Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

FAQ Tenable.io

Essayer Tenable.io

Lancez votre premier scan en moins de 60 secondes.

Découvrir

Questions générales

Qu'est-ce que Tenable.io® ?

Tenable.io® fait partie intégrante de la plateforme de Cyber Exposure Tenable. Il fournit des informations exploitables sur les risques de sécurité de l'ensemble de votre infrastructure, vous permettant ainsi d'identifier, d'examiner et de prioriser rapidement et précisément les vulnérabilités et les défauts de configuration de votre environnement IT moderne.

Tenable.io vous permet de visualiser clairement votre posture de sécurité et de conformité. S'appuyant sur la technologie d'évaluation des vulnérabilités de référence de Tenable appelée Nessus®, Tenable.io offre une nouvelle approche orientée assets qui assure avec précision le suivi de vos ressources et prend en charge les assets dynamiques tels que le cloud et les conteneurs. Pour optimiser visibilité et informations exploitables, Tenable.io priorise vos vulnérabilités avec efficacité tout en s'intégrant facilement à votre environnement.

Outre les fonctionnalités de gestion des vulnérabilités fournies par Tenable.io, la plateforme de Cyber Exposure Tenable propose des applications qui répondent à d'autres besoins de sécurité spécifiques, notamment Tenable.io Web Application Scanning et Tenable.io Container Security. Ces applications peuvent faire l'objet de licences individuelles, sans aucun prérequis ni autre obligation d'achat.

Comment puis-je en savoir plus sur Tenable.io ?

Pour en savoir plus sur Tenable.io, rendez-vous sur la page produit Tenable.io, assistez à un webinaire ou contactez votre partenaire Tenable certifié ou votre représentant Tenable pour demander davantage d'informations.

Comment puis-je tester les applications Tenable.io ?

Inscrivez-vous à l'adresse http://www.tenable.com/how-to-buy pour accéder à une version d'évaluation gratuite de Tenable.io.

Comment puis-je acquérir des applications Tenable.io ?

Vous pouvez acquérir nos solutions par l'intermédiaire de votre partenaire Tenable certifié local, en contactant votre représentant Tenable ou en vous rendant sur le site tenable.com.

Est-il possible d'acquérir des licences individuelles pour les applications Tenable ?

Oui. Il est possible d'acquérir des licences individuelles pour l'ensemble des applications Tenable.io. Par exemple, il est possible d'acheter des licences distinctes pour les solutions Tenable.io Container Security et Tenable.io Web Application Scanning, sans les fonctions de gestion des vulnérabilités de Tenable.io.

Quels sont les tarifs de Tenable.io et qu'en est-il des licences ?

Les licences Tenable.io s'appuient sur un abonnement annuel dont le tarif est défini en fonction du nombre d'assets, plutôt que d'adresses IP. Cette approche permet aux clients d'adopter de nouvelles technologies telles que le cloud, en évitant toute double facturation.

Pour plus d'informations sur les tarifs et les licences, consultez la rubrique ci-dessous.

Quelle est la définition d'un asset ?

Un asset est une entité qui peut être analysée. Postes fixes, ordinateur portables, serveurs, appareils de stockage, appareils réseaux, téléphones, tablettes, machine virtuelles, instances cloud et conteneurs en sont quelques exemples.

Pour plus d'informations sur les tarifs et les licences, consultez la rubrique ci-dessous.

Quels sont les tarifs des autres applications Tenable.io et qu'en est-il des licences ?

Les licences Tenable.io Container Security et Tenable.io Web Application Scanning s'appuient sur un abonnement annuel dont le tarif est défini en fonction du nombre d'assets. Le tarif des licences Tenable.io Container Security se fonde sur le volume de stockage total correspondant au nombre d'images uniques de conteneurs évalué par le produit et le tarif des licences Tenable.io Web Application Scanning est défini en fonction du nombre total de noms de domaines FQDN évalué par le produit.

Pour plus d'informations sur les tarifs et les licences, consultez la rubrique ci-dessous.

Un accord de niveau de service (SLA) est-il offert par Tenable pour Tenable.io ?

Oui, Tenable fournit le meilleur taux de disponibilité garanti du secteur de la gestion des vulnérabilités grâce à un accord de niveau de service (SLA) bien établi propre à Tenable.io. Des crédits de services vous sont octroyés si le SLA n'est pas respecté, à l'instar des fournisseurs de services cloud de référence tels qu'Amazon Web Services.

Où puis-je trouver de la documentation sur Tenable.io ?

La documentation technique de l'ensemble des produits Tenable, notamment de Tenable.io, sont disponibles à l'adresse https://docs.tenable.com/.

Quelles adresses IP la solution Tenable utilise-t-elle pour les scans à partir du cloud ?

Par défaut, la configuration de Tenable.io inclut des outils de scan cloud spécifiques à votre région. Pour de plus amples informations, consultez notre documentation.

Le lancement de Tenable.io affecte-t-il Tenable.sc ?

Non. Cela n'affecte aucunement la solution Tenable.sc ni les clients qui l'utilisent. La solution Tenable.io est notre plateforme de Cyber Exposure basée sur le cloud. La solution Tenable.sc, quant à elle, est notre plateforme de Cyber Exposure conçue pour les clients qui préfèrent une solution sur site.

Puis-je utiliser à la fois Tenable.sc et Tenable.io ?

Oui. Vous pouvez utiliser les deux solutions. Il est d'ailleurs fort probable qu'un grand nombre de clients Tenable.sc souhaitent utiliser Tenable.io Web Application Scanning, Tenable.io PCI ASV et/ou Tenable.io Container Security en complément de Tenable.sc.

Puis-je migrer de Tenable.sc vers Tenable.io ?

Oui. Nous proposons aux clients intéressés un éventail d'options leur permettant de migrer facilement de Tenable.sc vers Tenable.io, avec une assistance complète fournie par Tenable ou votre partenaire certifié. Pour de plus amples informations, contactez votre partenaire Tenable certifié ou votre représentant Tenable.

Qu'est-ce que Tenable.io Web Application Scanning ?

