Dans l'écosystème de la cybersécurité moderne, les systèmes IBM AIX occupent une place paradoxale. Ils soutiennent les charges de travail les plus critiques — finance, industrie lourde, infrastructures d'État — là où la stabilité prime sur l'agilité. Pourtant, ces systèmes sont souvent les "oubliés" des programmes de sécurité, traités comme des exceptions hors du modèle de couverture standard.
Ce décalage n'est pas qu'une simple lacune administrative ; c'est une faille de sécurité majeure.
Pourquoi AIX devient une zone d'ombre opérationnelle
La plupart des piles technologiques de sécurité évoluent autour du modèle de "l'endpoint standard" : postes de travail Windows, serveurs Linux grand public et workloads cloud. AIX s'insère rarement dans ce moule pour plusieurs raisons :
Longévité et criticité : Ce sont des systèmes stables où les changements sont rares et les administrateurs prudents.
Silos organisationnels : Ils sont gérés par des équipes spécialisées avec leurs propres outils et processus.
Exceptions de monitoring : Lors du déploiement des outils de surveillance, AIX est souvent mis de côté en raison de sa complexité technique.
Le résultat est prévisible : une visibilité totale sur la flotte généraliste, mais une opacité préoccupante sur les systèmes les plus difficiles à remplacer — et donc les plus précieux pour un attaquant.
EDR vs Données au repos : Le chaînon manquant
L'EDR (Endpoint Detection and Response) excelle dans la télémétrie en temps réel : démarrage de processus, chaînes de comportement et activité réseau. Cependant, sur AIX, cette couverture est fréquemment limitée ou difficile à maintenir.
Pourtant, une part immense des preuves post-compromission réside dans les données au repos :
Scripts malveillants et outils de persistance.
Configurations modifiées.
Payloads en attente (staged).
C'est précisément là qu'intervient un scanner focalisé sur les artefacts, comme THOR. Plutôt que de chercher à remplacer l'EDR, l'objectif est de combler les lacunes en offrant une visibilité de niveau forensique sur le système de fichiers.
Déploiement sur AIX : Intégration et Orchestration
L'un des défis majeurs d'AIX est l'aspect opérationnel. Comment scanner une flotte sans alourdir le système ? THOR fonctionne nativement sur AIX 7.2 et 7.3 et s'intègre aux flux de travail existants de deux manières :
1. Approche "On-Demand" (Sans agent)
Le workflow suit généralement le cycle : Distribuer > Exécuter > Récupérer > Nettoyer. Pour cela, les administrateurs utilisent les outils natifs AIX :
dsh / dcp : Pour l'exécution et la copie distribuées sur toute la flotte.
NIM (Network Installation Manager) : Pour utiliser les outils de gestion à distance déjà en place.
Ansible : Via SSH pour une automatisation moderne sans agent.
2. Orchestration Centralisée avec ASGARD
Pour les environnements nécessitant un contrôle centralisé, la plateforme ASGARD permet d'orchestrer les scans THOR nativement sur AIX. Cela apporte des capacités de réponse aux incidents avancées :
Console distante et navigation dans le système de fichiers.
Collecte de fichiers suspects pour analyse.
Planification de scans et centralisation des rapports.
Un enjeu de conformité et d'assurance
Le manque de couverture sur AIX n'est pas dû à une croyance en son "invulnérabilité", mais à une fragmentation des responsabilités. Or, les audits et les frameworks de conformité sont clairs :
Vous devez avoir un inventaire complet (incluant les plateformes non-standard).
Vous devez vérifier périodiquement l'efficacité de vos contrôles.
La validation post-incident ("Sommes-nous propres ?") ne peut pas s'arrêter aux flottes Windows/Linux.
AIX est souvent le système que les auditeurs supposent couvert parce qu'il est critique, alors que la réalité opérationnelle montre qu'il reste en dehors du radar de surveillance par défaut.
Ne laissez plus AIX dans le noir
Les attaquants ne se soucient pas de savoir si un hôte est "standard" ou non. Si un système stocke des identifiants ou gère une logique métier vitale, il fait partie de la surface d'attaque.
THOR comble ce fossé. En s'exécutant nativement sur AIX, il permet d'étendre l'intelligence de détection à l'ensemble de votre patrimoine informatique.
Le conseil d'expert : Traitez AIX comme n'importe quel autre actif critique. Établissez une "baseline" de référence, re-vérifiez après chaque changement majeur et incluez systématiquement ces systèmes dans vos évaluations de compromission (Compromise Assessments).