Facebook Google Plus Twitter LinkedIn YouTube RSS MenuSearchResource - BlogResource - Eventicons_066icons_067icons_068icons_069icons_070

FAQ Tenable.io

Essayer Tenable.io Vulnerability Management

Lancez votre premier scan en moins de 60 secondes.

Découvrir

Questions générales

Qu'est-ce que Tenable.io™ ?

Tenable.io est la première plateforme cloud de gestion des vulnérabilités conçue pour les assets informatiques modernes d'aujourd'hui, tels que le cloud, les conteneurs et les applications Web.

Tenable.io vous permet de connaître clairement votre positionnement en termes de sécurité et de conformité.S'appuyant sur la technologie Nessus® de référence de Tenable, Tenable.io offre une approche renouvelée et orientée actifs qui assure avec précision le suivi de vos ressources, tout en étant compatible avec les assets dynamiques tels que le cloud et les conteneurs.Pour optimiser visibilité et données, Tenable.io priorise de manière efficace vos vulnérabilités tout en s'intégrant en toute fluidité à votre environnement.

Tenable.io offre des applications qui répondent à des besoins de sécurité spécifiques, notamment Tenable.io Vulnerability Management, Tenable.io Web Application Scanning et Tenable.io Container Security. Les applications Tenable.io peuvent faire l'objet de licences individuelles, sans aucun prérequis ni autre obligation d'achat.

Comment puis-je en savoir plus sur Tenable.io ?

Pour en savoir plus sur Tenable.io, rendez-vous sur la page produit Tenable.io, assistez à un webinaire ou contactez votre partenaire Tenable certifié ou votre représentant Tenable pour obtenir davantage d'informations.

Comment puis-je tester les applications Tenable.io ?

Inscrivez-vous à l'adresse http://www.tenable.com/how-to-buy pour accéder à une version d'évaluation gratuite de Tenable.io.

Comment puis-je acquérir des applications Tenable.io ?

Vous pouvez acquérir nos solutions par l'intermédiaire de votre partenaire Tenable certifié local, en contactant votre représentant Tenable ou en vous rendant sur le site tenable.com.

Est-il possible d'acquérir des licences individuelles pour les applications Tenable.io ?

Oui. Il est possible d'acquérir des licences individuelles pour l'ensemble des applications Tenable.io. Par exemple, il est possible d'acheter des licences distinctes pour les solutions Tenable.io Container Security et Tenable.io Web Application Scanning, sans Tenable.io Vulnerability Management.

Quels sont les tarifs de la solution Tenable.io Vulnerability Management et qu'en est-il des licences  ?

Les licences Tenable.io Vulnerability Management s'appuient sur un abonnement annuel dont le tarif est défini en fonction du nombre d'assets, plutôt que d'adresses IP.Cette approche permet aux clients d'adopter de nouvelles technologies telles que le cloud, en évitant toute double facturation.

Pour plus d'informations sur les tarifs et les licences, consultez la rubrique ci-dessous.

Quelle est la définition d'un asset ?

Un asset est une entité qui peut être analysée.Postes fixes, ordinateur portables, serveurs, appareils de stockage, appareils réseaux, téléphones, tablettes, machine virtuelles, instances cloud et conteneurs en sont quelques exemples.

Pour plus d'informations sur les tarifs et les licences, consultez la rubrique ci-dessous.

Quels sont les tarifs des autres applications Tenable.io et qu'en est-il des licences  ?

Les licences Tenable.io Container Security et Tenable.io Web Application Scanning s'appuient sur un abonnement annuel dont le tarif est défini en fonction du nombre d'assets.Le tarif des licences Tenable.io Container Security se fonde sur le volume de stockage total correspondant au nombre d'images uniques de conteneurs évalué par le produit et le tarif des licences Tenable.io Web Application Scanning est défini en fonction du nombre total de noms de domaines FQDN évalué par le produit.

Pour plus d'informations sur les tarifs et les licences, consultez la rubrique ci-dessous.

Un accord de niveau de service (SLA) est-il offert par Tenable pour Tenable.io ?

Oui, Tenable fournit le meilleur taux de disponibilité garanti du secteur de la gestion des vulnérabilités grâce à un accord de niveau de service (SLA) bien établi propre à Tenable.io.Des crédits de services vous sont octoyés si le SLA n'est pas respecté, à l'instar des fournisseurs de services cloud de référence tels qu'Amazon Web Services.

Où puis-je trouver de la documentation sur Tenable.io ?

La documentation technique de l'ensemble des produits Tenable, notamment de Tenable.io, sont disponibles à l'adresse https://docs.tenable.com/.

Quelles adresses IP Tenable utilise-t-elle pour les scans à partir du cloud ?

Par défaut, la configuration de Tenable.io inclut des outils de scan cloud spécifiques à votre région.Pour de plus amples informations, consultez notre documentation.

Le lancement de Tenable.io affecte-t-il SecurityCenter/SecurityCenter Continuous View ?

Non. Cela n'affecte aucunement nos solutions SecurityCenter/SecurityCenter Continuous View ou nos clients utilisant ces produits. Tandis que Tenable.io fait évoluer notre solution cloud de gestion des vulnérabilités, nous restons très engagés quant à notre système SecurityCenter.

Puis-je utiliser à la fois SecurityCenter et Tenable.io ?

Oui. Vous pouvez utiliser les deux solutions. Nous prévoyons ainsi qu'un grand nombre de clients SecurityCenter/SecurityCenter Continuous View choisiront d'utiliser Tenable.io Web Application Scanning, Tenable.io PCI/ASV et/ou Tenable.io Container Security parallèlement à SecurityCenter.

Puis-je migrer de SecurityCenter/SecurityCenter Continuous View à Tenable.io ?

Oui. Nous offrons aux clients intéressés un éventail d'options leur permettant de migrer en toute fluidité de SecurityCenter vers Tenable.io, qui incluent une assistance complète de la part de Tenable ou de votre partenaire certifié. Pour de plus amples informations, contactez votre partenaire Tenable certifié ou votre représentant Tenable.

Qu'est-ce que Tenable.io Web Application Scanning ?

Tenable.io Web Application Scanning offre des fonctions complètes d'analyse des vulnérabilités pour les applications Web modernes.Sa couverture exhaustive des vulnérabilités permet de réduire au minimum les faux positifs et négatifs, en garantissant que les équipes chargées de la sécurité comprennent les véritables risques de sécurité de leurs applications Web.

Cette solution est dotée de fonctions d'analyse externes sécurisées qui garantissent que la mise en production des applications Web, applications conçues à l'aide des frameworks HTML5 et AJAX comprises, n'est pas perturbée ni retardée.Lorsque des problèmes sont identifiés, les équipes en charge de la sécurité peuvent consulter un tableau de bord intuitif qui présente les informations dont elles ont besoin pour évaluer et gérer les vulnérabilités.

