Agents de scan
Les agents de scan Cert-IX sont des binaires légers et sécurisés que vous déployez sur votre réseau privé pour découvrir, inventorier et surveiller en continu les actifs internes. Ils communiquent avec la plateforme Cert-IX via un pipeline d'ingestion chiffré basé sur Kafka.
Pourquoi déployer des agents ?
L'analyse externe ne peut voir que ce qui est exposé à Internet. Pour obtenir une visibilité complète sur votre infrastructure privée, vous avez besoin d'agents fonctionnant à l'intérieur de votre réseau :
- Découverte d'actifs internes — Trouvez les serveurs, postes de travail et services invisibles depuis l'extérieur
- Télémétrie en temps réel — Collecte continue des processus, ports, logiciels et métriques système
- Analyse du réseau privé — Analyse de vulnérabilités des adresses RFC 1918 et des réseaux isolés
- Surveillance de la conformité — Benchmarks CIS, STIG, vérifications de durcissement PCI-DSS depuis l'intérieur
- Vérification zero-trust — Vérifiez la posture des appareils et la dérive de configuration en temps réel
Agents disponibles
| Agent | Objectif | Collecte |
|---|---|---|
| Bitcollector | Télémétrie des actifs | Processus, ports, inventaire logiciel, infos système, métriques, trafic réseau |
| Bitscanner | Intelligence de sécurité | Analyse de vulnérabilités hôte et réseau, détection CVE |
| Bitmapper | Topologie réseau | Capture de paquets, découverte de services, cartographie réseau |
| Bitenforcer | Application de la conformité | Automatisation du durcissement CIS, STIG, PCI-DSS et détection de dérive |
Architecture
┌─────────────────────────────────────────────────────────────────┐
│ Votre réseau privé │
│ │
│ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐ │
│ │ Serveur │ │ Poste │ │ Routeur │ │ Base de │ │
│ │ Agent │ │ Agent │ │ Agent │ │ données │ │
│ └────┬─────┘ └────┬─────┘ └────┬─────┘ └────┬─────┘ │
│ │ │ │ │ │
│ └──────────────┴──────┬───────┴──────────────┘ │
│ │ │
│ TLS 1.3 + JWT │
└─────────────────────────────┼────────────────────────────────────┘
│
▼
┌────────────────────────┐
│ Agent Gateway Service │ ← Enregistrement, rafraîchissement de jeton
└────────────┬───────────┘
│
▼
┌────────────────────────┐
│ Agent Ingestion Gateway│ ← Heartbeat, télémétrie, analyses
└────────────┬───────────┘
│
▼
┌────────────────────────┐
│ Apache Kafka │ ← File de messages durable
└────────────┬───────────┘
│
▼
┌────────────────────────┐
│ Stream Processor │ ← Enrichissement, déduplication, alertes
└────────────┬───────────┘
│
┌─────────┴─────────┐
▼ ▼
┌──────────────┐ ┌──────────────┐
│ PostgreSQL │ │ Redis │
│ (persistant) │ │ (cache) │
└──────────────┘ └──────────────┘
│
▼
┌──────────────────┐
│ Tableau de bord │ ← Vous voyez les résultats ici
│ Cert-IX │
└──────────────────┘
Modèle de sécurité
Chaque aspect de la communication des agents est sécurisé :
- TLS 1.3 — Toutes les connexions utilisent TLS 1.3 avec épinglage de certificat. Les connexions non-TLS sont rejetées.
- Authentification JWT — Les agents reçoivent un jeton JWT signé lors de l'enregistrement, rafraîchi automatiquement.
- Identité ECDSA — Chaque agent génère une paire de clés ECDSA P-256 unique. L'empreinte de la clé publique est l'identité de l'agent.
- Isolation des locataires — Les agents sont liés à un identifiant de locataire. L'accès aux données inter-locataires est impossible.
- mTLS (optionnel) — Pour les environnements haute sécurité, activez le TLS mutuel avec des certificats clients.
- Signature des charges utiles — Les charges utiles de télémétrie sont signées avec la clé privée de l'agent pour empêcher la falsification.
- Protection contre le rejeu — La protection contre le rejeu basée sur des nonces empêche les attaques par rejeu sur le pipeline d'ingestion.
Plateformes prises en charge
| Plateforme | Architecture | Binaire |
|---|---|---|
| Linux | x86_64 (amd64) | bitcollector-linux-amd64 |
| Linux | ARM64 (aarch64) | bitcollector-linux-arm64 |
| macOS | Intel (amd64) | bitcollector-darwin-amd64 |
| macOS | Apple Silicon (arm64) | bitcollector-darwin-arm64 |
| Windows | x86_64 (amd64) | bitcollector-windows-amd64.exe |
Démarrage rapide
Le moyen le plus rapide de déployer un agent est depuis le tableau de bord :
- Allez dans Gestion des actifs → Appareils
- Cliquez sur le bouton vert Déployer l'agent
- Suivez l'assistant guidé en 4 étapes
- L'agent apparaîtra dans votre liste d'appareils sous 60 secondes
Pour un déploiement manuel, consultez le Guide de déploiement.
Utilisation des ressources
Les agents sont conçus pour être légers et non intrusifs :
| Ressource | Limite par défaut | Configurable |
|---|---|---|
| Mémoire | 50 Mo max | Oui (max_memory_mb) |
| CPU | < 1 % en moyenne | Ajustable via les intervalles de collecte |
| Disque | ~20 Mo binaire + ~10 Mo données | Répertoire de données configurable |
| Réseau | ~5 Ko/min heartbeat + télémétrie | Taille de lot configurable |
Ce qui se passe après le déploiement
Une fois qu'un agent est en cours d'exécution et enregistré :
- L'appareil apparaît dans l'inventaire — L'appareil s'affiche dans Gestion des actifs → Appareils avec le statut « En ligne »
- Informations système collectées — OS, noyau, CPU, mémoire, informations disque renseignées automatiquement
- Inventaire des processus — Processus en cours avec PID, propriétaire, utilisation CPU/mémoire
- Inventaire des ports — Ports ouverts, services en écoute, adresses liées
- Inventaire logiciel — Paquets et applications installés
- Streaming de métriques — Métriques CPU, mémoire, charge, E/S mises à jour toutes les 30 secondes
- Trafic réseau — Statistiques de trafic par service (si activé)
- Analyse de vulnérabilités — L'appareil devient éligible aux analyses à la demande et planifiées
- Vérifications de conformité — Les benchmarks CIS/STIG peuvent être exécutés sur l'appareil
Prochaines étapes :
- Guide de déploiement des agents — Installation étape par étape
- Référence de configuration des agents — Référence complète du fichier de configuration
- Appareils — Gestion des appareils dans le tableau de bord