Sécurité et conformité de Zendesk : un guide complet pour 2026

Lorsque vous traitez des conversations sensibles avec les clients, la sécurité n’est pas qu’une simple case à cocher. C’est le fondement de la confiance entre vous et vos clients. Une seule violation de données peut anéantir des années de relations.

Il est important de choisir une plateforme de service client dotée de fonctionnalités de sécurité et de conformité robustes. Zendesk s’est positionné comme une solution de niveau entreprise, mais qu’est-ce que cela signifie réellement pour votre posture de sécurité ? Examinons ce que Zendesk offre, ses points forts et ce que vous devez savoir avant de prendre une décision.

Quelle est l’approche de Zendesk en matière de sécurité ?

Zendesk fonctionne selon un modèle de responsabilité partagée. L’entreprise gère la sécurité de la plateforme, la protection de l’infrastructure et les certifications de conformité. Vous gérez l’accès des utilisateurs, la classification des données et la configuration des paramètres de sécurité dans votre compte.

Cette répartition du travail est courante dans le modèle SaaS (Software as a Service), mais Zendesk a beaucoup investi pour obtenir une validation par des tiers. Son Centre de confiance sert de plaque tournante centrale pour la documentation sur la sécurité, les certifications et les ressources de conformité. Plus de 110 000 entreprises utilisent Zendesk, y compris des organisations Fortune 100 et Fortune 500, ce qui lui confère une validation concrète à grande échelle.

L’entreprise met l’accent sur la « protection de la vie privée dès la conception », ce qui signifie que les considérations de sécurité sont intégrées aux fonctionnalités dès le départ plutôt que d’être ajoutées après coup. Cela se traduit par ses paramètres de chiffrement par défaut, ses contrôles d’accès et ses pratiques de traitement des données.

Certifications de sécurité et cadres de conformité de Zendesk

Zendesk possède l’un des portefeuilles de certifications les plus complets du secteur du service client. Voici ce que l’entreprise a accompli :

Principales certifications de sécurité

Source : Centre de confiance de Zendesk

Conformité régionale et sectorielle

Au-delà des certifications de sécurité, Zendesk prend en charge les principaux cadres réglementaires :

• HIPAA (Health Insurance Portability and Accountability Act) : Disponible par le biais d’un accord de partenariat commercial pour les organismes de santé
• PCI-DSS (Payment Card Industry Data Security Standard) : Protection des données de carte de crédit grâce à des outils de caviardage automatique
• RGPD (Règlement général sur la protection des données) : Règles d’entreprise contraignantes approuvées (Zendesk a été la deuxième entreprise à être approuvée par le commissaire irlandais à la protection des données)
• CCPA/CPRA (California Consumer Privacy Act/California Privacy Rights Act) : Conformité à la loi californienne sur la protection de la vie privée
• HDS (Hébergement de Données de Santé) : Certification française d’hébergement de données de santé
• Lois régionales : Loi australienne sur la protection de la vie privée, LGPD brésilienne, LPRPDE canadienne, PDPA singapourienne, RGPD britannique

Cette ampleur est importante si vous exercez vos activités dans plusieurs territoires. Vous n’aurez pas besoin de plateformes distinctes pour différentes régions.

Fonctionnalités de protection des données et de chiffrement de Zendesk

Sécurité standard (incluse dans tous les forfaits)

Chaque forfait Zendesk comprend des mesures de sécurité fondamentales :

• Chiffrement au repos : Chiffrement AES-256 via l’infrastructure AWS
• Chiffrement en transit : TLS 1.2+ pour toutes les communications
• Contrôle d’accès basé sur les rôles : Autorisations granulaires pour différents types d’utilisateurs
• Authentification à deux facteurs : Prise en charge des applications SMS ou d’authentification
• Authentification unique : Intégration SAML et OIDC
• Restrictions IP : Limiter l’accès à des plages d’adresses spécifiques
• Politiques de mot de passe configurables : Niveaux de sécurité faibles, moyens ou élevés

Module complémentaire Advanced Data Privacy and Protection (ADPP)

Pour les organisations ayant des exigences plus strictes, Zendesk offre le module complémentaire ADPP au prix de 50 $ par agent et par mois (facturé annuellement). Cela déverrouille :