Où puis-je en savoir plus sur la solution Tenable.io Web Application Scanning ou la tester ?

Pour de plus amples informations sur Tenable.io Web Application Scanning, rendez-vous sur la page produit Tenable.io.Inscrivez-vous à l'adresse tenable.com/try-was pour accéder à une version d'essai gratuite ou contactez votre partenaire Tenable certifié ou votre représentant Tenable pour obtenir davantage d'informations.

Votre produit analyse-t-il le code source ou réalise-t-il des analyses statiques ?

Non. Tenable.io Web Application Scanning est une solution DAST (Dynamic Application Security Testing) qui teste une application Web du coté « externe » lorsque l'application est exécutée en environnement de test ou de production.

Est-ce que Tenable.io Container Security ?

En tant que seul et unique système de sécurité des conteneurs intégré à une plateforme de gestion des vulnérabilités, Tenable.io™ Container Security surveille en continu les images de conteneurs pour détecter toute vulnérabilité, tout malware et toute non-conformité à la politique de l'entreprise. En intégrant en amont la sécurité au processus de conception des conteneurs, les entreprises sont en mesure de disposer d'une visibilité sur leurs risques de sécurité cachés présents au sein de leurs conteneurs et de les corriger avant qu'ils n'atteignent la phase de production, sans pour autant ralentir les cycles d'innovation.

Basée sur la technologie FlawCheck, la solution Tenable.io Container Security stocke les images des conteneurs et les analyse à mesure qu'elles sont conçues.Elle permet ainsi de détecter les vulnérabilités et les malwares, tout en permettant la surveillance continue des images des conteneurs.Grâce à son intégration à des systèmes de déploiement et d'intégration continus (CI/CD) qui conçoivent des images de conteneurs, Tenable.io Container Security garantit que tous les conteneurs atteignant la phase de production sont sécurisés et conformes à la politique de l'entreprise.

Où puis-je en savoir plus sur la solution Tenable.io Container Security ou la tester ?

Pour de plus amples informations sur Tenable.io Container Security, rendez-vous sur la page produit Tenable.io.Inscrivez-vous à l'adresse tenable.com/try-container pour accéder à une version d'essai gratuite ou contactez votre partenaire Tenable certifié ou votre représentant Tenable pour obtenir davantage d'informations.

Questions relatives à Elastic Asset Licensing

La technologie Elastic Asset Licensing, intégrée à la solution Tenable.io Vulnerability Management (VM), est une innovation qui permet d'adapter l'octroi de licences dédiées à la gestion des vulnérabilités aux environnements informatiques élastiques d'aujourd'hui.Elastic Asset Licensing permet d'éviter la double comptabilisation des assets associés à plusieurs adresses IP et/ou à des adresses IP pouvant changées.De plus, il reprend automatiquement possession des licences des assets n'ayant pas été récemment détectés, notamment les assets mis hors service et les assets ayant pu être détectés par inadvertance.

Qu'est-ce que Tenable.io VM Elastic Asset Licensing ?

Elastic Asset Licensing permet à Tenable de collaborer avec ses clients pour sécuriser leur réseau de manière économiquec.Cette technologie inclut les fonctionnalités suivantes :

  • actifs plutôt que des adresses IP :Tenable.io Vulnerability Management analyse plusieurs attributs relatifs aux assets pour identifier un asset, sans se limiter à son adresse IP.Un algorithme conçu par Tenable met en correspondance les assets nouvellement détectés et les assets déjà détectés pour éliminer les doubles compatibilisations et garantir un signalement des vulnérabilités plus précis.
  • Octroi de licences équilibré plutôt que généralisé :Tenable.io Vulnerability Management alloue des licences uniquement aux assets que la solution a détectés au cours d'un délai antérieur de 90 jours.Elle reprend possession des licences des actifs ayant été mis hors service, détectés par inadvertance ou occasionnellement actifs.Tenable.io Vulnerability Management conserve les données relatives à la configuration et aux vulnérabilités de ces assets, de sorte que le processus de récupération automatisée des licences ne connaisse aucun impair.
  • Souplesse plutôt que rigidité :Tenable.io Vulnerability Management permet aux clients de surveiller et d'ajuster le nombre de licences qu'ils utilisent, et de le revoir à la hausse ou à la baisse le cas échéant.La solution ne bloque pas automatiquement l'accès à ses fonctions si le nombre de licences est temporairement dépassé.

Quels sont les bénéfices de la technologie Elastic Asset Licensing ?

Les principaux avantages sont les suivants :

  • Les clients achètent le bon nombre de licences, en fonction du nombre de leurs assets plutôt que de la surcomptabilisation des adresses IP.
  • Les clients s'affranchissent des projets chronophages et souvent imprécis dont ils ont besoin pour récupérer les licences des assets mis hors service et/ou détectés par inadvertance.
  • Les indicateurs de gestion des vulnérabilités ne sont pas corrompus par la double ou la triple comptabilisation des vulnérabilités relatives aux assets associés à plusieurs adresses IP.

Le nombre d'assets détectés par Tenable.io VM peut-il être supérieur au nombre de licences dont dispose un client ?

Oui, de manière temporaire, le nombre d'assets associés à une licence peut être dépassé.Bien entendu, les clients doivent revoir le nombre de leurs licences à la hausse lorsque que cette situation perdure.

Comment les clients Tenable.io Vulnerability Management peuvent-ils consulter l'état de leurs licences ?

L'interface utilisateur de Tenable.io Vulnerability Management affiche à la fois le nombre d'assets sous licence et l'utilisation actuelle des licences.

Qu'est-ce qu'un asset ?

Un asset est une entité qui peut être analysée.Postes fixes, ordinateur portables, serveurs, appareils de stockage, appareils réseaux, téléphones, tablettes, VM, hyperviseurs et conteneurs en sont quelques exemples.

Comment la solution Tenable.io VM identifie-t-elle un asset ?

Lorsque Tenable.io Vulnerability Management détecte pour la première fois un asset, elle recueille plusieurs attributs d'identification, qui peuvent inclure un UUID BIOS, l'adresse MAC du système, le nom du NetBIOS, un FQDN et/ou d'autres attributs pouvant être utilisés pour identifier un asset de manière fiable.De plus, l'outil de scan et les agents Nessus authentifiés attribuent un UUID Tenable à l'appareil.Lorsque la solution Tenable.io Vulnerability Management analyse par la suite un asset, elle le compare aux assets précédemment détectés.Si l'asset nouvellement détecté ne correspond pas à un asset précédemment détecté, l'asset est ajouté à l'inventaire des assets de Tenable.io Vulnerability Management.

