Un service client sécurisé

Zendesk et la sécurité

Plus de 140 000 clients confient leurs données à Zendesk et nous ne prenons pas cette responsabilité à la légère. Nous allions des fonctionnalités de sécurité de niveau entreprise et des audits complets de nos applications, systèmes et réseaux pour garantir que les données des clients et des entreprises soient toujours protégées. Nos clients ont l’esprit tranquille en sachant que leurs informations sont en sécurité, leurs interactions sécurisées et leurs entreprises protégées.

Consultez la fiche de données

Sécurité du centre de données et du réseau

Sécurité physique
Infrastructures Zendesk héberge les données de service dans des centres de données AWS qui ont été certifiés ISO 27001, PCI/DSS niveau fournisseur de services 1 et/ou SOC II.

Les services d’infrastructure AWS incluent une alimentation de secours, des systèmes HVAC et un équipement d'extinction d’incendies afin de protéger les serveurs et donc vos données.
Sécurité sur site La sécurité AWS sur site inclut diverses mesures de sécurité, notamment des gardes, des barrières, des caméras de sécurité et une technologie de détection des intrusions. En savoir plus au sujet de la sécurité AWS physique.
Surveillance Tous les systèmes, appareils réseau et circuits du réseau de production sont constamment surveillés et administrés par des logiciels gérés le personnel Zendesk. La sécurité physique, l’alimentation et la connectivité Internet sont surveillées par AWS.
Emplacement Zendesk exploite des centres de données AWS aux États-Unis, en Europe et dans la région Asie Pacifique. Les clients peuvent choisir de localiser leurs données de service aux États-Unis seulement ou en Europe seulement* (Zendesk Chat est limité à l’Europe actuellement). En savoir plus au sujet de nos politiques d’hébergement régionales des données.