Tenable.io Web Application Scanning offre des fonctions complètes de scan des vulnérabilités pour les applications web modernes. Sa couverture exhaustive des vulnérabilités permet de réduire au minimum les faux positifs et négatifs, en garantissant que les équipes de sécurité comprennent les véritables risques de sécurité auxquels sont exposés leurs applications web.

Cette solution propose des scans externes sécurisés qui garantissent que les applications web mises en production, même celles conçues à l'aide des frameworks HTML5 et AJAX, ne subissent pas de perturbations ni de retards. Lorsque des problèmes sont identifiés, les équipes de sécurité peuvent consulter un dashboard intuitif qui présente les informations dont elles ont besoin pour évaluer et gérer les vulnérabilités.

Où puis-je en apprendre davantage sur la solution Tenable.io Web Application Scanning ou la tester ?

Pour de plus amples informations sur Tenable.io Web Application Scanning, rendez-vous sur la page produit Tenable.io. Inscrivez-vous à l'adresse tenable.com/try-was pour accéder à une version d'essai gratuite ou contactez votre partenaire Tenable certifié ou votre représentant Tenable pour demander davantage d'informations.

Votre produit analyse-t-il le code source ou réalise-t-il des analyses statiques ?

Non. Tenable.io Web Application Scanning est une solution DAST (Dynamic Application Security Testing) qui teste une application web « de l'extérieur » lorsque l'application est exécutée en environnement de test ou de production.

Qu'est-ce que Tenable.io Container Security ?

En tant que seul et unique système de sécurité des conteneurs intégré à une plateforme de gestion des vulnérabilités, Tenable.io Container Security surveille en continu les images de conteneur pour détecter toute vulnérabilité, tout malware et toute non-conformité aux politiques de l'entreprise. En intégrant en amont la sécurité au processus de conception des conteneurs, les entreprises sont en mesure de disposer d'une visibilité sur leurs risques de sécurité cachés présents au sein de leurs conteneurs et de les corriger avant qu'ils n'atteignent la phase de production, sans pour autant ralentir les cycles d'innovation.

Basée sur la technologie FlawCheck, la solution Tenable.io Container Security stocke les images de conteneur et les scanne à mesure qu'elles sont conçues. Elle permet ainsi de détecter les vulnérabilités et les malwares, tout en permettant la surveillance continue des images de conteneur. Grâce à son intégration à des systèmes de déploiement et d'intégration continus (CI/CD) qui conçoivent des images de conteneur, Tenable.io Container Security garantit que tous les conteneurs atteignant la phase de production sont sécurisés et conformes aux politiques de l'entreprise.

Où puis-je en apprendre davantage sur la solution Tenable.io Container Security ou la tester ?

Pour de plus amples informations sur Tenable.io Container Security, rendez-vous sur la page produit Tenable.io. Inscrivez-vous à l'adresse tenable.com/try-container pour accéder à une version d'essai gratuite ou contactez votre partenaire Tenable certifié ou votre représentant Tenable pour demander davantage d'informations.

Qu'est-ce que la gestion centralisée des informations d'authentification (CCM) dans Tenable.io et quels sont ses avantages ?

La gestion centralisée des informations d'authentification permet de créer des informations d'authentification en isolement, puis de les appliquer aux scans. Depuis toujours, Tenable.io associe informations d'authentification et politiques de scan. Auparavant, chaque fois qu'un scan était créé, les informations d'authentification des assets ciblés devaient être saisies. Si plusieurs scans ciblaient les mêmes assets, les informations d'authentification devaient être saisies plusieurs fois. Si elles venaient à changer, elles devaient alors être modifiées à chaque scan ciblant ces assets.

La gestion centralisée des informations d'authentification présente de nombreux avantages :

  • Elle permet la séparation des rôles entre ceux qui créent les informations d'authentification et ceux qui peuvent les utiliser dans le cadre d'un scan.
  • Elle permet de réutiliser les informations d'authentification plusieurs fois sans devoir les saisir à chaque fois, ce qui est particulièrement problématique lorsque les personnes responsables des informations d'authentification et celles responsables des scans sont des personnes différentes au sein de l'entreprise.
  • Elle permet une mise à jour unique des informations d'authentification et de faire en sorte que cette mise à jour se répercute à tous les scans dans lesquels les informations d'authentification sont utilisées (c'est-à-dire une relation « un-à-plusieurs »).

Que sont les groupes d'accès dans Tenable.io et quels sont leurs avantages ?

Les groupes d'accès permettent aux clients de segmenter les assets en groupes logiques correspondant aux structures organisationnelles internes, de sorte que les utilisateurs ne puissent gérer que les assets au sein d'un cloisonnement dédié.

Les avantages des groupes d'accès sont les suivants :

  • Une assistance administrative plus granulaire et plus efficace, ainsi qu'un compartimentage des assets pour les environnements AWS surveillés/évalués.
  • Une assistance administrative plus granulaire et plus efficace, et un compartimentage des assets de toutes les entreprises sur la base de règles prédéfinies utilisant les FQDN et les adresses IP (par exemple, par unité opérationnelle).
  • Une administration simplifiée basée sur la possibilité d'importer des assets en bloc et de les compartimenter manuellement à l'aide d'une API publiée.
  • Une administration simplifiée des groupes d'accès à l'aide d'une interface utilisateur intuitive et conviviale basée sur un cadre moderne.

Questions relatives à Elastic Asset Licensing

La technologie Elastic Asset Licensing, intégrée à la solution Tenable.io, est une innovation qui permet d'adapter l'octroi de licences dédiées à la gestion des vulnérabilités aux environnements IT élastiques d'aujourd'hui. Elastic Asset Licensing permet d'éviter la double comptabilisation des assets associés à plusieurs adresses IP et/ou à des adresses IP pouvant changées. De plus, il reprend automatiquement possession des licences des assets n'ayant pas été récemment détectés, notamment les assets mis hors service et les assets ayant pu être détectés par inadvertance.

Qu'est-ce que Tenable.io Elastic Asset Licensing ?