Dans quelle mesure les assets sont-ils différents des adresses IP ?

Les adresses IP sont généralement l'une des propriétés d'un asset. Nombre d'assets sont toutefois associés à plusieurs adresses IP (tels que des périphériques DHCP, des systèmes dotés à la fois d'interfaces filaire et sans fil, etc.).

Pourquoi le nombre d'assets est-il susceptible d'être inférieur au nombre d'adresses IP ?

Souvent, les assets sont dotés de plusieurs cartes d'interface réseau, ce qui permet à différents réseaux d'y accéder.À titre d'exemple, un serveur Web peut être simultanément associé à un réseau de production et un réseau d'administration, ou encore un ordinateur portable sera souvent doté à la fois d'une interface réseau filaire et sans fil.En outre, les ordinateurs portables sont fréquemment associés à de nouvelles adresses IP lorsqu'ils sont déplacés d'un endroit à un autre.Si un scan détecte leur adresse IP et qu'un second scan détecte une adresse IP différente de la première, ils seront comptabilisés deux fois.

Comment les clients intéressés par la solution peuvent-ils estimer le nombre de leurs assets ?

Tenable.io VM prend en charge un nombre illimité de scans de détection fondés à la fois sur des outils de scan actifs et passifs.Les clients peuvent utiliser ces scans pour faire un inventaire complet de l'ensemble de leurs assets et définir le nombre approprié de licences.

Comment la solution évite-t-elle la mutiple comptabilisation des mêmes assets ?

Tenable.io applique plusieurs méthodologies permettant d'éviter la double ou la triple comptabilisation du même asset dans le cadre du calcul du nombre approprié licence.Pour les assets traditionnels, Tenable.io VM s'appuie sur un algorithme conçu par Tenable qui met en correspondance les assets nouvellement détectés et les assets déjà détectés pour éliminer les doublons et garantir un signalement des vulnérabilités plus précis.Grâce aux conteneurs Docker, Tenable.io Container Security identifie les couches Docker utilisées plusieurs fois au sein des registres de vos conteneurs et les retire de la liste pour le calcul du nombre de licences.Autrement dit, lorsqu'une couche Docker est utilisée dans plusieurs balises, images ou registres, cette couche n'est comptabilisée qu'une seule fois pour déterminer le tarif des licences du produit.

Questions relatives à la sécurité et à la confidentialité des données

La sécurité et la confidentialité des données de ses clients est la priorité de Tenable.Des milliers de clients, tels que des prestataires de services financiers, des prestataires de soins de santé, des détaillants, des institutions scolaires et des agences gouvernementales font confiance à Tenable pour le stockage de leurs données de vulnérabilité au sein de sa plateforme cloud.

La sécurité et la confidentialité des données incluent l'interdiction pour les clients d'accéder à tout données autres que leurs propres données et la garantie que toute personne qui n'est pas cliente, tout cybercriminel, toute personne malveillante ou tout représentant de Tenable non autorisé ne puisse divulguer ou copier les données client stockées au sein du service Tenable.io, y accéder ou ne pas respecter la confidentialité et la protection de ces dernières.

Tenable donne également priorité à la disponibilité et la fiabilité du service Tenable.io, des moyens de contrôle de la sécurité sous-performants pouvant créer des problèmes qui, même s'ils ne mettent pas en péril les données de ses clients, peuvent avoir des répercussions sur la disponibilité du service.Tenable met en œuvre des mesures, et s'assure de leur mise en application, pour garantir la disponibilité élevée du service Tenable.io, le protéger contre d'éventuelles attaques ou de simples pannes et interruptions et le rendre en toutes circonstances accessible à ses clients.

Tenable.io utilise une technologie de conteneurs de pointe pour créer et isoler les environnements client.L'ensemble des comptes client, des données relatives aux vulnérabilités et des paramètres utilisateur sont stockés au sein d'un conteneur exclusivement réservé à chaque client spécifique.Les données stockées au sein d'un conteneur ne sont pas accessibles et ne peuvent pas être mélangées à celles d'un autre conteneur, une approche qui garantit la confidentialité, la sécurité et l'indépendance de chaque environnement client.

Quelles données client la plateforme Tenable.io gère-t-elle ?

En définitive, Tenable.io gère des données client dans un seul et unique but, celui d'offrir une expérience exceptionnelle de gestion des assets et des vulnérabilités pour sécuriser les enivronnements que les clients utilisent.Dans cette optique, Tenable.io gère trois catégories de données client :

  1. Données relatives aux assets et aux vulnérabilités
  2. Données relatives à la performance environnementale
  3. Données relatives à l'utilisation client

Quels assets client et données de vulnérabilité la plateforme Tenable.io gère-t-elle ?

Tenable.io répertorie les assets présents au sein des réseaux des clients et gère les attributs des assets, qui peuvent inclure adresse IP, adresse MAC, nom NetBIOS, système d'exploitation et version, ports actifs et bien plus encore.

Données d'assets Tenable.io
Exemple de données d'assets gérées par Tenable.io

Tenable.io recueille des données détaillées sur la configuration et les vulnérabilités passées et actuelles, qui peuvent inclure critcité, exploitabilité et état de la remédiation, ainsi qu'activité réseau.De plus, si le client complète les données de Tenable.io par des intégrations à des produits tiers, tels que des systèmes de gestion des assets et des systèmes de gestion des correctifs, Tenable.io peut gérer les données de ces produits.

Données de vulnérabilités Tenable.io
Exemples de données de vulnérabilités gérées par Tenable.io

Tenable analyse-t-elle ou utilise-t-elle des données client ?

Actuellement, Tenable n'analyse aucune donnée client de quelque manière que ce soit.Toutefois, à l'avenir, Tenable pourra être amenée à anonymiser et à analyser des donnés client dans le but de déterminer les tendances au sein du secteur, les tendances relatives à l'augmentation des vulnérabilités et à leur atténuation, ainsi que les tendances se rapportant à des événements de sécurité.À titre d'exemple, la mise en correspondance d'une vulnérabilité et de la technique d'exploitation utilisée pourrait représenter des avantages considérables pour les clients de Tenable.Analyses avancées et corrélation optimisée de données client avec des événements et tendances de sécurité et du secteur sont d'autres exemples.La collecte et l'analyse de ce type de données permettraient également aux clients de comparer leurs performances à leurs homologues du secteur ou dans le monde entier.Tenable donnera la possibilité aux clients qui le souhaitent de refuser ce type de traitement.

Quelles données de santé et d'état de Tenable.io sont collectées ?

Pour garantir les performances et la disponibilité de la plateforme Tenable.io, et offrir une expérience optimale à ses utilisateurs, Tenable.io collecte des informations relatives à la santé et à l'état des applications de chaque client.Cela inclut la fréquence de communication de l'outil de scan avec la plateforme, le nombre d'assets analysés et les versions des logiciels déployés, ainsi que d'autres données télémétriques génériques permettant d'identifier et de gérer tout problème potentiel aussi rapidement que possible.

