Directives de sécurité améliorées pour les applications, intégrations et bots tiers

Date de l’annonce	Déploiement terminé
12 août 2025	12 août 2025

Zendesk a mis à jour les politiques qui guident le développement d’applications et intégrations publiques sur ses API, en s’appuyant sur la technologie moderne de sécurité des API et en appliquant des schémas sensibles et cohérents. Ces nouvelles politiques sont conçues pour donner la priorité à la sécurité et à la confidentialité des données, sans sacrifier la souplesse qu’attendent les développeurs.

Ces modifications sont conçues pour vous donner une plus grande confiance dans les applications et les intégrations créées sur la plateforme Zendesk. Cela améliorera votre visibilité sur qui accède à vos données et permettra à Zendesk de mieux protéger ces données des utilisations malveillantes.

Cette annonce couvre les sujets suivants :

Ce qui va changer
Pourquoi cette modification ?
Que dois-je faire ?
Qu’est-ce qui vous attend ?

Qu’est-ce qui va changer ?

Nos conditions générales pour les développeurs Zendesk et notre documentation pour les développeurs mises à jour fournissent tous les détails, mais vous trouverez les points principaux ci-dessous. Ces modifications ne s’appliquent pas aux clients qui développent des applications pour une utilisation interne, mais seulement aux entités qui développent des applications conçues pour être distribuées à plusieurs clients Zendesk, des développeurs d’applications tiers.

Exigence d’envoi de l’application
Toutes les applications et intégrations conçues pour être distribuées à plusieurs clients Zendesk doivent désormais être envoyées au site marchand pour vérification et approbation, pour examen et approbation, ce qui vous donne une assurance supplémentaire que les applications sont sûres et respectent les consignes de sécurité.

Jetons OAuth globaux
Les développeurs tiers doivent utiliser un client OAuth global pour authentifier les appels vers Zendesk. Vous n’avez pas le droit d’utiliser les identifiants d’un client (c’est-à-dire le jeton personnel d’un client) pour authentifier son application externe.

En-têtes de l’API
Chaque appel API effectué par le développeur d’une application doit inclure des en-têtes de demande identifiant sa source (ID de l’application, nom et ID de l’entreprise). Cela améliore la transparence, permet une visibilité accrue et aide à protéger contre les activités anormales ou malveillantes.

Nouvelles directives pour l’utilisation et le stockage
Les développeurs d’applications tiers devront se conformer aux règles de gestion des données client et veiller à ce qu’elles ne soient pas utilisées à mauvais escient ou exposées à des risques indus. Nous introduisons de nouvelles limites quant à la façon dont les développeurs peuvent utiliser les données client. Pour en savoir plus, consultez l’ annonce dans nos Mises à jour pour les développeurs.

Pourquoi cette modification ?

La sécurité de nos API et des applications et intégrations qu’elles utilisent est plus importante que jamais. Alors que les menaces comme l’exfiltration des données ne cessent d’augmenter, année après année, nos clients doivent avir la garantie que leurs données sont protégées. Il est essentiel de garantir que toutes les applications et intégrations du site marchand respectent les meilleures pratiques de sécurité, notamment l’authentification forte, le développement sécurisé et la protection des données, et qu’elles font l’objet d’un examen formel par Zendesk visant à maintenir cette confiance.

Nous en avons beaucoup parlé dans la publication de notre blog sur ce sujet.

Que dois-je faire ?

Si vous êtes un client Zendesk, vous n'avez rien à faire. Si vous avez créé des intégrations ou personnalisations privées dans votre propre compte, elles continueront de fonctionner comme prévu et les nouvelles règles ne s’appliqueront pas. À l’avenir, nous introduirons d’autres modifications qui affecteront également les développements privés et personnalisés.

Si vous utilisez une application ou une intégration du site marchand public ou si vous avez adopté un produit créé par un développeur tiers qui n’est pas conforme à nos nouvelles politiques d’authentification, vous devrez à nouveau autoriser votre intégration une fois que le développeur aura effectué les modifications appropriées. Si une intégration modifie les méthodes d’authentification pour se conformer aux nouvelles règles, vous devrez autoriser l’application à agir en votre nom à l’aide d’OAuth. Le développeur de l’intégration sera à même de vous fournir les meilleures informations.

Si vous êtes un développeur d’applications tiers, nous vous communiquerons des détails et des délais pour l’adoption des nouvelles normes.

Qu’est-ce qui vous attend ?

Zendesk continuera de moderniser et d'améliorer la sécurité de ses API et des applications/intégrations associées au fil du temps avec une meilleure observabilité et un meilleur contrôle du trafic provenant des applications/intégrations activées par votre compte. Nous lancerons un nouveau tableau de bord spécifiquement destiné à afficher les jetons d'accès OAuth globaux, ainsi que davantage d'améliorations de sécurité pour protéger votre compte contre tout accès non autorisé ou malveillant.