Elastic Asset Licensing permet à Tenable de collaborer avec ses clients pour sécuriser leur réseau de manière économique. Cette technologie inclut les caractéristiques suivantes :

  • Axée sur les assets plutôt que sur les adresses IP : Tenable.io analyse plusieurs attributs relatifs aux assets pour identifier un asset, sans se limiter à son adresse IP. Un algorithme conçu par Tenable met en correspondance les assets nouvellement détectés et les assets déjà détectés pour éliminer les doublons et garantir un signalement des vulnérabilités plus précis.
  • Octroi de licences équilibré, plutôt qu'estimé en fourchette haute : Tenable.io alloue des licences uniquement aux assets que la solution a détectés au cours des 90 jours précédents. Elle reprend possession des licences pour les assets ayant été mis hors service, scannés par inadvertance ou occasionnellement actifs. Tenable.io conserve les données relatives aux configurations et aux vulnérabilités de ces assets, de sorte que le processus de récupération automatisée des licences ne connaisse aucun impair.
  • Souplesse plutôt que rigidité : Tenable.io permet aux clients de surveiller et d'ajuster le nombre de licences qu'ils utilisent, et de le revoir à la hausse ou à la baisse le cas échéant. La solution ne bloque pas automatiquement l'accès à ses fonctions si le nombre de licences est temporairement dépassé.

Quels sont les avantages de la technologie Elastic Asset Licensing ?

Les principaux avantages sont les suivants :

  • Les clients achètent le bon nombre de licences, en fonction du nombre de leurs assets plutôt que de la surcomptabilisation des adresses IP.
  • Les clients s'affranchissent des projets chronophages et souvent imprécis dont ils ont besoin pour récupérer les licences des assets mis hors service et/ou détectés par inadvertance.
  • Les indicateurs de gestion des vulnérabilités ne sont pas corrompus par la double ou la triple comptabilisation des vulnérabilités relatives aux assets associés à plusieurs adresses IP.

Le nombre d'assets détectés par Tenable.io peut-il être supérieur au nombre de licences dont dispose un client ?

Oui, de manière temporaire, le nombre d'assets associés à une licence peut être dépassé. Bien entendu, les clients doivent revoir le nombre de leurs licences à la hausse lorsque que cette situation perdure.

Comment les clients Tenable.io peuvent-ils consulter l'état de leurs licences ?

L'interface utilisateur de Tenable.io affiche à la fois le nombre d'assets sous licence et l'utilisation réelle des licences.

Qu'est-ce qu'un asset ?

Un asset est une entité qui peut être analysée. Postes fixes, ordinateur portables, serveurs, appareils de stockage, appareils réseaux, téléphones, tablettes, VM, hyperviseurs et conteneurs en sont quelques exemples.

Comment la solution Tenable.io identifie-t-elle un asset ?

Lorsque la solution Tenable.io découvre pour la première fois un asset, elle rassemble plusieurs attributs d'identification, par exemple un UUID de BIOS, l'adresse MAC du système, le nom du NetBIOS, le FQDN et/ou d'autres attributs pouvant être utilisés pour identifier un asset de manière fiable. De plus, les scans authentifiés et les agents Nessus attribuent un UUID Tenable à l'appareil. Lorsque la solution Tenable.io scanne un asset, elle le compare aux assets précédemment détectés. Si l'asset nouvellement détecté ne correspond pas à un asset précédemment détecté, l'asset est ajouté à l'inventaire des assets de Tenable.io.

Dans quelle mesure les assets sont-ils différents des adresses IP ?

Les adresses IP sont généralement l'une des propriétés d'un asset. Nombre d'assets sont toutefois associés à plusieurs adresses IP (tels que des périphériques DHCP, des systèmes dotés à la fois d'interfaces filaire et sans fil, etc.).

Pourquoi le nombre d'assets est-il susceptible d'être inférieur au nombre d'adresses IP ?

Souvent, les assets sont dotés de plusieurs cartes d'interface réseau, ce qui permet à différents réseaux d'y accéder. À titre d'exemple, un serveur web peut être simultanément associé à un réseau de production et un réseau d'administration, ou encore un ordinateur portable sera souvent doté à la fois d'une interface réseau filaire et sans fil. En outre, les ordinateurs portables sont fréquemment associés à de nouvelles adresses IP lorsqu'ils sont déplacés d'un endroit à un autre. Si un scan détecte leur adresse IP et qu'un second scan détecte une adresse IP différente de la première, ils seront comptabilisés deux fois.

Comment les clients intéressés par la solution peuvent-ils estimer le nombre de leurs assets ?

Tenable.io prend en charge un nombre illimité de scans de découverte fondés à la fois sur des capteurs actifs et passifs. Les clients peuvent utiliser ces scans pour dresser un inventaire complet de leurs assets et définir le nombre approprié de licences.

Comment la solution évite-t-elle la mutiple comptabilisation des mêmes assets ?

Tenable.io propose plusieurs méthodologies permettant d'éviter la double ou la triple comptabilisation du même asset lorsque vous souhaitez calculer le nombre de licences nécessaires. Pour les assets traditionnels, Tenable.io s'appuie sur un algorithme conçu par Tenable qui met en correspondance les assets nouvellement détectés et les assets déjà détectés pour éliminer les doublons et garantir un signalement des vulnérabilités plus précis. En ce qui concerne les conteneurs Docker, Tenable.io Container Security identifie les couches de Docker utilisées plusieurs fois au sein de vos registres de conteneurs et les retire de la liste pour le calcul du nombre de licences. Autrement dit, lorsqu'une couche de Docker est utilisée dans plusieurs étiquettes, images ou registres, cette couche n'est comptabilisée qu'une seule fois pour déterminer le tarif d'une licence du produit.

Questions relatives à la sécurité et à la confidentialité des données

La sécurité et la confidentialité des données de ses clients est la priorité de Tenable. Des milliers de clients, tels que des prestataires de services financiers, des prestataires de soins de santé, des détaillants, des institutions scolaires et des agences gouvernementales font confiance à Tenable pour le stockage de leurs données de vulnérabilité au sein de sa plateforme cloud.

