Tenable classé parmi les leaders de la gestion des risques liés aux vulnérabilités par un cabinet d'étude indépendant

« Tenable donne le ton en matière de sécurité proactive », selon The Forrester Wave™: Vulnerability Risk Management, Q3 2023

Lors de l'évaluation d'un groupe de 11 fournisseurs renommés et jugés selon 28 critères de gestion des risques liés aux vulnérabilités, Tenable a été nommé leader en réalisant le meilleur score dans les catégories de stratégie et d'offres actuelles du marché. Cette étude, qui montre comment se mesure chacun des fournisseurs, peut être utilisée par les professionnels de la cyber-sécurité et du risque afin de sélectionner le candidat qui répond le mieux à leurs besoins. Tenable a reçu le score le plus élevé (soit 5,0) sur une palette de 14 critères, parmi lesquels la vision, la feuille de route, l'innovation et l'écosystème des partenaires.

Même si les résultats de ce rapport nous comblent de joie, nous sommes également très enthousiastes sur le point de vue adopté par le cabinet d'étude concernant l'évolution des pratiques de gestion des vulnérabilités.

« Le secteur de la gestion des vulnérabilités connaît une forte croissance. », selon The Forrester Wave™: Gestion des risques de vulnérabilité, T3 2023. « Il y a moins de dix ans, les entreprises se contentaient d'installer un scanner de vulnérabilités dans leur environnement, de repérer un ou deux problèmes, puis de critiquer si rien n'était rectifié, ou si des vulnérabilités (CVE) entraînaient une faille de sécurité. En 2018, Forrester a préconisé une approche basée sur le risque en termes de gestion des risques liés aux vulnérabilités, de sorte à correctement prioriser le volume de remédiations alors tout à fait irréaliste et à encourager les entreprises à cesser de s'appuyer sur les scores CVSS (Common Vulnerability Scoring System), censés déterminer une sévérité technique d'une vulnérabilité. Depuis, les entreprises ont pu observer les ravages que pouvaient entraîner des vulnérabilités critiques et non corrigées telles que Log4Shell et MOVEit. Elles ont également élargi leur empreinte technologique (du domicile des employés au cloud) face à de nouvelles menaces.Aujourd'hui, les vulnérabilités ne se limitent plus à celles définies par les CVE, et englobent d'autres faiblesses, comme les problèmes d'identité et les mauvaises configurations. Face à ces évolutions, les fournisseurs de VRM montrent comment les assets sont interconnectés au sein d'un environnement et tentent d'orienter la priorisation et l'application des efforts de remédiation. »

« Tenable convient parfaitement aux entreprises qui souhaitent regrouper toutes les priorisations de remédiation des vulnérabilités et des expositions qui régissent leur programme de sécurité proactive. »

—The Forrester Wave™: Vulnerability Risk Management, Q3 2023

Cette évolution apparaît également évidente dans l'évaluation opérée par Forrester de la méthodologie des offres de gestion du risque lié aux vulnérabilités. Du point de vue de Tenable, trois thèmes principaux formaient la catégorie Current Offering (offres actuelles) :

1. Une portée étendue. La prise en charge de nouveaux types d'assets et d'expositions a représenté un critère important lors de cette dernière étude. Pour obtenir les meilleurs scores, les offres doivent évaluer le plus grand éventail possible d'expositions hors CVE et fournir des informations de valeur au sujet de divers types d'assets. Il est également indispensable que les formules de priorisation, les workflows de remédiation et l'expérience de l'analyste soient cohérents au sein des assets afin d'éviter tout cloisonnement et optimiser l'efficacité.
2. Un meilleur contexte. Le contexte joue un rôle clé dans cette étude, car il aide les entreprises à envisager la priorisation sous un angle basé sur le risque. La threat intelligence, l'exploitabilité, la contextualisation de l'activité, la criticité des assets et la modélisation du chemin d'attaque sont tous des facteurs essentiels pour aider les équipes de sécurité à identifier et à traiter les problèmes les plus urgents en termes de cyber-risque réel.
3. Les intégrations tierces. Que ce soit par le biais d'outils GCR de gouvernance, de gestion des risques et de conformité, de systèmes ITSM de gestion des services informatiques et de tickets, ou d'autres solutions SOC de centre d'opérations de sécurité, intégrer des solutions de VRM au sein de vos systèmes IT et de sécurité existants est une capacité critique qui permet d'accélérer la réponse aux vulnérabilités, d'optimiser le reporting et d'enrichir les plateformes pour une attitude plus réactive face au cyber-risque. Ces intégrations se doivent d'être hautement personnalisables et de prendre en charge une grande variété de plateformes couramment utilisées afin de répondre aux exigences de sécurité.

