La plupart des systèmes d'accès d'entreprise collectent l'information sur l'appareil uniquement au moment où la connexion est établie : IP, nom de l'OS, peut-être l'empreinte TLS, peut-être un token MDM. Ensuite, cette donnée n'est plus touchée. On suppose que durant une session de plusieurs heures, l'état de l'appareil n'a pas changé — que les patchs n'ont pas été appliqués, que l'agent Endpoint Detection and Response (EDR) ne s'est pas arrêté, qu'aucun nouveau logiciel n'a été installé, qu'aucune clé USB n'a été branchée.
Cette hypothèse n'est pas compatible avec le modèle d'attaque moderne. Un appareil peut être compromis après l'ouverture de session, l'Endpoint Detection and Response (EDR) peut être arrêté, un malware peut être installé, la configuration peut être modifiée. Le système classique ne le voit pas car il ne regarde jamais.
La télémétrie continue brise ce modèle. La télémétrie est collectée périodiquement depuis l'appareil — de l'ordre de la seconde ou de la minute ; le changement d'état est enregistré, et lorsque le seuil est dépassé, la politique se déclenche.
L'agent TR7 ETM mesure en continu l'état interne de l'appareil et le partage en direct avec le reste du stack TR7.
Un agent ETM de capacité identique est offert pour Windows, macOS et Linux. L'équipe opérationnelle n'a pas à gérer des chaînes d'outils différentes pour différents systèmes d'exploitation ; tout l'inventaire d'appareils est surveillé depuis une seule plateforme.
L'agent collecte la télémétrie à intervalles configurés — de l'ordre de la seconde ou de la minute selon le secteur et le niveau de risque. La donnée est corrélée dans le temps ; un changement d'état est interprété comme un « événement », et non comme une photo instantanée.
Inventaire logiciel, processus en cours, ports ouverts, fichiers de configuration, magasins de certificats, comptes utilisateurs locaux, inventaire matériel, chiffrement du disque, interfaces réseau, état de l'agent de sécurité, clés de registre, événements de journal système — des dizaines de catégories de données sous un seul agent.
Lorsque les seuils définis sont dépassés, qu'une configuration critique change ou qu'un processus inattendu démarre, l'ETM produit un événement. L'AAM peut lier cet événement à la décision d'accès, l'envoyer au SIEM ou émettre une alerte opérateur.
La télémétrie continue n'est pas seulement de la collecte de données ; c'est une couche de visibilité vivante qui relie la donnée aux décisions d'accès et d'opération.
La liste des logiciels installés sur l'appareil, l'information de version, le fournisseur et la date d'installation sont surveillés en continu. L'installation de logiciels non autorisés, l'usage de versions anciennes et les applications hors de l'inventaire logiciel approuvé sont rendus visibles par l'ETM. La conformité des licences et la conformité aux politiques de sécurité s'alimentent de la même donnée.
Les étapes de configuration modifiées après la mise en conformité de l'appareil avec la politique de sécurité — règles de pare-feu local, fichiers d'autorisation, politiques d'audit, modifications de registre/plist — sont suivies en continu. Un écart par rapport à la baseline peut être converti en décision d'accès ou en alerte opérateur.
Les données SMART du disque, le nombre d'erreurs mémoire, la température CPU et les erreurs d'interface réseau sont mesurés en continu. Les problèmes matériels sont signalés à l'équipe opérationnelle avant la décision d'accès ; une marge d'intervention s'ouvre avant qu'une panne ne dégrade l'expérience utilisateur.
L'état des agents Endpoint Detection and Response (EDR), antivirus, host firewall et DLP exécutés sur l'appareil est vérifié en continu. L'arrêt, la désactivation ou le blocage de ces agents parvient à l'ETM comme un événement instantané. Pour la décision d'accès AAM, ce signal devient une entrée de première classe.
L'état de chiffrement des disques secondaires est rendu visible en plus du disque système. L'état issu des solutions de chiffrement du disque natives de la plateforme (pour Windows, macOS, Linux) est normalisé par l'ETM et transformé en une seule entrée de politique. La désactivation du chiffrement est captée instantanément.
Les changements dans les magasins de certificats de l'appareil — ajout d'un nouveau certificat racine de confiance, événements de signature montrant des signes d'intervention — sont enregistrés en continu. Cette télémétrie est un signal précieux notamment pour la détection de TLS interception et de proxy caché.