Les utilisateurs peuvent-ils refuser la collecte des données d'état et de santé ?

Tenable utilise des données de santé et d'état pour détecter et gérer d'éventuels problèmes dans les délais impartis, conformément à ses engagements en termes de SLA.Les clients ne peuvent par conséquent pas s'opposer à cette collecte.

Quelles données d'utilisation de Tenable.io sont collectées ?

Pour évaluer et améliorer l'expérience qu'elle offre à ses clients, Tenable collecte des données d'utilisation client anonymisées.Ces données incluent l'accès à des pages, les clics et d'autres activités utilisateur qui permettent à chacun de rationaliser et d'améliorer son expérience.

Les utilisateurs peuvent-ils s'opposer à la collecte de leurs données d'utilisation ?

Oui.Un client peut demander que son conteneur ne fasse plus l'objet du processus de collecte.

Où les données client sont-elles stockées ?

Tenable s'appuie sur des centres de données et des services fournis par Amazon Web Services (AWS) pour mettre sa solution Tenable.io à disposition de ses clients.Par défaut, Tenable créera un conteneur client dans la région la plus appropriée pour garantir la meilleure expérience possible au client en question.Les régions actuelles sont les suivantes :

  • États-Unis,région est
  • États-Unis, région ouest
  • Londres
  • Francfort
  • Sydney

Dans certains cas, avant déploiement, si un client souhaite que son conteneur soit créé dans une région AWS spécifique, Tenable procédera à l'activation de ce client dans cette région.

Le stockage de l'ensemble des données client étant assuré par des services AWS régionaux sécurisés, les certifications relatives à la protection des données au sein de l'UE attribuées à AWS s'appliquent au cloud Tenable.Davantage d'informations sont disponibles à l'adresse : https://aws.amazon.com/compliance/eu-data-protection/.

À l'avenir, la plateforme Tenable.io prendra-t-elle en charge d'autres pays ?Dans l'affirmative, à quelle date ?

Oui.Le calendrier de l'ajout de régions supplémentaires n'est toutefois pas encore défini.

Les données peuvent-elles être stockées dans des régions AWS plutôt que dans la région initiale ?

Dans certains cas, les données peuvent être stockées dans des régions autres que la région AWS initiale.

  • Les clients Tenable.io peuvent exécuter des scans externes à l'aide de pools d'analyse publics partagés disponibles dans un certain nombre de régions AWS.Le choix d'un outil de scan situé à proximité de la cible aboutira en règle générale à des analyses plus rapides.Il est important de noter que, lorsqu'un client utilise un outil de scan cloud situé à un emplacement différent de celui qui héberge son compte, les données d'analyse résideront temporairement en dehors de l'emplacement d'hébergement du compte, sans être stockées.Par exemple, si le compte d'un client est hébergé en UE/Allemagne et que ce dernier réalise une analyse à l'aide d'un outil de scan situé aux États-Unis/en Virginie du Nord, les données d'analyse transiteront temporairement aux États-Unis avant d'être stockées à Francfort.Si l'emplacement des données est problématique, nous recommandons aux clients de réaliser uniquement d'analyses externes à l'aide d'outils de scan cloud au sein de leur région.Les clients peuvent adopter facilement cette approche au cas par cas.
  • Si un client utilise Tenable SecurityCenter®, ses données d'analyse ne sont pas stockées dans le cloud, même s'il utilise Tenable.io pour analyser une partie de l'ensemble de son infrastructure.
  • Les données d'analyse Nessus Agent sont stockées dans Tenable.io lorsque les clients effectuent des scans à partir de Tenable.io.Si des clients exécutent des scans d'agents avec Nessus Manager, les données correspondantes ne sont pas stockées dans Tenable.io, indépendamment de l'endroit où les agents sont déployés.

Un client peut-il exiger que des données restent dans une région/un pays spécifique ?

Oui.Les données sont stockées dans le pays sélectionné lors de la création du compte.

Comment les données client sont-elles protégées dans Tenable.io ?

Tenable met en œuvres de nombreuses mesures de sécurité pour garantir la sécurité et la confidentialité des données de Tenable.io.

Comment Tenable garantit-elle un processus de développement sécurisé ?

Tenable respecte un certain nombre de pratiques pour assurer la sécurité de son logiciel applicatif Tenable.io.

Les tests sont effectués par trois différents groupes au sein de Tenable :

  • Les tests de sécurité sont réalisés par l'équipe de développement ;
  • L'équipe Tenable en charge la sécurité informatique réalise des tests de vulnérabilité sur Tenable.io avant et après déploiement (les tests post-déploiement ne sont pas planifiés et ne sont pas communiqués aux autres équipes) ; et
  • Tenable prévoit une phase additionnelle de contrôle portant sur la sécurité du code source, ainsi que des modifications avant déploiement.

L'ensemble du déploiement de nos logiciels est automatisé et réalisé uniquement via le système de build, authentifié via des identifiants LDAP d'entreprise ou par Ansible, dont l'authentification est effectuée à l'aide de clés SSH privées.Tous les déploiements font l'objet d'une consignation et d'un suivi. Une notification du déploiement (planifié ou non planifié) est automatiquement envoyée à l'équipe de développement Tenable.

Un suivi de l'ensemble des modifications apportées au code source est assuré, ces dernières étant associées à la version correspondante.Ce suivi garantit l'existence d'un historique complet de toutes les modifications, de leurs auteurs, du moment auquel elles ont été apportées et, enfin, du moment auquel la modification a été déployée en production.

Tous les déploiements sont approuvés par au moins deux membres de l'équipe Tenable.L'ensemble des modifications et des déploiements sont communiqués à l'ensemble des membres de notre équipe.Les logiciels sont en premier lieu déployés au sein d'environnements de test, puis en « mode rolling » dans des instances de production au cours d'une fenêtre de temps définie.

Quels sont les moyens de sécurité disponibles pour les applications client ?

