Produits Zendesk Suite - Guide des contrôles et recommandations

Cet article fournit une référence de base pour chaque produit afin de vous aider à sécuriser et à gérer votre instance Zendesk Suite. Zendesk vous conseille vivement d’implémenter ces contrôles et ces recommandations dès l’adoption et de vérifier régulièrement vos paramètres et les meilleures pratiques de votre entreprise pour vous assurer qu’ils sont appropriés pour votre cas d’utilisation et que vos employés les respectent. La formation de vos agents et de vos administrateurs pour qu’ils appliquent ces contrôles de sécurité vous aidera à minimiser votre exposition aux risques, conformément à notre modèle de responsabilité partagée.

Pour un aperçu global de nos pratiques de sécurité recommandées, consultez le document Meilleures pratiques de sécurité.

Cet article contient les sections suivantes sur les contrôles pour les produits Zendesk Suite :

Support
Guide
Chat
Talk
Explore
Messagerie

Meilleures pratiques de sécurité : Produits Zendesk Suite - Contrôles

Support

Configurations de mots de passe personnalisées. Personnalisez votre propre niveau de sécurité des mots de passe conformément à vos politiques internes. Zendesk permet de configurer les niveaux de sécurité suivants pour les mots de passe : Recommandé, Élevé, Moyen et Faible. Consultez Configuration du niveau de sécurité des mots de passe pour des instructions d’implémentation. Remarque – Quand l’authentification Zendesk est activée, vous pouvez définir des restrictions d’expiration des sessions/de délai d’inactivité et/ou d’expiration du mot de passe au niveau de l’agent/l’administrateur.
L’authentification à deux facteurs (A2F) implémente une deuxième couche de sécurité d’authentification. Disponible en mode natif au sein du produit via SMS ou à partir d’une application d’authentification à 2 facteurs installée sur l’appareil mobile de l’utilisateur, ou votre solution d’authentification à 2 facteurs si vous l’associez à la connexion unique dans votre environnement.
Connexion unique (SSO) (pour les comptes d’utilisateurs finaux professionnels ou de réseaux sociaux). Réduisez le nombre de surfaces d’attaque en demandant aux utilisateurs de se connecter une seule fois, avec un seul jeu d’identifiants.
Restriction des adresses IP. Limitez l’interface d’agent aux utilisateurs qui utilisent une plage spécifique d’adresses IP approuvées uniquement.
Accès sécurisé aux pièces jointes. Exigez que les utilisateurs se connectent à leur compte pour accéder aux pièces jointes en activant les pièces jointes privées.
Identification des logiciels malveillants. Les administrateurs devraient suivre les directives de leur entreprise sur la façon de gérer les pièces jointes signalées par notre solution d’identification des logiciels malveillants.
E-mail
- - Désactivez le contenu riche dans les e-mails (c’est-à-dire le contenu HTML/qui n’est pas en texte brut).
  - Supprimez les e-mails du service d’assistance inutilisés.
  - Désactivez les adresses e-mail avec caractères génériques quand vous n’en avez pas besoin.
  - Activez l’authentification des e-mails avec SPF, DKIM et DMARC pour réduire les e-mails frauduleux et la compromission des e-mails professionnels.
  - Utilisez DKIM pour les e-mails sortants afin de vérifier leur origine (p. ex., ils proviennent de votre organisation).
Suivi des appareils. Gérez les appareils des utilisateurs et supprimez ceux qui ne sont plus utilisés (avec des droits d’agent/d’administrateur).
Sandbox. Nous vous conseillons d’utiliser un environnement de sandbox pour tester et lancer votre code avant de l’utiliser dans votre environnement de production. Disponible avec les éditions Enterprise uniquement.
Application Support mobile. Décidez si vous voulez accorder l’accès à vos agents via l’application Support mobile, et sinon, supprimez l’accès à l’application dans le Centre d’administration sous Plus de paramètres de sécurité. Notez que l’accès par mot de passe à l’API doit être autorisé pour que les applications mobiles fonctionnent.
Gestion des journaux.
- - Journaux des audits. Gérez vos journaux des audits pour suivre les modifications de votre compte. Exportez les rapports via l’API ou au format CSV. Disponible avec les éditions Enterprise uniquement.
  - Journaux des événements/interactions avec les tickets. Consultez toutes les actions et notifications qui ont eu lieu dans votre compte.
  - Journaux d’intégration. Suivez la synchronisation des données entre votre instance Support et votre intégration en utilisant cet outil dans le Centre d’administration.
Vérification des utilisateurs finaux. Exigez que les utilisateurs finaux s’inscrivent et vérifient leur adresse e-mail.
Moindre privilège. Limitez l’accès des utilisateurs pour vous assurer qu’ils n’ont accès qu’aux produits dont ils ont besoin pour réaliser des tâches spécifiques. En savoir plus au sujet des rôles d’utilisateur Support.
Rôles personnalisés. Déléguez l’accès par rôle/description de poste. Disponible avec les éditions Enterprise uniquement.
Liste autorisée. Définissez qui a accès à votre instance pour réduire l’exposition des données sensibles et les accès non autorisés au système.
Liste bloquée. Suspendez, refusez ou empêchez les utilisateurs d’accéder à votre instance, si ou quand vous pensez qu’ils représentent une menace pour votre sécurité.
Suppression de comptes/d’utilisateurs. Passez régulièrement en revue les utilisateurs de votre compte et suspendez/rétrogradez les utilisateurs qui n’ont plus besoin d’accéder à votre système.
Rôles personnalisés. Déléguez l’accès par rôle/description de poste. Disponible avec les éditions Enterprise uniquement.
Liste bloquée pour les CC et abonnés. Empêchez que d’autres personnes soient ajoutées aux tickets et notifiées des conversations avec les clients pour limiter l’accès aux informations client sensibles et le risque d’une violation de données.
Limitation de la durée des sessions inactives pour les membres de l’équipe et les utilisateurs finaux. Aide à limiter la période pendant laquelle peut être utilisée une session avant que l’utilisateur ne doive s’identifier à nouveau afin de réduire les accès non autorisés aux systèmes et aux données.
Désactivez les méthodes de connexion via réseaux sociaux inutiles pour les utilisateurs finaux.
Désactivez la possibilité pour les administrateurs de définir les mots de passe pour le compte des utilisateurs. Appliquez le principe du moindre privilège et supprimez la possibilité de définir un mot de passe sans qu’un utilisateur applique l’authentification à deux facteurs et vérifie son adresse e-mail via le processus de réinitialisation du mot de passe normal. Consultez ce document pour en savoir plus sur la configuration des niveaux de sécurité des mots de passe.
Webhooks. Utilisez TLS/HTTPS pour vous connecter de façon sécurisé à des points de terminaison tiers c omme des applic ations ou des sites Web.
Accès API
- - Désactivez l’accès par mot de passe à votre API pour limiter l’exposition des informations protégées.
  - Tokens API. Demandez à votre administrateur de configurer l’accès au moindre privilège pour réduire le nombre de personnes qui ont accès à votre API et aux données client sensibles (comme les ICP). Consultez Configuration de la sécurité exigée pour les comptes HIPAA ou HDS dans Zendesk pour des informations connexes portant sur la gestion des tokens API.
Clients OAuth. Sécurisez l’accès à votre API (et aux données connexes) Choisissez le bon type de workflow pour votre cas d’utilisation et, dans la mesure du possible, préférez l’octroi de code d’autorisation ou l’octroi implicite, plutôt que l’octroi de mot de passe. Consultez OWASP pour une liste détaillée des meilleures pratiques du secteur.