Des événements comme la création d'un nouvel utilisateur local, l'ajout d'un compte existant au groupe admin ou la modification de la politique de mot de passe sont inclus dans la télémétrie. Les changements de la surface d'autorisation de l'appareil n'échappent pas à la couche de contrôle de l'entreprise.
Les interfaces réseau actives, les configurations IP, l'attribution de serveur DNS, la route par défaut et l'état du tunnel VPN sont mesurés en continu. Un tunnel inattendu, une attribution DNS inhabituelle ou un accès simultané depuis deux réseaux sont rendus visibles par l'ETM.
L'arbre de processus en cours sur l'appareil, l'heure de démarrage, les relations de processus parent et les ports réseau ouverts sont enregistrés. Le démarrage d'un service anormal ou la mise en écoute d'un port inattendu se reflète comme un événement.
La donnée issue de trois systèmes d'exploitation différents est normalisée dans un seul modèle de données. L'opérateur n'a pas à écrire des requêtes séparées pour Windows et Linux ; la même politique peut être appliquée à tout l'inventaire d'appareils.
La télémétrie continue n'est pas seulement une capacité technique ; c'est tout un modèle opérationnel pour la rétention, la consommation et l'intégration aux décisions de la donnée.
Un intervalle de collecte distinct peut être défini pour chaque catégorie de données. Les catégories critiques — état de l'agent de sécurité, chiffrement du disque — de l'ordre de la seconde ; les catégories à faible intensité — inventaire logiciel — peuvent être horaires ou quotidiennes. L'équipe opérationnelle détermine l'équilibre selon la charge de l'appareil et du réseau.
La télémétrie n'est pas seulement stockée ; des seuils peuvent être définis pour les changements d'état. Lorsque l'agent Endpoint Detection and Response (EDR) cesse de fonctionner, qu'un nouvel utilisateur est ajouté au groupe admin ou que le chiffrement du disque est désactivé, l'ETM produit un événement.
Lorsque la télémétrie est transmise au côté AAM, le niveau de confiance d'un appareil est continuellement mis à jour. Pour un appareil dont l'état se dégrade après le login, l'AAM peut demander un MFA supplémentaire ou terminer la session.
La télémétrie peut être transmise au SIEM sous forme brute ou au niveau événement. Un flux est fourni pour l'enregistrement longue durée vers les plateformes SIEM d'entreprise. La corrélation d'événements peut être réalisée conjointement avec la couche d'accès applicatif.
Les catégories de données à collecter et le niveau de détail sont gérés par la politique. La non-collecte de données excessives, le masquage des champs contenant des informations personnelles et la limitation de la durée de rétention sont configurables. Une configuration appropriée peut être réalisée pour le GDPR et les régulateurs sectoriels.
La couche de collecte et d'évaluation de la télémétrie est dimensionnée pour gérer des dizaines de milliers d'endpoints depuis un seul cluster TR7. La rétention, l'interrogation et l'investigation rétrospective sont planifiées selon l'intensité des données.
Si un attaquant arrête l'agent Endpoint Detection and Response (EDR) sur un appareil sûr au moment du login, l'ETM capte cette situation en quelques secondes. L'AAM peut automatiquement déclencher un MFA supplémentaire, suspendre la session ou appliquer un blocage total.
Lorsqu'un utilisateur accédant à des données financières ou de santé branche une nouvelle clé USB pendant la session, l'ETM le reflète comme un événement. Selon la politique, des contrôles supplémentaires de prévention de la copie de données peuvent entrer en jeu, ou une alerte opérateur est émise.
L'ajout d'un nouveau certificat aux certificats racine de confiance d'un appareil peut être un signe de TLS interception. L'ETM enregistre ce changement comme un événement instantané ; l'équipe de sécurité peut lancer une investigation ou l'appareil est placé dans la classe at-risk.
Les applications hors de l'inventaire logiciel approuvé, sans licence ou en version ancienne sont rapportées en continu. L'équipe opérationnelle planifie les patchs selon l'inventaire réel ; une chaîne de preuves est prête pour les processus d'audit.
Voyons l'ETM Télémétrie continue dans votre propre environnement — planifions une visite guidée d'une installation en direct adaptée à votre inventaire d'appareils.