La sécurité et la confidentialité des données incluent l'interdiction pour les clients d'accéder à tout données autres que leurs propres données et la garantie que toute personne qui n'est pas cliente, tout cybercriminel, toute personne malveillante ou tout représentant de Tenable non autorisé ne puisse divulguer ou copier les données client stockées au sein du service Tenable.io, y accéder ou ne pas respecter la confidentialité et la protection de ces dernières.

Tenable donne également priorité à la disponibilité et la fiabilité du service Tenable.io, des moyens de contrôle de la sécurité sous-performants pouvant créer des problèmes qui, même s'ils ne mettent pas en péril les données de ses clients, peuvent avoir des répercussions sur la disponibilité du service. Tenable met en œuvre des mesures, et s'assure de leur mise en application, pour garantir la disponibilité élevée du service Tenable.io, le protéger contre d'éventuelles attaques ou de simples pannes et interruptions et le rendre en toutes circonstances accessible à ses clients.

Tenable.io utilise une technologie de conteneurs de pointe pour créer et isoler les environnements client. L'ensemble des comptes client, des données relatives aux vulnérabilités et des paramètres utilisateur sont stockés au sein d'un conteneur exclusivement réservé à chaque client spécifique. Les données stockées au sein d'un conteneur ne sont pas accessibles et ne peuvent pas être mélangées à celles d'un autre conteneur, une approche qui garantit la confidentialité, la sécurité et l'indépendance de chaque environnement client.

Quelles données client la plateforme Tenable.io gère-t-elle ?

En définitive, Tenable.io gère des données client dans un seul et unique but, celui d'offrir une expérience exceptionnelle de gestion des assets et des vulnérabilités pour sécuriser les enivronnements que les clients utilisent. Dans cette optique, Tenable.io gère trois catégories de données client :

  1. Données relatives aux assets et aux vulnérabilités
  2. Données relatives à la performance environnementale
  3. Données relatives à l'utilisation client

Quels assets client et données de vulnérabilité la plateforme Tenable.io gère-t-elle ?

Tenable.io répertorie les assets présents au sein des réseaux des clients et gère les attributs des assets, qui peuvent inclure adresse IP, adresse MAC, nom NetBIOS, système d'exploitation et version, ports actifs et bien plus encore.

Données d'assets Tenable.io
Exemple de données d'assets gérées par Tenable.io

Tenable.io recueille des données détaillées sur la configuration et les vulnérabilités passées et actuelles, qui peuvent inclure criticité, exploitabilité et état de la remédiation, ainsi qu'activité réseau. De plus, si le client complète les données de Tenable.io par des intégrations à des produits tiers, tels que des systèmes de gestion des assets et des systèmes de gestion des correctifs, Tenable.io peut gérer les données de ces produits.

Données de vulnérabilités Tenable.io
Exemples de données de vulnérabilités gérées par Tenable.io

Tenable analyse-t-elle ou utilise-t-elle des données client ?

Actuellement, Tenable n'analyse aucune donnée client de quelque manière que ce soit. Toutefois, à l'avenir, Tenable pourra être amenée à anonymiser et à analyser des données client dans le but de déterminer les tendances au sein du secteur, les tendances relatives à l'augmentation des vulnérabilités et à leur atténuation, ainsi que les tendances se rapportant à des événements de sécurité. À titre d'exemple, la mise en correspondance d'une vulnérabilité et de la technique d'exploitation utilisée pourrait représenter des avantages considérables pour les clients de Tenable. L'analytique avancée et la corrélation optimisée des données client avec des événements et tendances de sécurité et du secteur sont d'autres exemples. La collecte et l'analyse de ce type de données permettraient également aux clients de comparer leurs performances à leurs homologues du secteur ou dans le monde entier. Tenable donnera la possibilité aux clients qui le souhaitent de refuser ce type de traitement.

Quelles données de santé et d'état Tenable.io collecte-t-il ?

Pour garantir les performances et la disponibilité de la plateforme Tenable.io, et offrir une expérience optimale à ses utilisateurs, Tenable.io collecte des informations relatives à la santé et à l'état des applications de chaque client. Cela inclut la fréquence de communication de l'outil de scan avec la plateforme, le nombre d'assets analysés et les versions des logiciels déployés, ainsi que d'autres données télémétriques génériques permettant d'identifier et de gérer tout problème potentiel aussi rapidement que possible.

Les utilisateurs peuvent-ils refuser la collecte des données d'état et de santé ?

Tenable utilise des données de santé et d'état pour détecter et gérer d'éventuels problèmes dans les délais impartis, conformément à ses engagements en termes de SLA. Les clients ne peuvent par conséquent pas s'opposer à cette collecte.

Quelles données d'utilisation Tenable.io collecte-t-il ?

Pour évaluer et améliorer l'expérience qu'elle offre à ses clients, Tenable collecte des données d'utilisation client anonymisées. Ces données incluent l'accès à des pages, les clics et d'autres activités utilisateur qui permettent à chacun de rationaliser et d'améliorer son expérience.

Les utilisateurs peuvent-ils s'opposer à la collecte de leurs données d'utilisation ?

Oui. Un client peut demander que son conteneur ne fasse plus l'objet du processus de collecte.

Où les données client sont-elles stockées ?

Tenable s'appuie sur des centres de données et des services fournis par Amazon Web Services (AWS) pour mettre sa solution Tenable.io à disposition de ses clients. Par défaut, Tenable créera un conteneur client dans la région la plus appropriée pour garantir la meilleure expérience possible au client en question. Les régions actuelles sont les suivantes :

  • États-Unis, région est
  • États-Unis, région ouest
  • États-Unis d'Amérique
  • Londres
  • Francfort
  • Sydney
  • Singapour

Dans certains cas, avant déploiement, si un client souhaite que son conteneur soit créé dans une région AWS spécifique, Tenable procédera à l'activation de ce client dans cette région.