Guide

Modération du contenu. Passez le contenu Guide en revue pour vous assurer que personne ne publie du SPAM dans votre centre d’aide.
API. Désactivez l’accès par mot de passe à votre API pour limiter l’exposition des informations sensibles.
Tokens API. Demandez à votre administrateur de configurer l’accès au moindre privilège pour réduire le nombre de personnes qui ont accès à votre API et les risques de compromission des données.
Restriction de l’accès au centre d’aide. Appliquez des restrictions d’adresses IP pour limiter l’accès des utilisateurs en vous appuyant sur l’authentification et la segmentation.
Journaux des événements/interactions avec les articles. Consultez toutes les actions effectuées par les agents pour un article afin de vérifier le respect des meilleures pratiques de l’entreprise.
Pseudo/Nom d’affichage des agents. Permettez aux agents de personnaliser leurs signatures, ce qui favorise la confiance entre eux et les clients, tout en accroissant la sécurité en ligne des agents.
Contenu non sécurisé. Empêchez l’affichage du contenu non sécurisé dans votre centre d’aide.

Chat

API Chat. Demandez à votre administrateur de configurer l’accès au moindre privilège pour réduire le nombre de personnes qui ont accès aux données sensibles. Prenez en compte ces restrictions.
Liste autorisée pour les pièces jointes natives. Limitez le partage de fichiers aux extensions nécessaires à des tâches spécifiques.
Contrôle d’accès via Support. Appliquez des configurations de sécurité en cascade dans tous les produits (éditions Suite uniquement).
Authentification des visiteurs. Activez l’authentification des visiteurs par token ou secret partagé pour vous assurer que seuls les utilisateurs autorisés bénéficient de l’accès.
Contrôles d’authentification. Envoyez des pièces jointes privées avec les contrôles d’authentification (espace de travail d’agent uniquement).
Restriction du Widget Chat par lieu (pays ou domaine, par exemple) pour réduire votre exposition aux mauvais acteurs ou aux acteurs malveillants des États-nations.
Rôles personnalisés. Déléguez l’accès à Chat par rôle/description de poste. Disponible avec les éditions Enterprise uniquement.

Talk

Enregistrement des appels. Acceptez ou refusez l’enregistrement des appels en fonction du numéro, de l’appelant ou de l’utilisateur final.
Suppression des enregistrements. Activez la suppression automatique des enregistrements Talk.
Fonctionnalité de suppression des enregistrements de l’API Talk. Utilisez cette fonctionnalité de point de terminaison pour automatiquement supprimer les enregistrements des tickets, dans les cas applicables. Vous pouvez aussi appliquer une suppression manuelle pour l’obligation de suppression, le droit à l’oubli et les exigences de confidentialité et de conformité du secteur. Remarque – La suppression automatique d’information est une fonctionnalité indépendante qui ne peut pas actuellement être utilisée pour supprimer les informations de carte de crédit des transcriptions des messages vocaux.

Explore

Gestion des permissions Explore. Activez l’accès à Explore en fonction du principe du moindre accès (avec l’accès Administrateur).
Configuration des permissions pour les jeux de données. Configurez les permissions pour les jeux de données en utilisant le principe du moindre accès (avec l’accès Administrateur).

Messagerie (native)

Authentification des utilisateurs finaux. Activez l’authentification des utilisateurs finaux pour le Web Widget et les Mobile SDK.
Liste autorisée. Autorisez le chargement du Web Widget pour des domaines spécifiques uniquement.