*Uniquement disponible avec le module supplémentaire Emplacement du centre de données
Sécurité du réseau
Équipe de sécurité dédiée Notre équipe de sécurité, disséminée de par le monde, est de garde 24 / 7 pour répondre aux alertes et événements de sécurité.
Protection Notre réseau est protégé par l’utilisation de services de sécurité AWS clés, l’intégration de nos réseaux de protection en périphérie Cloudflare, des audits réguliers et des technologies d’information réseau qui surveillent/bloquent le trafic malveillant et les attaques contre le réseau.
Architecture Notre architecture de sécurité réseau se compose de plusieurs zones de sécurité. Les systèmes les plus critiques, comme les serveurs de bases de données, sont protégés dans nos zones les plus fiables. Les autres systèmes sont hébergés dans des zones correspondant à leur niveau de sensibilité, selon la fonction, la classification des informations et le risque. En fonction de la zone, une surveillance de la sécurité et des contrôles d’accès supplémentaires peuvent s’appliquer. Des zones démilitarisées (DMZ) sont utilisées entre nos réseaux et Internet, et en interne, entre les différentes zones de confiance.
Analyse de la vulnérabilité du réseau L’analyse de la sécurité du réseau nous permet d’identifier rapidement les systèmes non conformes ou potentiellement vulnérables.
Test de pénétration tiers En plus de notre vaste programme d’analyses et de tests internes, Zendesk demande chaque année à des experts en sécurité tiers d’effectuer un test de pénétration approfondi de l’ensemble du réseau de production Zendesk.
Gestion des incidents de sécurité (SIEM) Notre système de gestion des incidents de sécurité (SIEM) recueille les journaux de tous les principaux appareils réseau et systèmes hôtes. Ce système crée des déclencheurs qui informent l’équipe de sécurité en fonction d’événements corrélés afin de lui permettre d’enquêter et de prendre les mesures nécessaires.
Détection et prévention des intrusions Les points d’entrée et de sortie du service sont surveillés afin de détecter les comportements anormaux. Ces systèmes sont configurés pour générer des alertes quand les incidents et les valeurs dépassent des seuils prédéterminés et utilisent des signatures régulièrement mises à jour en fonction des nouvelles menaces. Cela inclut une surveillance des systèmes 24/7.
Programme d’informations sur les menaces Zendesk participe à plusieurs programmes de partage d’informations sur les menaces. Nous surveillons les menaces publiées dans ces réseaux de renseignements et prenons des mesures en fonction de notre risque et notre exposition.
Mitigation des attaques DDoS Zendesk utilise une approche multicouche pour contrecarrer les attaques DDoS. Un partenariat technologique avec Cloudflare fournit la défense en périphérie du réseau, et l’utilisation des outils AWS offre une protection encore plus solide, en plus de nos services AWS spécifiques aux risques DDoS.
Accès logique L’accès au réseau de production Zendesk est limité sur une base explicite du besoin de savoir, utilise le principe du moindre privilège, est fréquemment vérifié et contrôlé, et est surveillé par notre équipe des opérations. Les employés qui accèdent au réseau de production Zendesk sont tenus d’utiliser plusieurs facteurs d’authentification.
Réponse aux incidents de sécurité En cas d’alerte système, les événements sont transférés à notre équipe 24/7 qui couvre les opérations, l’ingénierie réseau et la sécurité. Les employés sont formés aux processus de réponse aux incidents de sécurité, notamment les canaux de communication et les protocoles de transfert.
Cryptage
Cryptage en transit Les communications entre vous et les serveurs Zendesk Support et Chat sont chiffrées par le biais des meilleures pratiques HTTPS et Transport Layer Security (TLS) sur les réseaux publics. TLS est également pris en charge pour le cryptage des e-mails.