Le stockage de l'ensemble des données client étant assuré par des services AWS régionaux sécurisés, les certifications relatives à la protection des données au sein de l'UE attribuées à AWS s'appliquent au cloud Tenable. Davantage d'informations sont disponibles à l'adresse : https://aws.amazon.com/compliance/eu-data-protection/.

À l'avenir, la plateforme Tenable.io prendra-t-elle en charge d'autres pays ? Dans l'affirmative, à quelle date ?

Oui. Le calendrier de l'ajout de régions supplémentaires n'est toutefois pas encore défini.

Les données peuvent-elles être stockées dans des régions AWS plutôt que dans la région initiale ?

Dans certains cas, les données peuvent être stockées dans des régions autres que la région AWS initiale.

  • Les clients Tenable.io peuvent exécuter des scans externes à l'aide de pools d'analyse publics partagés disponibles dans un certain nombre de régions AWS. Le choix d'un outil de scan situé à proximité de la cible aboutira en règle générale à des analyses plus rapides. Il est important de noter que, lorsqu'un client utilise un outil de scan cloud situé à un emplacement différent de celui qui héberge son compte, les données d'analyse résideront temporairement en dehors de l'emplacement d'hébergement du compte, sans être stockées. Par exemple, si le compte d'un client est hébergé en UE/Allemagne et que ce dernier réalise une analyse à l'aide d'un outil de scan situé aux États-Unis/en Virginie du Nord, les données d'analyse transiteront temporairement aux États-Unis avant d'être stockées à Francfort. Si l'emplacement des données est problématique, nous recommandons aux clients de réaliser uniquement des analyses externes à l'aide d'outils de scan cloud au sein de leur région. Les clients peuvent adopter facilement cette approche au cas par cas.
  • Si un client utilise Tenable.sc, ses données d'analyse ne sont pas stockées dans le cloud, même s'il utilise Tenable.io pour scanner une partie de son infrastructure.
  • Les données d'analyse Nessus Agent sont stockées dans Tenable.io lorsque les clients effectuent des scans à partir de Tenable.io. Si des clients exécutent des scans d'agents avec Nessus Manager, les données correspondantes ne sont pas stockées dans Tenable.io, indépendamment de l'endroit où les agents sont déployés.

Un client peut-il exiger que des données restent dans une région/un pays spécifique ?

Oui. Les données sont stockées dans le pays sélectionné lors de la création du compte.

Comment les données client sont-elles protégées dans Tenable.io ?

Tenable met en œuvres de nombreuses mesures de sécurité pour garantir la sécurité et la confidentialité des données de Tenable.io.

Comment Tenable garantit-elle un processus de développement sécurisé ?

Tenable respecte un certain nombre de pratiques pour assurer la sécurité de son logiciel applicatif Tenable.io.

Les tests sont effectués par trois différents groupes au sein de Tenable :

  • Les tests de sécurité sont réalisés par l'équipe de développement ;
  • L'équipe de sécurité IT Tenable réalise des tests de vulnérabilité sur Tenable.io avant et après déploiement (les tests post-déploiement ne sont pas planifiés et ne sont pas communiqués aux autres équipes) ; et
  • Tenable prévoit une phase additionnelle de contrôle portant sur la sécurité du code source, ainsi que des modifications avant déploiement.

L'ensemble du déploiement de nos logiciels est automatisé et réalisé uniquement via le système de build, authentifié via des identifiants LDAP d'entreprise ou par Ansible, dont l'authentification est effectuée à l'aide de clés SSH privées. Tous les déploiements font l'objet d'une consignation et d'un suivi. Une notification du déploiement (planifié ou non planifié) est automatiquement envoyée à l'équipe de développement Tenable.

Un suivi de l'ensemble des modifications apportées au code source est assuré, ces dernières étant associées à la version correspondante. Ce suivi garantit l'existence d'un historique complet de toutes les modifications, de leurs auteurs, du moment auquel elles ont été apportées et, enfin, du moment auquel la modification a été déployée en production.

Tous les déploiements sont approuvés par au moins deux membres de l'équipe Tenable. L'ensemble des modifications et des déploiements sont communiqués à l'ensemble des membres de notre équipe. Les logiciels sont en premier lieu déployés au sein d'environnements de test, puis en « mode rolling » dans des instances de production au cours d'une fenêtre de temps définie.

Quels sont les moyens de sécurité disponibles pour les applications client ?

  • Garantir l'accès à Tenable.io de manière sécurisée et autorisée est une priorité pour nos équipes de développement et opérationnelles. Tenable.io offre un certain nombre de mécanismes pour assurer la sécurité des données client et contrôler les accès. Nous protégeons nos systèmes contre les attaques par force brute en bloquant les comptes après cinq (5) tentatives de connexion infructueuses.
  • Pour éviter toute interception de données, l'ensemble des communications avec la plateforme sont chiffrées à l'aide du protocole SSL (TLS-1.2). Les négociations SSL non sécurisées d'ancienne génération sont par ailleurs rejetées pour garantir un niveau optimal de protection.
  • Pour sécuriser l'accès à leur plateforme, les clients peuvent configurer une authentification à deux facteurs grâce aux services fournis par Twillo.
  • Les clients ont la possibilité d'intégrer Tenable.io à leur déploiement SAML. Tenable.io prend en charge les demandes initiées par les IdP et les SP. Enfin, les utilisateurs peuvent réinitialiser leur mot de passe directement dans l'application à l'aide de leur adresse e-mail.
  • Les clients peuvent établir des connexions client à Tenable.io à l'aide de nos API ou SDK. Il est possible d'octroyer et de contrôler les accès en créant des « clés » API spécifiques. L'utilisation de clés distinctes correspondant à différentes intégrations est prise en charge sans avoir à saisir d'identifiants utilisateur.

Comment les données client sont-elles protégées ?

Tenable met en œuvres de nombreuses mesures de sécurité pour garantir la sécurité et la confidentialité des données de Tenable.io.

Comment les données sont-elles chiffrées ?

Toutes les données de la plateforme Tenable.io, quel que soit leur statut, sont chiffrées à l'aide d'au moins un niveau de chiffrement, qui ne saurait être inférieur au protocole AES-256.