  • Garantir l'accès à Tenable.io de manière sécurisée et autorisée est une priorité pour nos équipes de développement et opérationnelles.Tenable.io offre un certain nombre de mécanismes pour assurer la sécurité des données client et contrôler les accès.Nous protégeons nos systèmes contre les attaques par force brute en bloquant les comptes après cinq (5) tentatives de connexion infructueuses.
  • Pour éviter toute interception de données, l'ensemble des communications avec la plateforme sont chiffrées à l'aide du protocole SSL (TLS-1.2).Les négociations SSL non sécurisées d'ancienne génération sont par ailleurs rejetées pour garantir un niveau optimal de protection.
  • Pour sécuriser l'accès à leur plateforme, les clients peuvent configurer une authentification à deux facteurs grâce aux services fournis par Twillo.
  • Les clients ont la possibilité d'intégrer Tenable.io à leur déploiement SAML.Tenable.io prend en charge les demandes initiées par les IdP et les SP.Enfin, les utilisateurs peuvent réinitialiser leur mot de passe directement dans l'application à l'aide de leur adresse e-mail.
  • Les clients peuvent établir des connexions client à Tenable.io à l'aide de nos API ou SDK.Il est possible d'octroyer et de contrôler les accès en créant des « clés » API spécifiques.L'utilisation de clés distinctes correspondant à différentes intégrations est prise en charge sans avoir à saisir d'identifiants utilisateur.

Comment les données client sont-elles protégées ?

Tenable met en œuvres de nombreuses mesures de sécurité pour garantir la sécurité et la confidentialité des données de Tenable.io.

Comment les données sont-elles chiffrées ?

Toutes les données de la plateforme Tenable.io, quel que soit leur statut, sont chiffrées à l'aide d'au moins un niveau de chiffrement, qui ne saurait être inférieur au protocole AES-256.

Données au repos – Les données sont stockées sur un support chiffré à l'aide d'au moins un niveau de chiffrement AES-256.

Certaines catégories de données incluent un second niveau de chiffrement au niveau du fichier.

Données en transit – Les données sont chiffrées pendant leur transit à l'aide du protocole TLS v1.2 par le biais d'une clé 4 096 bits (transit en interne inclus).

Outils de scan Tenable.io – Le trafic émanant des outils de scan en direction de la plateforme est toujours initié par l'outil de scan, en mode sortant uniquement, sur le port 443.Le trafic est chiffré via une communication SSL s'appuyant sur le protocole TLS 1.2 par le biais d'une clé 4 096 bits.Cela élimine la nécessité d'apporter des modifications au pare-feu et permet au client de contrôler les connexions grâce à des règles définies au niveau du pare-feu.

  • Authentification des outils de scan auprès de la plateforme
    • La plateforme génère une clé aléatoire d'une longueur de 256 bits pour chaque outil de scan connecté au conteneur et transmet cette clé à l'outil de scan pendant le processus d'établissement de la liaison.
    • Les outils de scan utilisent cette clé pour s'authentifier auprès du contrôleur lors de l'envoi de leurs requêtes, lors des mises à jour du plugin et lors des mises à jour de leur fichier binaire.
  • Communication des tâches des outils de scan à la plateforme
    • Les outils de scan contactent la plateforme toutes les 30 secondes.
    • Si une tâche doit être effectuée, la plateforme génère une clé aléatoire de 128 bits.
    • L'outil de scan interroge la plateforme sur la politique à appliquer.
    • Le contrôleur utilise la clé pour chiffrer la politique, qui inclut les identifiants à utiliser lors du scan.

Sauvegarde/Réplication – Les snapshots de volume et les réplications de données sont stockés avec le même niveau de chiffrement que leur source, soit au moins le protocole AES-256.L'ensemble des opérations de réplication sont effectuées par l'éditeur de la solution.Tenable ne sauvegarde aucune donnée sur des supports hors site physiques ni dans des systèmes physiques.

Données indexées – Les données indexées sont stockées sur un support chiffré à l'aide d'au moins un niveau de chiffrement AES-256.

Identifiants des scans – Les identifiants des scans sont stockés dans une politique chiffrée au sein de la clé AES-256 globale des conteneurs.Lorsque des scans sont lancés, la politique est chiffrée à l'aide d'une clé 128 bits aléatoire à usage unique et transmise à l'aide du protocole TLS v1.2 par le biais d'une clé 4 096 bits.

Gestion des clés – Les clés sont stockées de manière centralisée et sont chiffrées à l'aide d'une clé basée sur le rôle de l'utilisateur. Leur accès est limité.L'ensemble des données chiffrées stockées peuvent être associées à une nouvelle clé.Les clés de chiffrement des fichiers de données sont différentes pour chaque site régional, de la même façon que les clés au niveau des disques.La divulgation des clés est interdite et les procédures de gestion des clés sont révisées tous les ans.

Les clients peuvent-ils charger leurs propres clés ?

La gestion des clés ne peut pas être configurée par le client.Tenable gère les clés et la rotation des clés.

Tenable dispose-t-elle de certifications relatives à la sécurité ou à la confidentialité, telles que Privacy Shield ou CSA STAR ?

Tenable respecte les programmes « EU-U.S.Privacy Shield Framework » et « Swiss – U.S.Privacy Shield Framework » tel qu'actés parle ministère du Commerce des États-Unis eu égard à la collecte, à l'utilisation et à la conservation des données à caractère personnel transférées depuis l'Union européenne et la Suisse vers les États-Unis, respectivement.Tenable a certifié au ministère du Commerce des États-Unis qu'elle respectait les principes « Privacy Shield ».En cas de conflit entre les termes de la politique de confidentialité de Tenable et les principes « Privacy Shield », ces derniers prévaudront.Pour de plus amples informations sur le programme « Privacy Shield » et pour consulter nos certifications, rendez-vous sur https://www.privacyshield.gov/

Tenable a obtenu la certification Cloud Security Alliance (CSA) STAR au terme d'un processus d'auto-évaluation. En remplissant le questionnaire Consensus Assessment Initiative Questionnaire (CAIQ), Tenable a répondu à plus de 140 questions relatives à la sécurité dont un client intéressé par Tenable.io, l'un de nos clients existants ou l'un de nos partenaires peut avoir besoin.CSA STAR est le programme le mieux établi du secteur en ce qui concerne les garanties de sécurité dans le cloud.Le registre STAR (Security Trust & Assurance Registry) couvre des aspects fondamentaux tels que la transparence, la rigueur des audits et la standardisation, et inclut meilleures pratiques et validation du positionnement en termes de sécurité des offres cloud.

Comment les informations personnelles identifiables sont-elles protégées ?

Tout est mis en œuvre pour que la plateforme Tenable.io ne collecte pas de données personnelles identifiables dans un format qui exigerait des certifications ou des mesures de sécurité additionnelles.Cela inclut les numéros de carte bancaire, les numéros de sécurité sociale et autres vérifications.Lorsque les plugins de Tenable détectent des chaînes de caractères susceptibles de contenir des informations sensibles ou à caractère personnel, la plateforme masquera au moins 50 % les caractères pour protéger les données pouvant se révéler sensibles.

Les données client sont-elles cloisonnées ?

Les données de chaque client sont marquées à l'aide d'un « identifiant de conteneur » qui correspond à un abonnement client spécifique.Cet identifiant de conteneur garantit que l'accès aux données d'un client est exclusivement limité au client en question.

