La sécurité dans notre ADN
Supervision de pair avec l’expérience
Nous parlons au sujet de la sécurité informatique sur notre blog Voir les articles
La sécurité en tant que pilier fondamental de la supervision
À la racine de Pandora FMS se trouvent les besoins spécifiques d’un environnement de sécurité bancaire qui ont marqué la conception et l’architecture de Pandora FMS. La sécurité a été toujours présente et nous pouvons affirmer que Pandora FMS peut s’adapter pour se conformer aux standards de sécurité exigeants tels que PCI/DSS ou ISO 27001.
La supervision est une technologie qui a besoin d’accès à tous les éléments de votre infrastructure informatique et c’est un aspect à tenir sur compte lors de l’implémentation d’un système de supervision.
%
Croient que le risque de subir une attaque cybernétique augmente
%
Sont inquiètes à propos de leurs données privées n’étant pas protégés par leurs fournisseurs
%
Sont inquiètes à propos du mauvais usage de leur données privées
%
Doutent que leurs données soient sécurisées dans leurs environnements
Source : *Eurobaromètre de la Commission Européenne : Attitudes des européens vers la sécurité sur Internet, mars de 2019
Trafic sécurisé
Système de double authentification
Système d’authentification délégué
ACL et profilage des utilisateurs
Système d’audit interne
Cession de données d’audit
Politique de mots de passe
Cryptage de données sensibles
Conteneurs d’identifiants
Haute disponibilité totale
Copie de sauvegarde intégrée
Système de blocage d’agents
Architecture sécurisé de communication
Installation sans root
Séparation physique des composants
Pare-feus
Supervision de zones restreintes
Éléments d’architecture sécurisée de Pandora FMS
Trafic sécurisé grâce au cryptage et certificats
Pandora FMS supporte à tous les niveaux (opération de l’utilisateur, communication entre composants, envoi de données depuis l’agent aux serveurs) le cryptage SSL/TLS et les certificats sur les deux extrêmes.
Système de double authentification
Nous utilisons un système fondé sur google authenticator qui permet de forcer son utilisation à tous les utilisateurs par politique de sécurité.
Système d’authentification délégué
Appliqué au niveau d’application pour authentifier contre LDAP, Active Directory ou SAML.
ACL et profilage des utilisateurs
Chaque permis au système est défini dans un bit de accès et ces permissions sont collectées sur des profils d’accès qui sont appliqués aux utilisateurs pour chaque ensemble d’actifs du système. Vous pouvez définir des exceptions et restreindre n’importe quel élément du système de manière personnalisée par le biais d’ACL étendues.
Système d’audit interne
Qui régistre tous les actions des utilisateurs, y compris les informations sur les champs modifiés ou éliminés.
Cession de données d’audit aux gestionnaires de journaux externes
Les journaux d’audit peuvent être exportés aux tiers pour plus de sécurité.
Politique de mots de passe
Cela permet de forcer une politique rigoureuse de gestion de mots de passe d’accès aux utilisateurs de l’application (console) : longueur minimale des mots de passe, type de mot de passe, leur réutilisation, obligation de les changer de temps en temps, etc.
Cryptage de données sensibles
Le système permet de garder de manière chiffrée et sécurisée les données les plus sensibles tels que les identifiants d’accès, les champs personnalisés des éléments de supervision, etc.
Conteneurs d’identifiants
Pour déléguer l’utilisation d’identifiants de l’administrateur à d’autres utilisateurs qui utilisent ces identifiants pour superviser des éléments sans afficher les mots de passe.
Haute disponibilité totale
Pour tous les éléments : base de données, serveurs, agents et console.
Copie de sauvegarde intégrée
La console elle-même dispose d’un système de copie de sauvegarde pour faciliter la récupération en cas de défaillance.
Système de blocage d’agents
Pour des environnements critiques de sécurité, où l’agent ne peut pas être géré à distance une fois configuré.
Architecture sécurisé de communication avec des agents
Les agents n’écoutent pas dans un port ni auront accès à distance depuis la console. Ils se connectent avec le système central pour demander des instructions. Toute la communication peut être chiffrée de bout en bout avec des certificats validés par une CA si nécessaire.
Installation sans root
Pandora FMS peut être installé dans des environnements avec des chemins personnalisés sans s’exécuter avec root. Dans quelques environnements bancaires, c’est une exigence à laquelle nous nous conformons.
Séparation physique des composants
Ceux qui offrent une interface à l’utilisateur et les conteneurs d’information (filesystem). Les données stockées dans la base de données ainsi que les filesystem qui stockent l’information de configuration de supervision peuvent être sur des machines physiques séparées, sur de différents réseaux et protégées à travers systèmes perimetrales indépendants.
Pare-feus
Les composants de Pandora FMS ont leur ports d’entrée et de sortie documentés, donc il est possible de sécuriser par le biais de pare-feu tous les accès vers et depuis leur composants. En outre, vous pouvez personnaliser leur utilisation.
Supervision de zones restreintes
De sorte que vous pouvez collecter données d’une réseau sans accès à l’extérieur, idéal pour des environnements très restrictifs.
Support 24/7 international directe
À l’autre bout du fil, vous trouverez un technicien de notre équipe d’ingénieurs avec de l’expérience, qui bénéficie du soutien du reste de l’équipe qui fait possible Pandora FMS, dès l’équipe de développement au équipe commercial qui gère votre compte.
Guide d’implantation d’environnements sécurisés
Nous disposons d’un petit guide d‘implantation dans des environnements sécurisés. Bien sûr, nous vous offrons aussi des services avancés de consultation pour vous aider si nécessaire.
Historique de vulnérabilités
Nous entretenons un registre à jour des vulnérabilités les plus rapportées de Pandora FMS. En outre, nous avons une politique publique de gestion des brèches de sécurité qui permet que n’importe quel investigateur de sécurité puisse nous informer de défaillances pour les corriger et notifier aux clients avant qu’ils deviennent publiques et puissent êtres utilisés par des tiers.
Code audit
Tout le code est public et accessible dans la version OpenSource, mais ça n’est pas récent, on le fait depuis l’année 2005. Le code de la version Enterprise peut être demandé sous des conditions très spécifiques (seulement pour les clients) de manière que vous pouvez l’auditer si nécessaire. Nous l’avons fait pour différents clients dans des environnements de sécurité national et aérospatial.
Certificats Pandora FMS
Pandora FMS -en tant qu’entreprise- est certifiée ISO/IEC 27001:2013 (ES-SI-0084/2020) et dans le Schéma National de Sécurité (ENS) dans sa catégorie de base.
Avez-vous des questions en matière de sécurité ?
Si vous avez des questions sur la sécurité de Pandora FMS, veuillez nous contacter.