Données au repos – Les données sont stockées sur un support chiffré à l'aide d'au moins un niveau de chiffrement AES-256.

Certaines catégories de données incluent un second niveau de chiffrement au niveau du fichier.

Données en transit – Les données sont chiffrées pendant leur transit à l'aide du protocole TLS v1.2 par le biais d'une clé 4 096 bits (transit en interne inclus).

Outils de scan Tenable.io – Le trafic émanant des outils de scan en direction de la plateforme est toujours initié par l'outil de scan, en mode sortant uniquement, sur le port 443. Le trafic est chiffré via une communication SSL s'appuyant sur le protocole TLS 1.2 par le biais d'une clé 4 096 bits. Cela élimine la nécessité d'apporter des modifications au pare-feu et permet au client de contrôler les connexions grâce à des règles définies au niveau du pare-feu.

  • Authentification des outils de scan auprès de la plateforme
    • La plateforme génère une clé aléatoire d'une longueur de 256 bits pour chaque outil de scan connecté au conteneur et transmet cette clé à l'outil de scan pendant le processus d'établissement de la liaison.
    • Les outils de scan utilisent cette clé pour s'authentifier auprès du contrôleur lors de l'envoi de leurs requêtes, lors des mises à jour du plugin et lors des mises à jour de leur fichier binaire.
  • Communication des tâches des outils de scan à la plateforme
    • Les outils de scan contactent la plateforme toutes les 30 secondes.
    • Si une tâche doit être effectuée, la plateforme génère une clé aléatoire de 128 bits.
    • L'outil de scan interroge la plateforme sur la politique à appliquer.
    • Le contrôleur utilise la clé pour chiffrer la politique, qui inclut les identifiants à utiliser lors du scan.

Sauvegarde/Réplication: les snapshots de volume et les réplications de données sont stockés avec le même niveau de chiffrement que leur source, soit au moins le protocole AES-256. L'ensemble des opérations de réplication sont effectuées par l'éditeur de la solution. Tenable ne sauvegarde aucune donnée sur des supports hors site physiques ni dans des systèmes physiques.

Données indexées : les données indexées sont stockées sur un support chiffré à l'aide d'au moins un niveau de chiffrement AES-256.

Identifiants des scans : les identifiants des scans sont stockés dans une politique chiffrée au sein de la clé AES-256 globale des conteneurs. Lorsque des scans sont lancés, la politique est chiffrée à l'aide d'une clé 128 bits aléatoire à usage unique et transmise à l'aide du protocole TLS v1.2 par le biais d'une clé 4 096 bits.

Gestion des clés : les clés sont stockées de manière centralisée et sont chiffrées à l'aide d'une clé basée sur le rôle de l'utilisateur. Leur accès est limité. L'ensemble des données chiffrées stockées peuvent être associées à une nouvelle clé. Les clés de chiffrement des fichiers de données sont différentes pour chaque site régional, de la même façon que les clés au niveau des disques. La divulgation des clés est interdite et les procédures de gestion des clés sont révisées tous les ans.

Les clients peuvent-ils charger leurs propres clés ?

La gestion des clés ne peut pas être configurée par le client. Tenable gère les clés et la rotation des clés.

Tenable dispose-t-elle de certifications relatives à la sécurité ou à la confidentialité, telles que Privacy Shield ou CSA STAR ?

Tenable respecte les programmes « EU-U.S. Privacy Shield Framework » et « Swiss – U.S. Privacy Shield Framework » tel qu'actés par le ministère du Commerce des États-Unis eu égard à la collecte, à l'utilisation et à la conservation des données à caractère personnel transférées depuis l'Union européenne et la Suisse vers les États-Unis, respectivement. Tenable a certifié au ministère du Commerce des États-Unis qu'elle respectait les principes « Privacy Shield ». En cas de conflit entre les termes de la politique de confidentialité de Tenable et les principes « Privacy Shield », ces derniers prévaudront. Pour de plus amples informations sur le programme « Privacy Shield » et pour consulter nos certifications, rendez-vous sur https://www.privacyshield.gov/

Tenable a obtenu la certification Cloud Security Alliance (CSA) STAR au terme d'un processus d'auto-évaluation. En remplissant le questionnaire Consensus Assessment Initiative Questionnaire (CAIQ), Tenable a répondu à plus de 140 questions relatives à la sécurité dont un client intéressé par Tenable.io, l'un de nos clients existants ou l'un de nos partenaires peut avoir besoin. CSA STAR est le programme le mieux établi du secteur en ce qui concerne les garanties de sécurité dans le cloud. Le registre STAR (Security Trust & Assurance Registry) couvre des aspects fondamentaux tels que la transparence, la rigueur des audits et la standardisation, et inclut les meilleures pratiques et la validation de la posture de sécurité des offres cloud.

Comment les données à caractère personnel sont-elles protégées ?

Tout est mis en œuvre pour que la plateforme Tenable.io ne collecte pas de données à caractère personnel dans un format qui exigerait des certifications ou des mesures de sécurité additionnelles. Cela inclut les numéros de carte bancaire, les numéros de sécurité sociale et autres vérifications. Lorsque les plugins de Tenable détectent des chaînes de caractères susceptibles de contenir des informations sensibles ou à caractère personnel, la plateforme masquera au moins 50 % les caractères pour protéger les données pouvant se révéler sensibles.

Les données client sont-elles cloisonnées ?

Les données de chaque client sont marquées à l'aide d'un « identifiant de conteneur » qui correspond à un abonnement client spécifique. Cet identifiant de conteneur garantit que l'accès aux données d'un client est exclusivement limité au client en question.

Quels moyens de contrôle de la sécurité protègent la plateforme Tenable.io ?

  • Tenable réalise tous les jours des scans de vulnérabilités.
  • Les pare-feu et la segmentation réseau contrôlent les accès.
  • Des outils et processus automatisés surveillent la disponibilité et les performances de la plateforme Tenable.io, et détectent les comportements anormaux.
  • Les journaux sont surveillés 24 h/24, 7 j/7, 365 j/an par des systèmes automatisés et les équipes de Tenable sont disponibles 24 h/24, 7 j/7, 365 j/an en cas d'événement.