Quels moyens de contrôle de la sécurité protègent la plateforme Tenable.io ?

  • Tenable réalise tous les jours des scans de vulnérabilités.
  • Les pare-feu et la segmentation réseau contrôlent les accès.
  • Des outils et processus automatisés surveillent la disponibilité et les performances de la plateforme Tenable.io, et détectent les comportements anormaux.
  • Les journaux sont surveillés 24 h/24, 7 j/7, 365 j/an par des systèmes automatisés et les équipes de Tenable sont disponibles 24 h/24, 7 j/7, 365 j/an en cas d'événement.

De quelle manière les outils de scan Tenable.io sont-ils sécurisés ?

Les outils de scan qui se connectent à la plateforme jouent un rôle majeur pour la sécurité du client, en collectant des informations sur les assets et les vulnérabilités.La protection de ces données et la sécurisation des canaux de communication est une fonction fondamentale de la plateforme Tenable.io.Tenable.io est actuellement compatible avec plusieurs outils de scan :outils de scan des vulnérabilités Nessus, outils de scan passifs et agents Nessus.

Ces outils de scan se connectent à Tenable.io après s'être authentifiés auprès de la plateforme et avoir établi une liaison avec cette dernière, le tout au cours de communications chiffrées.Après établissement de la liaison, Tenable.io gère l'ensemble des mises à jour (plugins, code, etc.) pour s'assurer que les outils de scan sont à jour en toutes circonstances.

Le trafic émanant des outils de scan en direction de la plateforme est toujours initié par l'outil de scan, en mode sortant uniquement, sur le port 443.Le trafic est chiffré via une communication SSL s'appuyant sur le protocole TLS 1.2 par le biais d'une clé 4 096 bits.Cela élimine la nécessité d'apporter des modifications au pare-feu et permet au client de contrôler les connexions grâce à des règles définies au niveau du pare-feu.

  • Authentification des outils de scan auprès de la plateforme
    • La plateforme génère une clé aléatoire d'une longueur de 256 bits pour chaque outil de scan connecté au conteneur et transmet cette clé à l'outil de scan pendant le processus d'établissement de la liaison.
    • Les outils de scan utilisent cette clé pour s'authentifier auprès du contrôleur lors de l'envoi de leurs requêtes, lors des mises à jour du plugin et lors des mises à jour de leur fichier binaire.
  • Communication des tâches des outils de scan à la plateforme
    • Les outils de scan contactent la plateforme toutes les 30 secondes.
    • Si une tâche doit être effectuée, la plateforme génère une clé aléatoire de 128 bits.
    • L'outil de scan interroge la plateforme sur la politique à appliquer.
    • Le contrôleur utilise la clé pour chiffrer la politique, qui inclut les identifiants à utiliser lors du scan.

Comment la disponibilité de la plateforme Tenable.io est-elle gérée ?

Tout est mis en œuvre pour que les services Tenable.io offrent une disponibilité de 99,95 % ou plus, un pourcentage qui atteint en pratique 100 % pour la plupart des services.Tenable a élaboré un SLA qui décrit son engagement à garantir la disponibilité de la plateforme pour l'ensemble des utilisateurs et détaille la façon dont des crédits sont accordés aux clients en cas de temps d'arrêt non planifié.

L'état « Disponible » est déterminé par des tests de disponibilité publics réalisés par un tiers qui vérifie régulièrement la disponibilité de l'ensemble des services.Le temps de disponibilité des services (actuels et passés) est disponible à l'adresse : http://uptime.tenable.com/. Ce site fournit par ailleurs les taux de disponibilité quotidiens, mensuels, trimestriels et annuels.

Tenable.io s'appuie sur la plateforme AWS et d'autres technologies de référence pour garantir que l'expérience qu'elle offre ses clients est associée à un service optimal et à une qualité globale de premier plan.Voici une liste non exhaustive des solutions déployées et des avantages qu'elles procurent aux clients :

  • Clusters ElasticSearch - Les clusters Elasticsearch sont associés à une disponibilité extrêmement élevée et peuvent être restaurés suite à la perte de nœuds maîtres, de nœuds lb et d'au moins un nœud de données, sans répercussions sur la disponibilité des services.
  • Elastic Block Stores - utilisés pour prendre des snapshots quotidiens et stocker huit (8) copies
  • Écosystème Kafka - Kafka et Zookeeper permettent tous deux de répliquer des données au sein du cluster pour offrir une tolérance aux pannes si une défaillance majeure d'un nœud devait se produire.
  • Instances Postgres - gèrent le framework de microservices back-end pour le stockage de 30 jours de snapshots

À quel endroit les données sont-elles répliquées ?

Les données répliquées sont stockées dans la même région.

Quelles procédures de reprise après sinistre sont mises en œuvre ?

Les sinistres sont des événements qui aboutissent à une perte irréversible de données ou d'équipements dans une ou plusieurs régions.

Les procédures de reprise après sinistre de Tenable.io prévoient plusieurs niveaux et sont conçues pour réagir à des situations pouvant se produire à n'importe quel endroit, d'une fois tous les cinq ans à une fois tous les 50 ans.En fonction de la portée du sinistre, les procédures de reprise peuvent nécessiter de 60 minutes à 24 heures.

Qui peut accéder aux données client ?

Les clients déterminent les personnes pouvant accéder à leurs données, notamment en attribuant des rôles et des autorisations à leur personnel, et en octroyant des accès temporaires par le biais de l'équipe d'assistances de Tenable.

Comment les rôles et autorisations utilisateur sont-ils gérés ?

Les administrateurs client de Tenable.io peuvent attribuer des rôles utilisateur (de base, standard, administrateur et désactivé) pour gérer les accès aux scans, politiques, outils de scan, agents et listes d'assets.

Les équipes de Tenable peuvent-elles accéder aux données client ?

Oui.Avec l'autorisation du client, des membres de niveau trois de l'équipe d'assistance mondiale de Tenable peuvent utiliser des comptes en se faisant passer pour l'utilisateur afin de réaliser des opérations dans Tenable.io au nom d'un utilisateur sans avoir besoin du mot de passe de ce dernier.L'équipe d'assistance de Tenable, ou le client, peuvent demander l'activation de cette fonctionnalité.L'équipe d'assistance de Tenable demandera ainsi au client « d'approuver » cette procédure via l'ajout d'une note à un ticket d'assistance ouvert.Une autorisation est nécessaire pour chaque ticket transmis à l'assistance.Tenable n'interviendra à aucun moment sur une simple confirmation.L'utilisation d'un compte en se faisant passer pour l'utilisateur peut entraîner un transfert de données, de leur emplacement initial à un autre emplacement.