Chez Tenable, nous pensons que la sécurisation des environnements IT actuels, à la fois complexes et dynamiques, nécessite de réunir la gestion des vulnérabilités, la sécurité des applications web, la sécurité du cloud, la sécurité de l'identité, l'analyse du chemin d'attaque et la gestion de la surface d'attaque externe, pour comprendre l'étendue et la profondeur des expositions. Pour nous, les outils de gestion des vulnérabilités et de cyber-sécurité préventive et proactive doivent former un tout et se fonder dans un nouveau paradigme que nous appelons la gestion de l'exposition.

Selon le rapport, « Tenable donne le ton en matière de sécurité proactive. Tenable se consacre à la prévention des attaques réussies depuis la création de Nessus, au début des années 2000. Son objectif actuel reste le même : protéger de manière proactive les surfaces d'attaque en constante évolution et expansion grâce à Tenable One, l'une des premières plateformes se définissant comme une solution de gestion des expositions. Avec un plan d'action centré sur l'intégration de connecteurs pour l'absorption de données de sources externes, la plateforme vise à centraliser davantage l'ensemble des cyber-risques, des différents types d'assets et des expositions à travers toute l'entreprise. Ses capacités en termes d'IA va contribuer à aider les analystes de tous bords et de toutes compétences à explorer et à mieux appréhender la modélisation du chemin d'attaque et les informations livrées par le cyber-risque. La renommée de Tenable et la stratégie avant-gardiste de sa plateforme, axée sur la consolidation des actions préventives, renforcent sa vision déterminée et distincte, en phase avec les tendances actuelles du marché. »

Nous avons conçu la plateforme de gestion de l'exposition Tenable One, lancée en octobre 2022, pour permettre aux équipes de cyber-sécurité de concentrer leurs efforts sur la prévention d'attaques potentielles et de communiquer avec précision le cyber-risque pour optimiser les performances de l'entreprise. L'ajout de ExposureAI, lancé en août 2023, permet à ces mêmes équipes d'avoir recours à l'intelligence artificielle générative afin de booster leur cyber-sécurité préventive en accélérant la recherche, l'analyse et la prise de décisions pour réduire le risque. Nous avons exploité le référentiel Tenable Research de données d'exposition contextuelles pour fournir tout un puits d'informations qui va aider les entreprises à obtenir des informations riches et exploitables sur les vulnérabilités, les menaces et les mauvaises configurations potentielles. Pour pouvoir fournir les meilleures capacités basées sur l'IA, il faut bénéficier des meilleures données, et Tenable a la chance de disposer du référentiel de données d'exposition contextuelles le plus vaste au monde. ExposureAI exploite 1 000 milliards de données uniques sur les expositions, les assets et la sécurité : 

• 60 milliards d'évènements liés à l'exposition
• 800 millions de configurations de sécurité différentes
• 1 milliard d'assets

Cette gigantesque plateforme de données qui alimente le moteur ExposureAI se nomme Tenable Exposure Graph, notre datalake optimisé par Snowflake. 

« Tenable est parfaitement adapté aux entreprises qui ne veulent poursuivre qu'une seule trajectoire pour prioriser la remédiation des vulnérabilités et de l'exposition, celle-là même qui régira leur programme de sécurité proactif. »

Pour en savoir plus

• Téléchargez The Forrester Wave™: Vulnerability Risk Management, Q3 2023