De quelle manière les outils de scan Tenable.io sont-ils sécurisés ?

Les outils de scan qui se connectent à la plateforme jouent un rôle majeur pour la sécurité du client, en collectant des informations sur les assets et les vulnérabilités. La protection de ces données et la sécurisation des canaux de communication est une fonction fondamentale de la plateforme Tenable.io. Tenable.io est actuellement compatible avec plusieurs outils de scan : outils de scan des vulnérabilités Nessus, outils de scan passifs et agents Nessus.

Ces outils de scan se connectent à Tenable.io après s'être authentifiés auprès de la plateforme et avoir établi une liaison avec cette dernière, le tout au cours de communications chiffrées. Après établissement de la liaison, Tenable.io gère l'ensemble des mises à jour (plugins, code, etc.) pour s'assurer que les outils de scan sont à jour en toutes circonstances.

Le trafic émanant des outils de scan en direction de la plateforme est toujours initié par l'outil de scan, en mode sortant uniquement, sur le port 443. Le trafic est chiffré via une communication SSL s'appuyant sur le protocole TLS 1.2 par le biais d'une clé 4 096 bits. Cela élimine la nécessité d'apporter des modifications au pare-feu et permet au client de contrôler les connexions grâce à des règles définies au niveau du pare-feu.

  • Authentification des outils de scan auprès de la plateforme
    • La plateforme génère une clé aléatoire d'une longueur de 256 bits pour chaque outil de scan connecté au conteneur et transmet cette clé à l'outil de scan pendant le processus d'établissement de la liaison.
    • Les outils de scan utilisent cette clé pour s'authentifier auprès du contrôleur lors de l'envoi de leurs requêtes, lors des mises à jour du plugin et lors des mises à jour de leur fichier binaire.
  • Communication des tâches des outils de scan à la plateforme
    • Les outils de scan contactent la plateforme toutes les 30 secondes.
    • Si une tâche doit être effectuée, la plateforme génère une clé aléatoire de 128 bits.
    • L'outil de scan interroge la plateforme sur la politique à appliquer.
    • Le contrôleur utilise la clé pour chiffrer la politique, qui inclut les identifiants à utiliser lors du scan.

Comment la disponibilité de la plateforme Tenable.io est-elle gérée ?

Tout est mis en œuvre pour que les services Tenable.io offrent une disponibilité de 99,95 % ou plus, un pourcentage qui atteint en pratique 100 % pour la plupart des services. Tenable a élaboré un SLA qui décrit son engagement à garantir la disponibilité de la plateforme pour l'ensemble des utilisateurs et détaille la façon dont des crédits sont accordés aux clients en cas de temps d'arrêt non planifié.

L'état « Disponible » est déterminé par des tests de disponibilité publics réalisés par un tiers qui vérifie régulièrement la disponibilité de l'ensemble des services. Le temps de disponibilité des services (actuels et passés) est disponible à l'adresse : http://uptime.tenable.com/. Ce site fournit par ailleurs les taux de disponibilité quotidiens, mensuels, trimestriels et annuels.

Tenable.io s'appuie sur la plateforme AWS et d'autres technologies de référence pour garantir que l'expérience qu'elle offre à ses clients est associée à un service optimal et à une qualité globale de premier plan. Voici une liste non exhaustive des solutions déployées et des avantages qu'elles procurent aux clients :

  • Clusters ElasticSearch - Les clusters Elasticsearch sont associés à une disponibilité extrêmement élevée et peuvent être restaurés suite à la perte de nœuds maîtres, de nœuds lb et d'au moins un nœud de données, sans répercussions sur la disponibilité des services.
  • Elastic Block Stores - utilisés pour prendre des snapshots quotidiens et stocker huit (8) copies
  • Écosystème Kafka - Kafka et Zookeeper permettent tous deux de répliquer des données au sein du cluster pour offrir une tolérance aux pannes si une défaillance majeure d'un nœud devait se produire.
  • Instances Postgres - gèrent le framework de microservices back-end pour le stockage de 30 jours de snapshots

À quel endroit les données sont-elles répliquées ?

Les données répliquées sont stockées dans la même région.

Quelles procédures de reprise après sinistre sont mises en œuvre ?

Les sinistres sont des événements qui aboutissent à une perte irréversible de données ou d'équipements dans une ou plusieurs régions.

Les procédures de reprise après sinistre de Tenable.io prévoient plusieurs niveaux et sont conçues pour réagir à des situations pouvant se produire à n'importe quel endroit, d'une fois tous les cinq ans à une fois tous les 50 ans. En fonction de la portée du sinistre, les procédures de reprise peuvent nécessiter de 60 minutes à 24 heures.

Qui peut accéder aux données client ?

Les clients déterminent les personnes pouvant accéder à leurs données, notamment en attribuant des rôles et des autorisations à leur personnel, et en octroyant des accès temporaires par le biais de l'équipe d'assistance de Tenable.

Comment les rôles et autorisations utilisateur sont-ils gérés ?

Les administrateurs client de Tenable.io peuvent attribuer des rôles utilisateur (de base, standard, administrateur et désactivé) pour gérer les accès aux scans, politiques, outils de scan, agents et listes d'assets.

Les équipes de Tenable peuvent-elles accéder aux données client ?

Oui. Avec l'autorisation du client, des membres de niveau trois de l'équipe d'assistance mondiale de Tenable peuvent utiliser des comptes en se faisant passer pour l'utilisateur afin de réaliser des opérations dans Tenable.io au nom d'un utilisateur sans avoir besoin du mot de passe de ce dernier. L'équipe d'assistance de Tenable, ou le client, peuvent demander l'activation de cette fonctionnalité. L'équipe d'assistance de Tenable demandera ainsi au client « d'approuver » cette procédure via l'ajout d'une note à un ticket d'assistance ouvert. Une autorisation est nécessaire pour chaque ticket transmis à l'assistance. Tenable n'interviendra à aucun moment sur une simple confirmation. L'utilisation d'un compte en se faisant passer pour l'utilisateur peut entraîner un transfert de données, de leur emplacement initial à un autre emplacement.