• Chiffrement BYOK (Bring Your Own Key) : Apportez votre propre clé via AWS KMS, Azure Key Vault ou Google Cloud
• Journaux d’accès : Suivez qui a consulté quelles données, quand et d’où (conservation de 90 jours)
• Conservation avancée des données : Politiques personnalisées avec calendriers de suppression conditionnels
• Caviardage alimenté par l’IA : Détection et suggestions automatiques pour la suppression des informations personnelles identifiables (IPI)
• Masquage des données : Contrôles de visibilité basés sur les rôles pour les champs sensibles
• Caviardage automatique des cartes de crédit : Automatisation de la conformité PCI

Source : Tarification de Zendesk

Le module complémentaire ADPP vaut la peine d’être envisagé si vous traitez des renseignements personnels sensibles, si vous exercez vos activités dans des secteurs réglementés ou si vous avez besoin de pistes d’audit pour la production de rapports de conformité. Apprenez-en davantage sur les fonctionnalités de protection des données et de la vie privée de Zendesk.

Conformité de Zendesk à la loi HIPAA pour le secteur de la santé

Les organismes de santé ont des exigences spécifiques en vertu de la loi HIPAA. Zendesk les prend en charge grâce à son module complémentaire Advanced Compliance, disponible avec les forfaits Professional et Enterprise.

Exigences pour les comptes compatibles avec la loi HIPAA

1. Exigence de forfait : Suite Professional ou Enterprise (ou module complémentaire Advanced Compliance)
2. Accord de partenariat commercial : Exécuter l’accord de partenariat commercial via DocuSign à l’adresse zendesk.com/company/business-associate-agreement
3. Configurations de sécurité : Activer les paramètres recommandés pour la protection des renseignements personnels sur la santé (RPS)

Services couverts par l’accord de partenariat commercial

Ce qui n’est PAS couvert

• Programmes d’accès anticipé (PAA)
• Applications Marketplace créées par Zendesk
• Intégrations tierces
• Sunshine Conversations autonome

Source : Documentation sur la conformité avancée de Zendesk

Si vous travaillez dans le secteur de la santé, vérifiez que votre cas d’utilisation et vos intégrations spécifiques sont couverts par l’accord de partenariat commercial avant la mise en œuvre.

Gouvernance de l’IA et protection des données chez Zendesk

Zendesk a élaboré une approche globale de la sécurité de l’IA à mesure qu’elle élargit ses fonctionnalités de service client alimentées par l’IA. Son architecture multi-LLM utilise plusieurs fournisseurs (OpenAI, Microsoft Azure, Amazon Bedrock, Google Cloud Platform) pour éviter l’enfermement auprès d’un fournisseur et optimiser différents cas d’utilisation.

Principaux principes de protection des données de l’IA

• Aucune conservation des données : Les points de terminaison OpenAI n’utilisent aucune conservation
• Aucune formation sur les données des clients : Vos données ne sont jamais utilisées pour former des modèles LLM tiers
• Modèles spécifiques au compte : Modèles d’apprentissage automatique formés uniquement sur les données de votre compte
• Technique RAG (Retrieval Augmented Generation) : La génération augmentée de récupération garantit que les réponses de l’IA sont fondées sur le contenu de votre base de connaissances

Zendesk a obtenu la certification ISO 42001 pour les systèmes de gestion de l’IA, ce qui en fait l’un des premiers fournisseurs de CX à répondre à cette norme. Cette certification couvre ses pratiques en matière d’IA, de la conception et du développement au déploiement et à la surveillance.

Pratiques exemplaires de sécurité pour les administrateurs de Zendesk

D’après les recommandations de l’industrie et les propres directives de Zendesk, voici une approche progressive pour sécuriser votre environnement Zendesk :

Phase 1 : Évaluation des fondations (mois 1 à 2)

• Vérifier les rôles et les autorisations des utilisateurs actuels
• Cartographier les flux de données entre Zendesk et les systèmes intégrés
• Documenter toutes les applications et intégrations tierces
• Déterminer les lacunes en matière de conformité par rapport à vos exigences

Phase 2 : Renforcement de base (mois 2 à 4)

• Activer l’authentification multifactorielle pour tous les utilisateurs
• Configurer l’accès basé sur les rôles selon les principes du moindre privilège
• Mettre en place des restrictions IP, le cas échéant
• Mettre en œuvre des politiques de mot de passe sécurisées
• Activer la journalisation d’audit complète

Phase 3 : Conformité avancée (mois 4 à 8)

• Déployer une surveillance automatisée des changements de configuration
• Intégrer à votre système SIEM si vous en avez un
• Configurer des tableaux de bord de conformité en temps réel
• Établir des procédures d’intervention en cas d’incident

Phase 4 : Amélioration continue (mois 8 et suivants)

• Planifier des tests d’intrusion réguliers
• Effectuer une analyse trimestrielle des lacunes en matière de conformité
• Offrir une formation continue de sensibilisation à la sécurité
• Examiner et mettre à jour les politiques de sécurité

Les experts de l’industrie recommandent d’allouer de 15 % à 20 % de votre budget de plateforme spécifiquement à l’infrastructure de sécurité et à la gestion de la conformité.

