CAPACITÉ · POSTURE DE SÉCURITÉ

Posture de sécurité mesurée.
Améliorable. Auditable. Comparable dans le temps.

25+ contrôles de sécurité évalués sur chaque actif, à chaque heartbeat. Score 0-100 par équipement et pour toute votre flotte. Tendances temporelles. Actions correctives priorisées. Intégration avec CrowdStrike, SentinelOne et Microsoft Defender.

Voir tarifs Demander démo

"Sommes-nous en sécurité ?"

C'est la question que le CEO ou le comité de direction pose au CISO une fois par trimestre. Sans une réponse numérique défendable, tout est opinion : "nous allons bien", "moyen", "nous avons quelques problèmes". Rien de comparable au trimestre précédent.

Itamite répond avec un nombre : score 0-100 calculé à partir de 25+ contrôles techniques réels, mesurés à chaque heartbeat de chaque agent. Comparable mois après mois, comparable par site, département ou tenant. Défendable devant auditeur, direction et régulateur.

LES CONTRÔLES

25+ contrôles regroupés par criticité

Chaque contrôle a un poids. Le passer ajoute ; l'échouer soustrait. Le score final est normalisé 0-100 avec des plages claires.

Critiques (poids le plus élevé)

disk_encrypted (BitLocker/FileVault/LUKS actifs), antivirus_present (AV installé et opérationnel), antivirus_up_to_date (signatures <7 jours), os_eol (système d'exploitation supporté), firewall_enabled (firewall du SE actif), smb_v1_disabled (SMBv1 désactivé, WannaCry), screen_lock_enabled (verrouillage automatique configuré).

Importants (poids moyen)

os_patches_pending (pas de patches critiques en attente), secure_boot (Secure Boot actif), windows_defender_real_time (protection en temps réel), ms_office_macros_blocked (macros bloquées par défaut), rdp_nla_required (Network Level Auth obligatoire sur RDP), uac_level (UAC configuré correctement), usb_storage_blocked (politiques USB sur actifs sensibles).

Informationnels (faible poids)

bluetooth_enabled (Bluetooth désactivé sur sensibles), ipv6_enabled (IPv6 contrôlé), tpm_present (puce TPM présente), tpm_version (TPM 2.0 ou supérieur), wifi_security (WPA2/WPA3 pas WEP), vpn_active (VPN d'entreprise fonctionnel), guest_account_disabled, auto_login_disabled.

Calcul du score

Somme pondérée : chaque contrôle passé ajoute son poids, chaque échoué soustrait. Résultat normalisé à 0-100. Plages : 0-39 Critique (rouge), 40-69 Moyen (ambre), 70-100 Bon (vert). Seuils configurables par tenant dans Configuration → Posture.

Règles custom (Enterprise)

Créez vos propres contrôles évalués automatiquement. Exemples : "VPN obligatoire sur portables" (type=portable AND vpn_active=false), "Office 365 obligatoire sur site Madrid", "Pas de Chrome sur actifs du CEO" (whitelist stricte), "Tests logiciels uniquement sur VMs".

Exceptions documentées

Contrôle qui techniquement ne s'applique pas à un actif spécifique : documentez l'exception avec justification, auteur, date de révision. Le contrôle devient "non applicable" dans le rapport (gris, pas rouge). Entièrement auditable.

VUE AGRÉGÉE

De l'actif individuel à la vue globale

Score par actif dans le détail

Ouvrez n'importe quel actif pour voir son score actuel, quels contrôles passent et lesquels échouent. Chaque contrôle échoué a l'action corrective recommandée et un bouton pour l'appliquer à distance quand automatisable (BitLocker, patches, configuration de service).

Score agrégé du tenant

Sur le dashboard vous voyez le score moyen de toute votre flotte, distribution par plage (combien de critiques, moyens, bons), et tableau des contrôles triés par pourcentage d'échec. Clic sur n'importe quel contrôle → liste des actifs qui l'échouent.

Tendance 30/90/365 jours

Graphique d'évolution du score moyen. Détectez les patterns : chute brutale après Patch Tuesday car les agents reportent des patches en attente, montée après campagne interne de hardening, stagnation à X% indique des contrôles non automatisables en attente.

Comparatif entre tenants (MSP)

Si vous gérez plusieurs entreprises (MSP), la vue multi-tenant trie vos clients par score. Identifiez en quelques secondes lesquels nécessitent une attention prioritaire. Générez un rapport comparatif à présenter à votre équipe support.

QUESTIONS FRÉQUENTES

Doutes sur la posture

Itamite remplace-t-il mon EDR (CrowdStrike, SentinelOne...) ?

Non. Itamite mesure la posture de sécurité (configuration correcte des contrôles), il ne détecte pas les menaces en temps réel comme un EDR. Ce sont des couches complémentaires : l'EDR arrête les attaques actives, Itamite assure que la configuration de base de l'équipement est résistante.

Puis-je changer le poids des contrôles ?

Oui en plan Enterprise. Configuration → Posture → Poids → ajustez chaque contrôle de 0 à 100. Par défaut nous venons avec poids calibrés aux bonnes pratiques CIS Controls v8 + ISO 27001 Annex A. Changez uniquement si vous avez des raisons sectorielles spécifiques.

Comment appliquer le fix d'un contrôle échoué ?

Trois options selon le contrôle : Commande à distance (bouton "Appliquer fix" sur actifs individuels ou en masse, pour contrôles automatisables comme BitLocker, patches, service). Politique déclarative (recommandé pour grandes flottes, maintient le contrôle correct en continu). Runbook manuel (pour contrôles non automatisables, Itamite vous lie à un runbook étape par étape).

Le score affecte-t-il la conformité réglementaire ?

Oui, indirectement. Les contrôles du score sont les mêmes que les frameworks réglementaires (NIS2, ENS, ISO 27001) exigent. Score élevé = conformité élevée. Mais la conformité est plus exigeante : requiert preuves signées, pas seulement le nombre.

Combien de temps pour que le score s'améliore après corrections ?

Le score se recalcule à chaque heartbeat (15 min par défaut). Si vous appliquez un fix à distance, en moins de 15 minutes vous voyez le score monter. Pour contrôles nécessitant redémarrage (Secure Boot, BitLocker), le changement se reflète après le premier heartbeat post-redémarrage.

Puis-je mettre des alertes quand le score baisse ?

Oui. Configuration → Notifications → Posture → définissez des seuils (ex. "alerte si score moyen du tenant baisse de 75 en 24h" ou "alerte si actif critique baisse de 50"). Notification par email, Slack, Teams ou webhook.

Mesurez votre posture de sécurité réelle

En 24 heures après déploiement de l'agent, vous avez le score de toute votre flotte à l'écran.