Cryptage de données au repos Les clients Zendesk bénéficient de la protection du cryptage de données au repos. Les données de service sont cryptées au repos dans AWS à l’aide du cryptage par clés AES 256.
Disponibilité et continuité
Disponibilité Zendesk met à disposition du public une page Web portant sur l’état des systèmes, qui inclut les détails de disponibilité des systèmes, la maintenance programmée, l’historique des incidents de service et les événements de sécurité pertinents.
Redondance Zendesk utilise le regroupement des services et les redondances de réseaux pour éliminer les problèmes de point de défaillance unique. Notre routine de sauvegarde stricte et notre plan de reprise d’activité amélioré nous permettent de fournir un niveau élevé de disponibilité de service, car les données de service sont répliquées dans toutes les zones de disponibilité.
Plan de reprise d'activité Notre programme de reprise d’activité suite à une catastrophe garantit que nos services restent disponibles ou bénéficient d’une récupération facile en cas de catastrophe, grâce à un environnement technique solide, à la création de plans de reprise et à la réalisation de tests.
Plan de reprise d’activité amélioré Le package de plan de reprise d’activité amélioré ajoute des objectifs contractuels de délai de reprise et de point de reprise. Ils sont rendus possibles par notre capacité à hiérarchiser les opérations des clients bénéficiant du plan de reprise d’activité amélioré pendant toutes les catastrophes déclarées. * Uniquement disponible avec le module supplémentaire Sécurité avancée

Sécurité des applications

Développement sécurisé
Formation à la sécurité Au moins une fois par an, les ingénieurs participent à des formations au code sécurisé couvrant les 10 principaux risques de sécurité définis par OWASP, les vecteurs d’attaque courants et les contrôles de sécurité Zendesk.
Contrôles de sécurité du framework Ruby on Rails La plupart des produits Zendesk utilisent les contrôles de sécurité du framework Ruby on Rails pour limiter l’exposition aux 10 principaux risques de sécurité définis par OWASP. Cela réduit notre exposition au Cross Site Scripting (XSS), aux requêtes manipulées (CSRF) et aux injections SQL (SQLi), entre autres.
AQ Notre service d’AQ (Assurance Qualité) surveille et teste notre base de code. Des ingénieurs dédiés à la sécurité des applications identifient, testent et trient les vulnérabilités de sécurité dans le code.
Environnements indépendants Les environnements de test et de simulation sont séparés de l’environnement de production. Aucune donnée de service réelle n’est utilisée dans les environnements de développement ou de test.
Vulnérabilités de l’application
Analyse dynamique des vulnérabilités Nous utilisons des outils de sécurité tiers qualifiés pour fournir une analyse dynamique régulière de nos applications principales afin de détecter les 10 principaux risques de sécurité définis par OWASP. Nous avons une équipe interne dédiée à la sécurité des produits qui effectue des tests et collabore avec les équipes d’ingénierie pour remédier à tous les problèmes découverts.
Analyse du code statique Les référentiels de code source, tant pour notre plateforme que pour nos applications mobiles, sont analysés pour détecter tout problème de sécurité via nos outils d’analyse statique intégrés.
Tests de pénétration de sécurité En plus de notre vaste programme d’analyses et de tests internes, chaque trimestre, Zendesk demande à des experts en sécurité tiers d’effectuer des tests de pénétration détaillés de différentes applications de notre gamme de produits.
Programme de divulgation responsable/Bug Bounty Notre programme de divulgation responsable permet aux spécialistes de la sécurité et aux clients d’effectuer les tests nécessaires et de prévenir Zendesk en cas de vulnérabilités de sécurité grâce à notre partenariat avec HackerOne.