Il est demandé à l'ensemble des équipes opérationnelles Tenable.io de se soumettre à une vérification de leurs antécédents par un tiers.En outre, l'ensemble des postes à hautes responsabilités sont confiés à des personnes disposant d'au moins cinq ans d'expérience au sein d'entreprises éditrices de logiciels de sécurité SaaS, nombre d'entre elles ayant passé des certifications de sécurité, telles que CISSP.

Tenable met en œuvre un processus d'embauche et de cessation d'emploi bien défini.Il est ainsi demandé à l'ensemble de ses collaborateurs de signer des accords de non-divulgation lors de leur embauche. L'intégralité des comptes et des clés d'accès sont par ailleurs immédiatement révoqués dès qu'un collaborateur quitte l'entreprise.

Qui peut utiliser un compte en se faisant passer pour l'utilisateur ?

Seuls les membres de l'équipe d'assistance de Tenable de niveau trois sont autorisés à utiliser un compte en se faisant passer pour l'utilisateur.

Les activités relatives à l'utilisation d'un compte se faisant passer pour l'utilisateur sont-elles consignées ?

Oui.

Les données quittent-elles le pays lorsque Tenable résout un problème technique ?

Tenable met tout en œuvre pour garantir que les données de ses clients sont protégées et que leurs politiques sont respectées en travaillant avec ces derniers pour s'assurer que les données restent bel et bien dans la région définie.Cependant, dans certains cas, il se peut que des clients envoient un rapport par e-mail à Tenable ou ne respectent pas eux-mêmes leur propre politique en envoyant des e-mails en dehors de leur région.

L'équipe d'assistance de Tenable a-t-elle accès au réseau interne du client ?

Non.L'ensemble du trafic est initié par l'outil de scan, en mode sortant uniquement.Les outils de scan sont installés derrière le pare-feu du client. Ce dernier peut contrôler l'accès des outils de scan via son pare-feu.

Pendant combien de temps les données client sont-elles conservées dans Tenable.io ?

Les périodes de rétention des données sont conçues pour répondre aux diverses exigences client et réglementaires.

Pendant combien de temps les données des scans actifs sont-elles conservées ?

L'évaluation dans le temps est une fonction principale de la plateforme Tenable.io.Tenable.io stockera automatiquement les données client pendant 15 mois pour permettre aux clients d'analyser leurs performances sur une période d'un an.

Si des clients ont besoin de stocker leurs données pendant plus de 15 mois, Tenable.io propose plusieurs méthodes leur permettant de télécharger des données client et de les stocker s'ils le souhaitent.

Si un client résilie son abonnement au service Tenable.io, pendant combien de temps les données sont-elles conservées ?

Si le compte d'un client arrive à expiration ou est résilié, Tenable conservera les données telles qu'à la date d'expiration, et ce pendant 180 jours maximum.Passé ce délai, ces données seront supprimées et ne pourront pas être récupérées.

Pendant combien de temps les données relatives à la réglementation PCI sont-elles conservées ?

Les données faisant l'objet d'un processus de validation de la conformité PCI sont conservées pendant un délai d'au moins trois ans après la date de l'attestation PCI, tel qu'exigé par les réglementations PCI.Tenable conserve ces données pendant ce délai, même si le client choisit de supprimer ses scans ou son compte, ou de résilier son abonnement au servicer Tenable.io.

Pendant combien de temps les données d'utilisation de Tenable.io sont-elles conservées ?

Pour garantir la meilleure expérience possible, Tenable collecte ces informations tant qu'un conteneur client reste actif.Si le client résilie son abonnement au service, les données sont conservées pendant 180 jours maximum.

La plateforme Tenable.io est-elle certifiée Common Criteria ?

La certification Common Criteria ne s'applique généralement pas aux solutions SaaS, la fréquence de leurs mises à jour ne permettant pas de procéder à une certification nécessitant habituellement de 6 à 9 mois.

Un client peut-il choisir le pays de stockage de ses données ?

Dans certains cas, avant déploiement, si un client souhaite déployer le système dans une région spécifique, Tenable procédera à l'activation de ce client dans cette région.Les régions actuelles sont les suivantes :

  • États-Unis,région est
  • États-Unis, région ouest
  • Londres
  • Francfort
  • Sydney

Les données sont-elles stockées à plusieurs emplacements au sein d'un pays ?

Non.Tenable ne réplique actuellement aucune donnée d'une région à une autre.

PCI ASV

Qu'est-ce qu'un ASV PCI ?

PCI ASV fait référence à l'article 11.2.2 de la norme Payment Card Industry sur la sécurité des données (PCI DSS), Procédures d'évaluation de sécurité et exigences, qui impose la réalisation de scans externes trimestriels des vulnérabilités, ou leur certification, par un ASV (Approved Scanning Vendor).Un ASV est un organisme offrant un ensemble de services et d'outils (« ASV Scanning Solution ») permettant de valider le respect de l'exigence portant sur les scans externes de l'article 11.2.2 de la norme PCI DSS.

Quels systèmes sont inclus dans la portée d'un scan réalisé par un ASV ?

La norme PCI DSS impose la réalisation de scans des vulnérabilités au niveau de tous composants système accessibles en externe (connectés à Internet) détenus ou utilisés par le client faisant l'objet du scan, qui font partie de l'environnement de données du titulaire de la carte bancaire, ainsi que de tout composant système en contact avec l'extérieur qui permet d'accéder à l'environnement de données du titulaire de la carte bancaire.

Quel est le processus mis en œuvre par ASV ?

Les principales phases d'un scan réalisé par un ASV comprennent :

  • Établissement de la portée : opération réalisée par le client pour inclure l'ensemble des composants système connectés à Internet faisant partie de l'environnement de données du titulaire de la carte bancaire.
  • Réalisation du scan : à l'aide du modèle de scan externe trimestriel Tenable.io VM PCI
  • Rapport/rémediation : remédiation des résultats des rapports intermédiaires.
  • Résolution des conflits : client et ASV travaillent de pair pour documenter et résoudre les résultats de scan faisant l'objet d'un désaccord.
  • Réalisation d'un autre scan (le cas échéant) : jusqu'à réalisation d'un scan conforme, sans conflit ni exception.
  • Rapport final : envoyé et mis à disposition de manière sécurisée.

Quelle est la fréquence des scans réalisés par un ASV ?

Les scans de vulnérabilités réalisés par un ASV doivent être effectués tous les trimestres et après tout changement significatif affectant le réseau, tel que l'installation de nouveaux composants système, les modifications apportées à la topologie réseau, les changements relatifs aux règles de pare-feu ou les mises à niveau produit.

Quelle est la différence entre un ASV (Approved Scanning Vendor) et un QSA (Qualified Security Assessor) ?

