MyQ X Security
MyQ X Security
Breadcrumbs

Sécurité des infrastructures

MyQ X offre une sécurité d'infrastructure robuste qui protège l'ensemble de l'environnement de gestion d'impression contre les cybermenaces en constante évolution. La plateforme intègre plusieurs niveaux de défense pour protéger les serveurs, les bases de données, les communications réseau et l'intégrité des logiciels, garantissant ainsi la fiabilité opérationnelle et la confidentialité des données.

Renforcement de la sécurité du Print Server

Les serveurs d'impression MyQ X sont renforcés à l'aide des meilleures pratiques en matière de configuration de sécurité définies dans les paramètres config.ini, notamment :

  • Restriction des services et des processus afin de limiter la surface d'attaque.

  • Activation de protocoles de communication sécurisés et désactivation des options héritées non sécurisées.

  • Attribution stricte des privilèges aux utilisateurs, en évitant les privilèges d'administrateur lorsqu'ils ne sont pas nécessaires.

  • Mises à jour automatiques régulières et correctifs de sécurité pour corriger les vulnérabilités nouvellement découvertes.

  • Configuration de règles de pare-feu et de restrictions de ports pour bloquer le trafic réseau non autorisé.

Ces mesures réduisent le risque d'exploitation et maintiennent la disponibilité du système même en cas d'attaque.

Chiffrement de la base de données (implémentation Firebird 4.0)

MyQ X utilise le moteur de base de données Firebird 4.0, qui offre des capacités de chiffrement avancées pour protéger les données sensibles au repos et pendant les opérations de sauvegarde. Les principales fonctionnalités de chiffrement sont les suivantes :

  • Chiffrement AES-256 des fichiers de base de données pour empêcher tout accès non autorisé aux données.

  • Stockage crypté des mots de passe et des clés dans le système de base de données.

  • L'obfuscation du contenu sensible de la base de données dans les journaux et les diagnostics.

Cela garantit la conformité aux réglementations en matière de protection des données et empêche la compromission de la comptabilité des travaux d'impression et des informations utilisateur.

Application de TLS 1.2/1.3 et gestion des certificats

Pour protéger les données en transit, MyQ X applique par défaut le protocole TLS 1.2 minimum, avec une mise à niveau optionnelle vers TLS 1.3 pour une sécurité et des performances accrues. La plateforme prend en charge des modes de gestion des certificats flexibles :

  • Génération automatique d'une autorité de certification (CA) racine privée qui signe les certificats serveur et client.

  • Intégration d'autorités de certification intermédiaires gérées par l'organisation, permettant des chaînes de confiance d'entreprise et un contrôle centralisé des certificats.

  • Prise en charge de l'installation manuelle de certificats, y compris les certificats d'autorité de certification tierce/publique.

Les certificats et les clés privées sont stockés de manière sécurisée avec une protection cryptée, et les clients reçoivent des certificats de confiance via la stratégie de groupe ou la gestion des appareils mobiles.

Sécurité des communications réseau

MyQ X sécurise tous les canaux de communication réseau en :

  • Bloquant tout le trafic HTTP non crypté, en imposant uniquement le protocole HTTPS.

  • Chiffrant le trafic SMTP, LDAP et RADIUS à l'aide du protocole TLS afin de protéger l'authentification et le flux de messagerie.

  • Désactivant les protocoles obsolètes et vulnérables tels que les remplacements POP3 et STARTTLS.

  • Utilisant SNMPv3 avec une authentification forte et des algorithmes cryptographiques pour surveiller et gérer les périphériques en toute sécurité.

Ces contrôles empêchent l'espionnage, l'usurpation d'identité et les attaques de type « man-in-the-middle » sur le réseau.

Configuration du pare-feu et gestion des ports

MyQ X réduit les surfaces d'attaque en :

  • Désactivant les règles de pare-feu pour les ports et protocoles réseau inutilisés.

  • Permettant un contrôle granulaire des ports exposés en fonction des politiques réseau de l'organisation.

Cela limite les points d'entrée à ceux qui sont essentiels pour les services d'impression, renforçant ainsi les défenses périmétriques.

Sécurité des API et jetons d'authentification

Les API appliquent plusieurs niveaux de sécurité :

  • Le cadre d'octroi de codes d'autorisation OAuth 2.0 sécurise l'accès aux API grâce à des jetons porteurs à courte durée de vie et à des restrictions de portée.

  • Les jetons sont validés par rapport aux adresses IP des clients et nécessitent des informations d'identification sécurisées.

  • Des rotations secrètes périodiques protègent contre les fuites d'informations d'identification.

Cela protège les points de terminaison API contre les demandes non autorisées et les abus.

Isolation des processus et sandboxing

Les applications de gestion d'impression MyQ X fonctionnent avec une isolation des processus afin d'empêcher les composants compromis d'affecter l'ensemble du système. Une machine virtuelle ou un bac à sable conteneurisé est utilisé lorsque cela est possible afin de contenir les failles de sécurité et de limiter les mouvements latéraux au sein de l'environnement.

Signature de code et vérification de l'intégrité

Tous les binaires et programmes d'installation du logiciel MyQ sont signés afin de garantir leur authenticité et leur intégrité. Cela permet de s'assurer que les clients installent des versions vérifiées du logiciel, exemptes de toute altération ou modification non autorisée.