Fonctionnalités de sécurité des produits

Authentification sécurisée
Options d’authentification Nous proposons la connexion Zendesk pour les administrateurs et agents de Support. Pour Zendesk Support, vous pouvez aussi activer la connexion unique et l’authentification Google.

Nous proposons la connexion Zendesk pour les utilisateurs finaux de Support et Chat. Pour Zendesk Support, vous pouvez aussi activer la connexion unique et la connexion par le biais des réseaux sociaux (Facebook, Twitter, Google) pour l’authentification des utilisateurs finaux.
Connexion unique La connexion unique vous permet d’authentifier les utilisateurs dans vos propres systèmes sans les obliger à saisir des informations de connexion supplémentaires pour votre instance Zendesk Support. JWT (token Web JSON) et SAML (Security Assertion Markup Language) sont pris en charge. En savoir plus au sujet des paramètres de sécurité et de connexion.
Politique de mot de passe configurable Zendesk Support/Guide propose les niveaux de sécurité des mots de passe suivants : faible, moyen et élevé, ainsi que des règles de mot de passe personnalisées pour les agents et les administrateurs. Zendesk autorise la définition d’un niveau de sécurité des mots de passe pour les utilisateurs finaux et d’un autre pour les administrateurs et agents. Seuls les administrateurs peuvent modifier le niveau de sécurité des mots de passe.
Authentification à deux facteurs (2FA) Si vous utilisez la connexion Zendesk pour votre instance Zendesk Support, vous pouvez activer l’authentification à 2 facteurs (A2F) pour les agents et les administrateurs. Zendesk prend en charge les SMS et diverses applications d’authentification pour la génération des codes de sécurité. Vous pouvez aussi utiliser l’authentification à 2 facteurs dans votre propre environnement quand vous utilisez la connexion unique pour l’authentification Zendesk. L’authentification à 2 facteurs offre une autre couche de sécurité à votre compte Zendesk : il est quasiment impossible pour une autre personne de se connecter en se faisant passer pour vous. En savoir plus au sujet de l’authentification à 2 facteurs.
Stockage sécurisé des identifiants Zendesk suit les meilleures pratiques de stockage sécurisé des identifiants en ne stockant jamais les mots de passe dans un format lisible par l’homme, et seulement après un hachage unidirectionnel avec salage sécurisé.
Sécurité et authentification de l’API L’API Zendesk Support utilise TLS uniquement. Vous pouvez effectuer des autorisations pour l’API en utilisant l’authentification élémentaire avec votre nom d’utilisateur et votre mot de passe, ou utiliser un nom d’utilisateur avec un token API. L’authentification OAuth est également prise en charge. En savoir plus au sujet de la sécurité de l’API.
Fonctionnalités de sécurité supplémentaires des produits
Contrôles d’accès basés sur les rôles L’accès aux données des applications Zendesk est géré par le contrôle d’accès basé sur les rôles et peut être configuré de manière à définir des droits d’accès granulaires. Zendesk a différents niveaux d’autorisation pour les utilisateurs (propriétaire, administrateur, agent, utilisateur final, etc.). En savoir plus au sujet des rôles utilisateur Support et de l’accès et de la sécurité.
Restrictions IP Zendesk Support et Chat peuvent être configurés pour autoriser l’accès à partir de plages d’adresses IP spécifiques que vous définissez. Ces restrictions peuvent être appliquées à l’ensemble des utilisateurs ou seulement aux agents. En savoir plus au sujet de l’utilisation des restrictions IP.
Pièces jointes privées Dans Zendesk Support, vous pouvez configurer votre instance de façon à ce que les utilisateurs doivent se connecter pour consulter les pièces jointes aux tickets. Si cette option n’est pas configurée, les pièces jointes sont accessibles via un long ID de ticket de token aléatoire.
Sécurité des transmissions Toutes les communications avec l’interface utilisateur et les API Zendesk sont chiffrées avec la norme HTTPS/TLS sur les réseaux publics. Cela garantit que tout le trafic entre vous et Zendesk est sécurisé pendant le transit. De plus, pour le courrier électronique, par défaut notre produit prend en charge TLS, un protocole qui crypte et envoie les e-mails de façon sécurisée, en minimisant l’écoute entre les serveurs de messagerie quand les services pairs prennent ce protocole en charge.
Signature des e-mails (DKIM/DMARC) Zendesk Support prend en charge DKIM (Domain Keys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting & Conformance) pour la signature des e-mails Zendesk sortants, quand vous avez configuré un domaine de messagerie externe dans votre Zendesk. L’utilisation d’un service de messagerie qui prend en charge ces fonctionnalités vous permet d’empêcher l’usurpation d’adresses électroniques. En savoir plus sur la signature numérique des e-mails.
Suivi des appareils Pour une sécurité renforcée, votre instance Zendesk Support suit les appareils utilisés pour accéder à chaque compte d’utilisateur. Lorsque quelqu’un se connecte à un compte à partir d’un nouvel appareil, il est ajouté à la liste des appareils dans le profil de cet utilisateur. Cet utilisateur peut recevoir une notification par e-mail lorsqu’un nouvel appareil est ajouté et devrait prendre les mesures nécessaires si l’activité semble suspecte. Les sessions suspectes peuvent être interrompues à partir de l’interface d’agent.
Suppression des informations sensibles La suppression d’information pour Zendesk Support et Chat permet de biffer, ou supprimer, les données sensibles dans les commentaires des tickets, les champs personnalisés et les chats afin que vous puissiez protéger les informations confidentielles. Les données sont supprimées dans les tickets pour empêcher le stockage des données sensibles dans Zendesk. En savoir plus au sujet de la sécurité des données sensibles..