Il est demandé à l'ensemble des équipes opérationnelles Tenable.io de se soumettre à une vérification de leurs antécédents par un tiers. En outre, l'ensemble des postes à haute responsabilité sont confiés à des personnes disposant d'au moins cinq ans d'expérience au sein d'entreprises éditrices de logiciels de sécurité SaaS, nombre d'entre elles ayant passé des certifications de sécurité, telles que CISSP.

Tenable met en œuvre un processus d'embauche et de cessation d'emploi bien défini. Il est ainsi demandé à l'ensemble de ses collaborateurs de signer des accords de non-divulgation lors de leur embauche. L'intégralité des comptes et des clés d'accès sont par ailleurs immédiatement révoqués dès qu'un collaborateur quitte l'entreprise.

Qui peut utiliser un compte en se faisant passer pour l'utilisateur ?

Seuls les membres de l'équipe d'assistance de Tenable de niveau trois sont autorisés à utiliser un compte en se faisant passer pour l'utilisateur.

Les activités relatives à l'utilisation d'un compte se faisant passer pour l'utilisateur sont-elles consignées ?

Oui.

Les données quittent-elles le pays lorsque Tenable résout un problème technique ?

Tenable met tout en œuvre pour garantir que les données de ses clients sont protégées et que leurs politiques sont respectées en travaillant avec ces derniers pour s'assurer que les données restent bel et bien dans la région définie. Cependant, dans certains cas, il se peut que des clients envoient un rapport par e-mail à Tenable ou ne respectent pas eux-mêmes leur propre politique en envoyant des e-mails en dehors de leur région.

L'équipe d'assistance de Tenable a-t-elle accès au réseau interne du client ?

Non. L'ensemble du trafic est initié par l'outil de scan, en mode sortant uniquement. Les outils de scan sont installés derrière le pare-feu du client. Ce dernier peut contrôler l'accès des outils de scan via son pare-feu.

Pendant combien de temps les données client sont-elles conservées dans Tenable.io ?

Les périodes de rétention des données sont conçues pour répondre aux diverses exigences client et réglementaires.

Pendant combien de temps les données des scans actifs sont-elles conservées ?

L'évaluation dans le temps est une fonction principale de la plateforme Tenable.io. Tenable.io stockera automatiquement les données client pendant 15 mois pour permettre aux clients d'analyser leurs performances sur une période d'un an.

Si des clients ont besoin de stocker leurs données pendant plus de 15 mois, Tenable.io propose plusieurs méthodes leur permettant de télécharger des données client et de les stocker s'ils le souhaitent.

Si un client résilie son abonnement au service Tenable.io, pendant combien de temps les données sont-elles conservées ?

Si le compte d'un client arrive à expiration ou est résilié, Tenable conservera les données telles qu'à la date d'expiration, et ce pendant 180 jours maximum. Passé ce délai, ces données seront supprimées et ne pourront pas être récupérées.

Pendant combien de temps les données relatives à la réglementation PCI sont-elles conservées ?

Les données faisant l'objet d'un processus de validation de la conformité PCI sont conservées pendant un délai d'au moins trois ans après la date de l'attestation PCI, tel qu'exigé par les réglementations PCI. Tenable conserve ces données pendant ce délai, même si le client choisit de supprimer ses scans ou son compte, ou de résilier son abonnement au servicer Tenable.io.

Pendant combien de temps les données d'utilisation de Tenable.io sont-elles conservées ?

Pour garantir la meilleure expérience possible, Tenable collecte ces informations tant qu'un conteneur client reste actif. Si le client résilie son abonnement au service, les données sont conservées pendant 180 jours maximum.

La plateforme Tenable.io est-elle certifiée Common Criteria ?

La certification Common Criteria ne s'applique généralement pas aux solutions SaaS, la fréquence de leurs mises à jour ne permettant pas de procéder à une certification nécessitant habituellement de 6 à 9 mois.

Un client peut-il choisir le pays de stockage de ses données ?

Dans certains cas, avant déploiement, si un client souhaite déployer le système dans une région spécifique, Tenable procédera à l'activation de ce client dans cette région. Les régions actuelles sont les suivantes :

  • États-Unis, région est
  • États-Unis, région ouest
  • États-Unis d'Amérique
  • Londres
  • Francfort
  • Sydney
  • Singapour

Les données sont-elles stockées à plusieurs emplacements au sein d'un pays ?

Non. Tenable ne réplique actuellement aucune donnée d'une région à une autre.

PCI ASV

Qu'est-ce qu'un ASV PCI ?

PCI ASV fait référence à l'article 11.2.2 de la norme Payment Card Industry sur la sécurité des données (PCI DSS), Procédures d'évaluation de sécurité et exigences, qui impose la réalisation de scans externes trimestriels des vulnérabilités, ou leur certification, par un ASV (Approved Scanning Vendor). Un ASV est un organisme offrant un ensemble de services et d'outils (« ASV Scanning Solution ») permettant de valider le respect de l'exigence portant sur les scans externes de l'article 11.2.2 de la norme PCI DSS.

Quels systèmes sont inclus dans la portée d'un scan réalisé par un ASV ?

La norme PCI DSS impose la réalisation de scans des vulnérabilités sur tous les composants système accessibles en externe (connectés à Internet) détenus ou utilisés par le client, qui font partie de l'environnement de données des titulaires de carte bancaire, ainsi que sur tous les composants système en contact avec l'extérieur qui permettent d'accéder à l'environnement de données des titulaires de carte bancaire.

Quel est le processus mis en œuvre par un ASV ?

Les principales phases d'un scan réalisé par un ASV sont les suivantes :

  • Établissement de la portée : opération réalisée par le client pour inclure l'ensemble des composants système connectés à Internet faisant partie de l'environnement de données des titulaires de carte bancaire.
  • Réalisation du scan : à l'aide du modèle de scan PCI externe trimestriel Tenable.io
  • