Prometheus vous montre qu'un serveur tourne à 90% CPU. Monsys vous dit qu'un binaire a changé de hash de manière inattendue, quels CVE se trouvent dans ses bibliothèques liées, demande une 2FA pour ouvrir un shell forensique, et journalise chaque touche. Prom+Grafana c'est de l'observabilité — monsys c'est detect · investigate · respond avec la sécurité supply-chain intégrée.
| Dimension | monsys.ai | Prometheus + Grafana |
|---|---|---|
| Catégorie | ✓Plateforme SOC : detect + investigate + respond + supply-chain | ✓Observabilité de métriques (TSDB + dashboards + alerting) |
| Complexité de mise en place | ✓1 commande · agent + hub | ✗Prometheus + Alertmanager + Grafana + node_exporter + blackbox + cAdvisor + … |
| Couverture distros Linux | ✓Un binaire musl-static · RHEL/Alma/Rocky 8+9, Fedora, Debian 11+12, Ubuntu 18-24, Alpine, SUSE, Oracle, Amazon Linux — pas de drift glibc | ~Paquets node_exporter par distro ; build static existe, livraison à votre charge |
| Tableaux de bord par défaut | ✓CPU/RAM/disque/réseau/CVE/conformité — inclus | ~Importez des dashboards Grafana communautaires — à calibrer |
| Intégrité des processus (altération binaire) | ✓Process DNA : empreinte SHA256 par binaire, baseline + alerte sur dérive | ✗Absent — Prom traite les métriques, pas le diff d'état |
| Canaries / honeypots | ✓Fichiers leurres — alerte instantanée par push ntfy | ✗Absent |
| Correspondance CVE par hôte (paquets OS) | ✓NVD v2 + EPSS, matcher de plages, score de risque par hôte | ✗Absent — outils séparés (Wazuh, OpenSCAP, Trivy) |
| CVE des dépendances applicatives | ✓npm/pip/composer/go lockfiles → OSV.dev batch, par projet | ✗Absent |
| Scan d'images container | ✓Trivy côté hub — pas de root sur l'hôte | ✗Absent |
| Inventaire d'actifs | ✓Paquets, services, ports, utilisateurs, sudo, ssh, hardware, PCI — auto | ✗Absent — OSQuery / Wazuh à intégrer |
| Preuves de conformité (NIS2/ISO/CyFun) | ✓Mapping natif de contrôles avec collecte automatique de preuves | ✗Absent |
| Shell forensique hors-bande | ✓Console d'urgence : 2FA, token Ed25519, TTL 15min, chaque touche journalisée | ✗Absent — Prom est pull-only, pas de canal interactif |
| Emergency Action Tokens | ✓Tokens Ed25519 à TTL court pour kill/isolate/dump, journalisés | ✗Absent |
| Détection d'anomalie (baseline z-score) | ✓Baseline glissante 7j, |z|>2.5 → alerte — sans seuils manuels | ~Seuils PromQL manuels; add-ons Cortex/Loki pour ML |
| Multi-tenant avec isolation des données | ✓Row-Level Security PostgreSQL + suspend tenant en un clic | ~Les organisations Grafana séparent l'UI, pas le stockage — un MSP sépare des instances |
| Provisioning de masse (Terraform/cloud-init) | ✓Un token d'enrolment enregistre N agents — tags + rôle auto | ~Service discovery via consul/k8s; déploiement node_exporter à organiser |
| Push mobile prêt à l'emploi | ✓Topic ntfy par tenant — alertes critiques sur mobile | ~Alertmanager → PagerDuty / Opsgenie / ntfy à configurer |
| Mises à jour agent signées (preuve supply-chain) | ✓Manifest SHA256 + auto-update + rotation via token d'urgence | ~Via gestionnaire de paquets — intégrité dépend de la distro |
| Facturation pour MSP | ✓3 €/serveur/mois après 5 gratuits · Stripe + PayPal · TVA · facturation par tenant | ✗Absent — facturation à construire |
| Requêtes custom (PromQL) | ~Agrégats prédéfinis via TimescaleDB | ✓PromQL complet — DSL le plus puissant |
| Kubernetes-first | ~Inventaire container présent; pas encore kube-state-metrics | ✓Standard de facto pour l'observabilité k8s |
| Rétention longue durée | ✓Compression TimescaleDB après 7 jours — 90 jours par défaut | ~Nécessite Thanos/Cortex/Mimir — service supplémentaire |
PromQL est un DSL remarquable et Prometheus est open source — difficile à battre pour la puissance métrique pure. Mais Prometheus est un outil d'observabilité, pas une plateforme de sécurité. Dire « monsys = Prom+Grafana », c'est manquer ~80% du produit (intégrité processus, matching CVE, console forensique, preuves de conformité) qui vit en dehors du plan métrique. Pour de simples graphiques d'infra, Prom convient ; pour superviser des environnements clients face à des compromissions, c'est le mauvais outil.