Un ASV ne réalise que des scans externes de vulnérabilités conformes à l'article 11.2 de la norme PCI DSS. Le terme QSA (Qualified Security Assessor) fait référence à une entreprise qui réalise des contrôles, formée et certiifée par le PCI Security Standards Council (SSC) pour réaliser des évaluations PCI DSS globales sur site.


Fonctions de la solution Tenable.IO PCI ASV

Tenable est-elle certifiée ASV PCI ?

Oui.Tenable est certifiée en tant qu'ASV (Approved Scanning Vendor) pour valider les scans externes de vulnérabilités des environnements connectés à Internet (utilisés pour stocker, traiter ou transmettre des données relatives aux titulaires d'une carte bancaire) des commerçants et des prestataires de services.Le processus de certification d'un ASV comprend trois phases, la première impliquant la certification de Tenable en tant que société éditrice de solutions.La deuxième phase porte sur la certification des collaborateurs de Tenable responsables des services de scan PCI à distance.La troisième inclut les tests de sécurité de la solution de scan à distance de Tenable (Tenable.io Vulnerability Management et Tenable.io PCI ASV).

En tant qu'ASV (Approved Scanning Vendor), Tenable réalise-t-elle des scans ?

Les ASV peuvent réaliser des scans.Toutefois, Tenable Confie à ses clients la responsabilité de réaliser leurs propres scans à l'aide du modèle de scan externe trimestriel PCI.Ce modèle rend la modification des paramètres de configuration, telle que la désactivation des vérifications des vulnérabilités, l'attribution des niveaux de sévérité, l'altération des paramètres de scan, etc. impossible côté client.Les clients utilisent les outils de scan cloud Tenable.io VM pour analyser leurs environnements connectés à Internet, puis transmettre leurs rapports de scans conformes à Tenable pour certification.Tenable certifie les rapports de scans. Le client les fait ensuite parvenir à ses acquéreurs ou fournisseurs de services de paiement, comme spécifié par ces derniers.

Quelles sont les différences entre le nouveau produit et le produit existant ?

Les fonctions nouvelles ou améliorées incluent :

  • Une interface unique permettant aux utilisateurs de scanner, gérer, envoyer et réaliser le processus de certification ASV.
  • Possibilité pour plusieurs personnes de signaler des conflits et d'envoyer des rapports pour la certification ASV.
  • Possibilité d'appliquer les mêmes conflits/exceptions à plusieurs adresses IP.(Possibilité de créer des conflits en fonction de plugins plutôt que d'assets)
  • Possibilité de marquer une adresse IP comme étant hors portée
  • Possibilité d'annoter les contrôles compensatoires

Souveraineté des données

La solution Tenable.io PCI ASV est-elle conforme aux exigences relatives à la souveraineté des données de l'UE ?

Les données relatives aux vulnérabilités ne sont pas couvertes par la directive UE DPD 95/46/EC, les exigences concernant le lieu de stockage de ces données doivent ainsi être établies par le client, sans être définies par la réglementation.Il se peut que les organisations gouvernementales des États membres de l'UE aient leurs propres exigences relatives au lieu de stockage de leurs données. Ces dernières doivent toutefois être évaluées au cas par cas, sans être nécessairement problématiques pour les scans réalisés par un ASV PCI.


Tarification/Licence/Commande Tenable.io ASV

La solution Tenable.io VM inclut-elle des licences PCI ASV ?

Oui, Tenable.io VM inclut une licence PCI ASV pour un seul et unique asset PCI.Certains organismes ont de grandes difficultés à limiter le nombre d'assets inclus dans la portée de la norme PCI, car elles externalisent fréquemment leurs fonctions de traitement des paiements.Ses clients ne faisant de toute évidence pas partie de l'écosystème PCI, Tenable a simplifié les procédures d'achat et d'octroi de licences les concernant.Un client peut modifier son asset tous les 90 jours.

Sous quelle forme les licences Tenable.io PCI ASV sont-elles proposées ?

Pour les clients disposant de plus d'un seul et unique asset PCI, les licences de la solution Tenable.io PCI ASV sont disponibles sous la forme d'un module complémentaire pouvant être ajouté aux abonnements Tenable.io Vulnerability Management.

Pourquoi les licences de la solution Tenable.io PCI ASV Ne sont-elles pas octroyées en fonction du nombre d'assets PCI connectés à Internet d'un client ?

Le nombre d'hôtes connectés à Internet permettant d'accéder à l'environnement de données des titulaires de carte bancaire d'une entité, ou situés en son sein, peut évoluer souvent, ce qui complique la création de licences.Tenable a choisi d'utiliser une approche plus simple en terme d'octroi de licences.

Combien d'attestations un client peut-il envoyer par trimestre ?

Les clients peuvent envoyer un nombre illimité d'attestations trimestrielles.

Les clients utilisant une version d'essai/évaluation sont-ils éligibles à l'évaluation Tenable.io PCI ASV ?

Oui. Les clients utilisant une version d'évaluation peuvent utiliser le modèle de scan externe trimestriel PCI pour analyser des assets et consulter les résultats, ainsi que les conflits détectés.Ils ne peuvent toutefois pas envoyer de rapports de scans pour attestation.

Comment les clients Tenable.io VM existants passeront-ils à la nouvelle solution ?

La nouvelle solution sera activée automatiquement le 24 juillet 2017. Les clients de Tenable seront ainsi en mesure de l'utiliser pour leur prochain scan PCI ASV.Les clients existants n'auront pas besoin d'acquérir une licence pour cette nouvelle option PCI ASV pendant un délai minimum d'un an.

De quelle manière les clients SecurityCenter disposant actuellement de licences PCI ASV passeront-ils à la nouvelle solution ?

Les clients SecurityCenter® qui disposent déjà d'une licence Scan PCI/externe commenceront à utiliser Tenable.io PCI ASV dès son lancement.Il suffira à ces clients de renouveler leur abonnement à l'aide de leurs références actuelles.Il peut cependant être pertinent d'acquérir plutôt une licence Tenable.io PCI ASV.

Essayer gratuitement Acheter dès maintenant

Essayer Tenable.io Vulnerability Management

GRATUIT PENDANT 60 JOURS

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne, hébergée dans le cloud, qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Inscrivez-vous maintenant et lancez votre premier scan en 60 secondes.

Acheter Tenable.io Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets
Essayer gratuitement Acheter dès maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui l'outil de scan de vulnérabilités le plus complet du marché.Nessus Professional vous donne les moyens d'automatiser le processus de scan de vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe informatique.

Acheter Nessus Professional

Nessus® est aujourd'hui l'outil de scan de vulnérabilités le plus complet du marché.Nessus Professional vous donne les moyens d'automatiser le processus de scan de vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe informatique.

Achetez votre licence de 1, 2 ou 3 ans dès aujourd'hui.