*Disponible pour les comptes Enterprise uniquement
Filtre anti-spam pour le Centre d’aide Zendesk Support propose un service de filtrage qui empêche la publication de contenu d'utilisateurs finaux identifié comme spam dans votre Centre d’aide ou votre portail. En savoir plus au sujet du filtrage du spam dans le Centre d’aide.

Certifications de conformité et affiliations

Conformité aux normes de sécurité
SOC 2 Type II Nous disposons d’un rapport SOC 2 Type II, disponible sur demande et sur signature d’un accord de non-divulgation. Pour en savoir plus, contactez security@zendesk.com.
ISO 27001:2013 Zendesk est certifié ISO 27001:2013. Vous pouvez télécharger le certificat ici
ISO 27018:2014 Zendesk est certifié ISO 27018:2014. Vous pouvez télécharger le certificat ici
Affiliations
Skyhigh Enterprise-Ready Zendesk a obtenu le sceau Skyhigh Enterprise-Ready™, la norme la plus élevée du programme CloudTrust™. Il est accordé aux services cloud se conformant aux exigences les plus strictes en matière de protection des données, de vérification d’identité, de sécurité des services, de pratiques professionnelles et de protection juridique.
Cloud Security Alliance Zendesk est membre de Cloud Security Alliance (CSA), un organisme à but non lucratif ayant pour mission la promotion des meilleures pratiques pour garantir la sécurité de l’informatique dans le cloud. CSA a lancé STAR (Security, Trust & Assurance Registry), un registre accessible au public, qui documente les contrôles de sécurité fournis par diverses offres d’informatique dans le cloud. Nous avons rempli le questionnaire Consensus Assessment Initiative (CAI), d’après les résultats de notre auto-évaluation en matière de diligence raisonnable.
Certifications de respect de la confidentialité
Certificats de respect de la confidentialité TRUSTe® Zendesk a démontré que ses programmes, politiques et pratiques de confidentialité sont conformes aux normes des boucliers de protection États-Unis-UE et États-Unis-Suisse. Ces entreprises participent au bouclier de protection des données personnelles et sont autocertifiées par le ministère américain du commerce à https://www.privacyshield.gov/list. TRUSTe vérifies la conformité au bouclier de protection des données personnelles conformément aux normes du principe supplémentaire sur la vérification dudit bouclier.
Conformité certifiée au bouclier de protection des données personnelles États-Unis-UE et États-Unis-Suisse Zendesk a été certifié conforme avec les boucliers de protection des données personnelles États-Unis-UE et États-Unis-Suisse auprès du ministère américain du commerce et a été ajouté à la liste des participants au bouclier de protection des données personnelles autocertifiés par le ministère du commerce. Nos certifications confirment que nous respectons les principes du bouclier de protection des données personnelles pour le transfert de données personnelles de l'Europe et de la Suisse vers les États-Unis.
Confidentialité En savoir plus au sujet de la confidentialité chez Zendesk.
Conformité aux normes du secteur
HIPAA Nous aidons nos clients à respecter leurs obligations HIPAA par le biais des options de configuration de la sécurité appropriées dans les produits Zendesk. Nous mettons notre contrat d’associé commercial (BAA) à disposition des abonnés souhaitant l’exécuter.

*Notre BAA est uniquement disponible avec l’achat du module supplémentaire Sécurité avancée et ne s’applique qu’à certains produits Zendesk (des règles de configuration spéciales s’appliquent).
Utilisation de Zendesk dans un environnement PCI Consultez notre livre blanc sur la conformité aux normes PCI ou apprenez-en plus au sujet de notre champ conforme aux normes PCI pour Zendesk Support.

**Compte Enterprise requis

Méthodologies de sécurité supplémentaires

Sensibilisation à la sécurité
Politiques Zendesk a mis au point un ensemble complet de politiques de sécurité couvrant une vaste gamme de sujets. Ces politiques sont partagées et mises à la disposition de tous les employés et prestataires ayant accès aux informations Zendesk.
Formation Tous les nouveaux employés suivent une formation de sensibilisation à la sécurité, qui a lieu au moment de l’embauche, et ensuite tous les ans. Tous les ingénieurs suivent une formation en programmation sécurisée tous les ans. L’équipe de sécurité fournit des mises à jour supplémentaires de sensibilisation à la sécurité par e-mail, dans le blog et dans des présentations lors d’événements internes.
Contrôle des employés
Vérification des antécédents Zendesk vérifie les antécédents de tous les nouveaux employés dans le respect des lois locales. Les prestataires doivent aussi réaliser ces vérifications. Ces vérifications portent sur le casier judiciaire, l’éducation et le parcours professionnel, et incluent les équipes de nettoyage.
Accords de confidentialité Tous les nouveaux employés sont contrôlés au cours du processus d’embauche et doivent signer des accords de non-divulgation et de confidentialité.

Téléchargez les ressources liées à la sécurité

Même nos ressources sont protégées. Pour obtenir l’accès, remplissez le formulaire ci-dessous.

Saisissez votre prénom
Saisissez votre nom
Saisissez une adresse e-mail valide.
Sélectionnez votre pays

Vous y êtes presque. Nous avons juste besoin de connaître vos fréquentations.

Saisissez le nom de votre entreprise
Sélectionnez le nombre d’employés
Sélectionnez le secteur
Envoyez-moi aussi de temps en temps des e-mails au sujet des produits et services Zendesk. (Vous pouvez vous désinscrire à tout moment.)
Sélectionnez une option

Votre demande a été envoyée.

L’un de nos représentants va vous contacter bientôt.

Désolés, un problème est survenu.

Rechargez la page et réessayez, ou envoyez-nous un message directement à support@zendesk.com.

Nous envoyons votre demande… veuillez patienter.

Si vous avez besoin d’accéder à notre rapport SOC 2 (sécurité, disponibilité et confidentialité), envoyez-nous un e-mail à security@zendesk.com.