MyQ X met en œuvre l'architecture Zero Trust comme approche de sécurité fondamentale qui élimine la confiance implicite et valide en permanence chaque transaction. Ce cadre complet garantit qu'aucun utilisateur, périphérique ou connexion réseau n'est considéré comme fiable par défaut, quel que soit son emplacement ou son statut d'authentification précédent.
Principes Zero Trust dans la gestion de l'impression
La mise en œuvre de Zero Trust par MyQ X repose sur le principe « ne jamais faire confiance, toujours vérifier » dans l'ensemble du système de gestion d'impression. Le système exige une vérification explicite pour chaque demande d'accès, garantissant ainsi que :
Canaux de communication cryptés : tout le trafic réseau utilise le cryptage TLS obligatoire avec la version 1.2 minimum, empêchant ainsi l'écoute clandestine et la falsification pendant la transmission des données. Les certificats HTTPS doivent être correctement configurés et validés afin d'empêcher les attaques de type « man-in-the-middle ».
Application de protocoles sécurisés : MyQ X bloque le trafic HTTP non crypté et applique des protocoles de sécurité rigoureux sur tous les canaux de communication, y compris les connexions SMTP, LDAP et SNMP. Les protocoles hérités tels que SNMPv1 sont interdits au profit de SNMPv3 avec authentification forte.
Contrôles de sécurité des API : l'accès à l'API REST nécessite des jetons d'authentification avec filtrage des adresses IP, garantissant que les appels API sont authentifiés et proviennent de sources fiables. Les secrets clients font l'objet d'une rotation périodique afin de maintenir l'intégrité de la sécurité.
Méthodologie « Ne jamais faire confiance, toujours vérifier »
La méthodologie Zero Trust imprègne tous les aspects des opérations MyQ X grâce à des mécanismes de vérification continue :
Vérification d'identité : chaque interaction utilisateur nécessite une authentification, quel que soit l'emplacement du réseau ou le statut de confiance du périphérique. Les utilisateurs doivent s'authentifier sur chaque périphérique d'impression, même s'ils se sont déjà connectés ailleurs dans l'organisation.
Authentification des périphériques : les périphériques d'impression eux-mêmes doivent s'authentifier avant d'accéder aux ressources du réseau, à l'aide d'identifiants et de certificats uniques empêchant l'usurpation d'identité non autorisée.
Gestion des sessions : les sessions utilisateur implémentent une fonctionnalité de déconnexion et de délai d'expiration automatique, garantissant que les sessions abandonnées ne peuvent pas être exploitées par des personnes non autorisées.
Segmentation et isolation du réseau
MyQ X met en œuvre une segmentation complète du réseau afin de limiter les surfaces d'attaque et de contenir les failles de sécurité potentielles :
Contrôles des limites du réseau : le système applique des règles de pare-feu strictes qui bloquent les ports inutilisés et limitent l'accès au réseau aux seuls canaux de communication nécessaires. Les configurations par défaut désactivent les services et protocoles inutiles.
Segmentation basée sur les certificats : MyQ X prend en charge trois modes de gestion des certificats (autorité de certification embarquée, autorité de certification d'entreprise et gestion manuelle des certificats), ce qui permet aux organisations de mettre en œuvre des limites de confiance appropriées en fonction de leurs politiques de sécurité.
Application des noms de domaine complets : toutes les communications réseau doivent utiliser des noms de domaine complets (FQDN) plutôt que des adresses IP ou des noms à étiquette unique, ce qui empêche les attaques de type « man-in-the-middle » basées sur le DNS et garantit une validation correcte des certificats.
Gestion des ports : le système gère automatiquement les règles de pare-feu et offre un contrôle explicite sur les ports réseau accessibles, réduisant ainsi la surface d'attaque grâce au blocage systématique des ports.
Authentification et vérification robustes
MyQ X maintient une validation de sécurité continue grâce à plusieurs couches d'authentification et à une surveillance en temps réel :
Authentification multi-méthodes : le système prend en charge diverses méthodes d'authentification, notamment LDAP, Microsoft Entra ID, RADIUS et l'authentification MyQ locale, avec des capacités de basculement automatique garantissant un contrôle d'accès continu.
Intégration du serveur d'authentification : l'intégration sécurisée avec des serveurs d'authentification externes utilise des connexions cryptées (TLS pour LDAP, protocoles sécurisés pour RADIUS) et applique des secrets partagés forts spécifiques à chaque déploiement MyQ.
Surveillance des connexions : la journalisation améliorée des événements d'authentification, en particulier des tentatives de connexion infructueuses, permet aux administrateurs de détecter les menaces potentielles pour la sécurité et d'y répondre. Les tentatives d'authentification infructueuses déclenchent des mécanismes de blocage automatiques. Par défaut, les périphériques sont bloqués pendant 5 minutes après plus de 5 tentatives invalides en 60 secondes.
Contrôles de persistance des sessions : le système met en œuvre des politiques de délai d'expiration des sessions configurables et une fonctionnalité de déconnexion automatique, garantissant que les sessions inactives ne peuvent pas être exploitées.
Vérification des périphériques et des terminaux
MyQ X applique des protocoles de vérification des périphériques stricts afin de garantir que seuls les terminaux autorisés peuvent accéder aux ressources d'impression :
Gestion des certificats des périphériques : tous les périphériques connectés doivent présenter des certificats valides pour communiquer sur le réseau. Le système gère un magasin de certificats complet avec une validation de chaîne appropriée et prend en charge le déploiement automatique des certificats via la stratégie de groupe ou la gestion des appareils mobiles (MDM).
Contrôles de sécurité des terminaux : les périphériques d'impression sont soumis à une validation de sécurité continue, notamment une authentification SNMP v3 avec des mots de passe forts et des algorithmes cryptographiques (SHA1 et AES). Les identifiants d'impression sont gérés via des protocoles de sécurité spécifiques aux fournisseurs avec des mots de passe forts générés de manière aléatoire.
Authentification des périphériques mobiles : MyQ X Mobile Client met en œuvre l'autorisation d'accès aux périphériques OAuth 2.0 pour une authentification sécurisée des périphériques mobiles, remplaçant les anciens systèmes basés sur des codes PIN par une sécurité moderne basée sur la biométrie.
Cadre de sécurité BYOD : le système prend en charge les environnements BYOD (Bring-Your-Own-Device) grâce à la propagation sécurisée des impressions via AirPrint et Mopria, en maintenant les principes de confiance zéro même dans les réseaux sans visibilité directe du Print Server.
Gestion des jetons d'accès : des jetons d'accès uniques sont émis pour chaque type de périphérique, la sécurité de la couche de transport (TLS) étant obligatoire pour toutes les communications. Le système met en œuvre des contrôles d'accès juste à temps (JIT) qui ajustent dynamiquement les privilèges en fonction du contexte et d'une évaluation continue des risques.
Cette mise en œuvre complète du principe « zero trust » garantit que MyQ X maintient les normes de sécurité les plus élevées tout en prenant en charge divers besoins organisationnels et scénarios de déploiement. L'architecture offre une protection approfondie qui s'adapte à l'évolution des menaces tout en maintenant l'efficacité opérationnelle et l'expérience utilisateur.