pas tous.
    • Supprimez manuellement les informations de carte de crédit à partir de l’espace de travail d’agent Zendesk, quand les permissions vous y autorisent. Notez qu’après leur suppression, les données peuvent être conservées dans les journaux jusqu’à 30 jours. 
  • Conformité
    • Si votre utilisation implique des Informations médicales protégées (Protected Health Information ou PHI), passez un contrat d’associé commercial (Business Associate Agreement ou BAA) avec Zendesk et implémentez les configurations de sécurité requises pour la gestion des données des informations médicales personnelles (PHI) et des informations médicales personnelles électroniques (ePHI) dans le cadre de la loi américaine sur la portabilité et la responsabilité de l’assurance médicale (Health Insurance Portability and Accountability Act ou HIPAA), comme cela est nécessaire pour vous en tant que prestataire de soins de santé ou responsable de données de santé.
    • Si vous utilisez les numéros de carte de crédit à des fins d’identification, ajoutez un champ de carte de crédit à votre formulaire de ticket afin de respecter les exigences PCI DSS (Payment Card Industry Data Security Standard). Notez que ce champ ne stocke pas et ne présente pas la totalité du numéro de carte de crédit et ne peut pas être utilisé pour effectuer des paiements ou des transactions).
    • Pour ceux qui doivent se conformer aux normes PHI, ePHI, HIPAA et/ou PCI DSS : 
  • Confidentialité
    • Consultez la section Conformité aux lois sur la confidentialité et la protection des données du centre d’aide où vous trouverez des conseils sur la confidentialité pour chaque produit.
    • Accédez au Trust Center pour savoir comment notre programme de confidentialité mondial vous aide à rester en conformité, quel que soit l’endroit où que vous vous trouviez ou les entités avec qui vous faites affaire.

 

E-mail

  • Appliquez l’archivage des e-mails quand votre activité nécessite que vous conserviez des archives des communications avec les clients hors des services Zendesk à des fins réglementaires ou légales.
  • Désactivez l’acheminement e-mail Chat sauf si vous en avez besoin quand vous utilisez Chat.
  • N’utilisez le contenu riche dans les e-mails entrants que quand cela est nécessaire pour votre workflow.
  • Activez l’authentification des e-mails avec SPF, DKIM et DMARC pour réduire les e-mails frauduleux et le spam que reçoit votre compte.
  • Ajoutez une signature digitale aux e-mails sortants de Zendesk pour confirmer qu’ils proviennent bien de votre organisation.
  • Utilisez des réponses par e-mail personnalisé et les pseudos des agents pour offrir un certain degré de transparence aux utilisateurs finaux qui communiquent avec les agents via les tickets.
  • Supprimez les e-mails du service d’assistance inutilisés ou inutiles pour minimiser les risques d’utilisation frauduleuse.

 

API

  • Utilisez des tokens plutôt que des mots de passe pour empêcher tout accès par mot de passe non autorisé à l’API. 
  • Déployez OAuth pour authentifier et limiter le niveau d’accès accordé aux tokens dans l’API. Désactivez-le s’il n’est pas nécessaire.
  • Protégez lestokens API en les plaçant dans un lieu sûr, hors de l’application. Dans la mesure du possible, nous recommandons des tokens OAuth plutôt que des tokens API.

 

Surveillance

  • Consultez et surveillez régulièrement les journaux des audits du compte qui montrent les modifications de votre compte. Conseil utile : vous pouvez utiliser votre API pour exporter les journaux des audits.

 

Plan de reprise d’activité

Zendesk fournit un programme mondial de résilience commerciale de Zendesk afin de garantir que nous puissions rapidement nous adapter et réagir aux perturbations commerciales, protéger les personnes et les biens, tout en assurant la continuité des opérations commerciales. En plus de cela, il existe différentes mesures que vous pouvez prendre pour protéger la continuité de vos opérations.

  • Choisissez le plan de reprise d’activité amélioré pour une redondance de la sécurité, incluant la réplication des données en temps réel, la priorité de service, la redondance des zones de disponibilité et la planification de la reprise prioritaire.
  • Si vous utilisez la fonctionnalité de Centre d’appels, activez un numéro de basculement Talk afin de pouvoir assurer la continuité de vos opérations.
  • Si vous voulez bénéficier de l’accès par mot de passe en cas de pannes des systèmes de connexion unique externes, envisagez de ne pas désactiver l’authentification Zendesk native (vous pouvez configurer la connexion unique de façon stricte ou autoriser l’utilisation d’un mot de passe).
  • Appliquez une API d’exportation incrémentale et/ou des téléchargements en masse de vos données de service si vous avez besoin de conserver des entrepôts de données non modifiables dans votre propre environnement.
  • Activez le transfert d’e-mails automatique de votre adresse e-mail tierce personnelle vers Zendesk Support pour conserver une copie de vos e-mails hors de Zendesk.
  • Choisissez le plan de reprise d’activité amélioré pour une redondance de la sécurité, incluant la réplication des données en temps réel, la priorité de service, la redondance des zones de disponibilité et la planification de la reprise prioritaire.
  • Utilisez l’API d’exportation incrémentale pour récupérer des éléments Zendesk Support qui ont changé depuis la dernière demande d’appel API. Consultez API - Référence pour en savoir plus.


Si vous suspectez qu’un incident de sécurité dans votre instance Zendesk est directement dû à notre service, envoyez un ticket à security@zendesk.com. Pour mieux comprendre quand contacter Zendesk au sujet des responsabilités liées à la sécurité, consultez le modèle de responsabilité partagée.

Réalisé par Zendesk