PDQ Deploy & Inventory — Guide de sécurité des produits
Chez PDQ, nous sommes conscients de l'importance de la sécurité dans nos produits. C'est pourquoi toutes les décisions que nous avons prises concernant PDQ Deploy & Inventory visent à garantir que le produit peut être utilisé en toute sécurité pour la gestion de vos appareils. Qu'il s'agisse du chiffrement des données en transit et au repos, de l'intégrité de la Package Library et bien plus encore, PDQ Deploy & Inventory est conçu pour gérer ultra rapidement vos appareils en toute sécurité.
Présentation de l'architecture
Découvrez PDQ Deploy & Inventory
PDQ Deploy & Inventory est un outil de gestion des appareils basé sur ordinateur de bureau/serveur. Les techniciens informatiques et les sysadmins utilisent cette solution pour gérer les appareils de leur organisation. Elle leur permet notamment de rechercher des informations sur les terminaux, d'organiser les appareils en groupes, de créer des rapports, de mettre à jour les logiciels et d'exécuter des scripts à distance, le tout à partir de leur réseau local.
Architecture du produit
Pour gérer les appareils à distance, PDQ Deploy & Inventory utilise un modèle client/serveur sans agent permettant d'interagir avec les terminaux. L'authentification Windows standard est utilisée pour créer un service temporaire sur le client afin de déployer un logiciel ou d'effectuer une analyse d'inventaire. Une fois l'opération terminée, les fichiers temporaires et le service sont supprimés.
Console d'administration de PDQ Deploy & Inventory
Les administrateurs utilisent la console d'administration de PDQ Deploy & Inventory pour configurer les ordinateurs, créer des packages et mettre à jour les machines. La console d'administration est intégrée aux applications PDQ Deploy & Inventory.
La console permet aux administrateurs de consulter les informations relatives aux appareils qu'ils gèrent, mais aussi de créer et de surveiller le déploiement des packages. Lorsque des packages sont déployés sur des appareils, les options d'installation et de configuration de ce déploiement sont envoyées aux appareils via le protocole SMB, comme décrit dans l'architecture du produit.
Sécurité des données
Chiffrement
Au repos :
PDQ chiffre toutes les informations sensibles (mots de passe) contenues dans les bases de données stockées en interne sur le réseau de votre organisation. Nous utilisons le chiffrement AES, conforme aux normes du secteur, avec trois clés distinctes pour assurer la sécurité de vos données. La première est intégrée à l'application, la deuxième est stockée dans la base de données et la troisième est stockée dans le registre. Ces deux dernières clés sont générées lors de l'installation de l'application et sont propres à votre système. Le reste des données est stocké de manière non chiffrée dans les bases de données SQLite locales.
En transit :
Le serveur PDQ utilise un modèle client/serveur sans agent permettant d'interagir avec les terminaux. L'authentification Windows standard est utilisée pour créer un service temporaire sur le client afin de déployer un logiciel ou d'effectuer une analyse d'inventaire. Une fois l'opération terminée, les fichiers temporaires et le service sont supprimés.
Trafic externe
PDQ Deploy et Inventory accèdent régulièrement à Internet pour mettre à jour la Package Library, la Collection Library, la Tools Library et les variables système (utilisées dans les collections). En outre, les produits PDQ vérifient les mises à jour des programmes, les informations relatives à l'expiration des licences et les notifications d'informations générales provenant de PDQ.com (webcast, version bêta, etc.). Tout cela est réalisé via HTTPS.
Isolation des données
Toutes les informations contenues dans les bases de données PDQ Deploy & Inventory sont stockées localement sur votre réseau. Vous pouvez modifier l'emplacement de la base de données dans les préférences.
Sauvegardes de données
La sauvegarde de la base de données est contrôlée par les paramètres que vous choisissez dans les préférences ; l'emplacement et la fréquence sont laissés à l'appréciation de l'utilisateur final.
Support
Notre personnel d'assistance peut vous demander de lui communiquer vos bases de données afin d'obtenir plus d'informations pour vous aider à résoudre un problème. Lorsque vous transmettez vos bases de données, celles-ci comprennent les bases de données PDQ, les fichiers journaux et les erreurs du journal des événements Windows, ainsi que les informations relatives à la configuration du serveur PDQ.
Nous n'avons pas accès aux bases de données des clients, sauf si vous les soumettez manuellement dans le cadre d'un ticket d'assistance. Lorsque nous recevons ces bases de données, nous n'avons pas accès aux mots de passe stockés par le client. Nous avons accès aux informations relatives à l'inventaire matériel et logiciel, qui peuvent inclure le nom des ordinateurs, les adresses IP et MAC, ainsi que les noms d'utilisateur connectés.
Nous ne disposons pas d'une politique de conservation formelle, car il arrive que nous clôturions un ticket et que le client ait besoin d'une assistance supplémentaire et rouvre le dossier. Nous nous basons davantage sur la nécessité de libérer de l'espace pour les nouveaux transferts de pièces jointes, ce qui se traduit généralement par une période de trois à six mois. Si un client demande expressément la suppression de ses données, le technicien responsable du ticket respectera immédiatement sa requête.
Identité et authentification
Présentation de la vérification d'identité et de l'authentification
PDQ Deploy et Inventory sont des applications ordinateur/serveur et n'ont donc pas de système d'authentification actuellement ; tous les accès sont contrôlés par l'authentification Windows existante.
Exigences relatives aux mots de passe
Les exigences en matière de mot de passe sont dictées par l'organisation, car Deploy & Inventory utilise les informations d'identification existantes pour son authentification auprès des machines.
Sécurité opérationnelle
Prévention des vulnérabilités
PDQ a mis en place un programme de surveillance et d'analyse des vulnérabilités conçu pour identifier, quantifier et hiérarchiser les vulnérabilités internes et externes des systèmes et des applications hébergées au moins une fois par semaine (ou de manière plus aléatoire). PDQ identifie et met également en œuvre des outils d'analyse de code dans le pipeline de développement de l'organisation afin d'analyser régulièrement les codebases statiques et dynamiques pour vérifier la présence de vulnérabilités. Les processus garantissent que la portée de toute vulnérabilité est définie et documentée avant d'entamer une évaluation.
PDQ veille également à ce que tous les résultats des analyses de vulnérabilité soient examinés et documentés chaque semaine et à ce que des mesures correctives soient prises conformément à la tolérance de l'organisation à l'égard du risque. PDQ partage les informations obtenues grâce au processus de surveillance des vulnérabilités et aux évaluations des contrôles avec les principales parties prenantes afin d'aider à éliminer les vulnérabilités similaires dans d'autres systèmes.
Autres sujets de sécurité
Fournisseurs tiers
PDQ Deploy & Inventory utilise quelques services nécessaires pour assurer la fonctionnalité du produit. Ces fournisseurs tiers traitent les données pour PDQ :
Fournisseur | Service | Notes |
|---|---|---|
Mixpanel | Suivi de l'utilisation | Utilisé pour suivre l'utilisation des fonctionnalités dans PDQ Deploy & Inventory. (optionnel) |
Sentry | Journalisation | Utilisé pour identifier et consigner les bugs ou autres problèmes liés aux produits. (optionnel) |
Audits de sécurité
Afin d'identifier les vulnérabilités qui pourraient être exploitées pour obtenir un accès à son environnement de production, PDQ effectue une fois par an des tests de pénétration réalisés par une équipe humaine et une fois par semaine des tests automatisés. PDQ veille à ce que les actifs concernés soient documentés avant le début de tout test. L'équipe interne de Deploy & Inventory est tenue par un accord de niveau de service interne de remédier aux problèmes détectés lors de ces tests.
En outre, PDQ a fait appel à un programme tiers de chasse aux bogues qui récompense la découverte de vulnérabilités non divulguées publiquement.
Certifications
PDQ prend la sécurité au sérieux et comprend la valeur des certifications de sécurité faisant l'objet d'un audit indépendant. Nous sommes conformes à la norme SOC 2 et nous continuerons à nous soumettre à des contrôles réguliers pour obtenir des rapports actualisés.
Bibliothèque de packages
PDQ Deploy & Inventory propose une fonction optionnelle appelée la Package Library. Cette dernière permet aux entreprises de récupérer des packages pour les applications les plus courantes à partir de PDQ, sans avoir à les gérer elles-mêmes. Par exemple, PDQ conserve la dernière version de Chrome dans sa Package Library, ce qui permet aux utilisateurs de déployer facilement la version la plus récente du navigateur sur les appareils cibles.
Il s'agit d'une fonction optionnelle incluse dans PDQ Deploy & Inventory. Les organisations peuvent choisir de ne pas l'utiliser et de créer manuellement des packages.
Processus de création de packages
Pour créer un package logiciel, un système propriétaire de PDQ scrute périodiquement les fournisseurs à la recherche de nouvelles mises à jour et les télécharge dans le référentiel de packages de PDQ. Selon leur disponibilité, PDQ soumet les hachages de ces produits à un site tiers pour une analyse de réputation qui s'appuie sur plusieurs moteurs antivirus.
Tous les packages sont créés à l'aide d'une machine virtuelle sécurisée spécialement dédiée. Une fois qu'un package est créé, il est testé manuellement avec un groupe de machines virtuelles, chacune dotée d'une version différente de Windows. Chaque machine est ensuite analysée pour garantir la réussite du déploiement. En outre, chaque package est testé sur un dispositif supplémentaire qui utilise à la fois des signatures antivirus et une analyse basée sur le comportement pour s'assurer de sa sécurité et de l'absence de virus.
Ce processus est vérifié manuellement par un ingénieur secondaire à des fins d'assurance qualité. Aucun ingénieur ne peut créer et publier à lui seul un package dans la bibliothèque. Une fois que le package a passé la validation secondaire, il est importé dans la Package Library et rendu disponible dans les produits PDQ.
Packages personnalisés
Les clients peuvent également créer leurs propres packages et importer leurs propres logiciels dans PDQ Deploy & Inventory. PDQ ne partage pas les packages personnalisés créés par un client avec les autres clients et ne les met en aucun cas à leur disposition. Il incombe au client de s'assurer que les packages qu'il crée ne présentent aucun risque.