Source : Pratiques exemplaires de sécurité d’Optegris

Comment eesel AI complète le cadre de sécurité de Zendesk

Chez eesel AI, nous avons bâti notre plateforme pour qu’elle fonctionne dans les cadres de sécurité que vous avez déjà mis en place. Lorsque vous invitez eesel AI dans votre équipe en tant que coéquipier IA pour le service client, vous bénéficiez de plusieurs avantages en matière de sécurité qui complètent les protections de Zendesk.

L’isolation des données est fondamentale dans notre approche. Vos données servent uniquement à vos robots et ne sont jamais utilisées pour former nos modèles ou partagées avec d’autres clients. Nous maintenons une infrastructure certifiée SOC 2 Type II et offrons la résidence des données dans l’UE pour les organisations ayant des exigences géographiques spécifiques.

Notre modèle de coéquipier signifie que vous gardez le contrôle sur ce qu’eesel AI gère et quand il passe à des humains. Vous définissez ces règles en langage clair, et non par des configurations complexes. Par exemple : « Toujours transmettre les litiges de facturation à un humain » ou « Pour les clients VIP, mettre le gestionnaire de compte en copie conforme ».

Contrairement à certaines solutions d’IA qui nécessitent un accès illimité à vos systèmes, eesel AI s’intègre à vos autorisations Zendesk existantes et respecte les limites de sécurité que vous avez déjà établies. Nous pouvons fonctionner en tant qu’agent IA traitant les tickets de manière autonome, en tant que copilote IA rédigeant des réponses à des fins d’examen ou en tant que système de tri IA acheminant et étiquetant les tickets, tout en maintenant votre posture de sécurité.

Pour les équipes qui évaluent les solutions d’IA, cela signifie que vous n’avez pas à choisir entre l’automatisation et la sécurité. Vous pouvez avoir les deux.

Choisir la bonne configuration de sécurité Zendesk

Vos besoins en matière de sécurité dépendent de votre secteur d’activité, de votre taille et de votre environnement réglementaire. Voici une ventilation pratique :

La sécurité standard de Zendesk est suffisante si :

• Vous êtes une petite ou moyenne entreprise sans exigences réglementaires strictes
• Vous avez besoin d’un chiffrement de base et de contrôles d’accès
• Les données de vos clients ne sont pas très sensibles

Envisagez le module complémentaire Advanced Compliance si :

• Vous travaillez dans le secteur de la santé et avez besoin de la conformité à la loi HIPAA
• Vous avez besoin d’un accord de partenariat commercial
• Vous avez besoin de configurations de sécurité spécifiques pour la conformité réglementaire

Envisagez le module complémentaire ADPP si :

• Vous traitez des quantités importantes d’IPI ou de données sensibles
• Vous avez besoin d’un chiffrement BYOK pour la conformité
• Vous avez besoin de pistes d’audit d’accès détaillées
• Vous exercez vos activités dans plusieurs territoires avec des lois sur la protection de la vie privée différentes

Considérations relatives au coût total

La facturation annuelle permet d’économiser environ 20 % par rapport à la tarification mensuelle.

Source : Tarification de Zendesk

Démarrer avec un service client sécurisé

Zendesk a mis en place une base de sécurité complète avec de nombreuses certifications et options de conformité. Pour la plupart des organisations, ses fonctionnalités de sécurité standard offrent une protection adéquate. Si vous travaillez dans des secteurs réglementés comme la santé ou la finance, les modules complémentaires Advanced Compliance et ADPP comblent d’importantes lacunes.

L’essentiel est d’adapter vos besoins réels à la bonne configuration. Ne payez pas pour une conformité de niveau entreprise si vous n’en avez pas besoin. Mais ne lésinez pas sur la sécurité si vous traitez des données sensibles de clients.

Si vous cherchez à ajouter des capacités d’IA à votre environnement Zendesk sécurisé, nous vous invitons à découvrir comment eesel AI fonctionne comme un coéquipier IA qui respecte vos limites de sécurité existantes. Vous pouvez essayer eesel AI gratuitement ou réserver une démonstration pour voir comment nous gérons la sécurité en parallèle de l’automatisation.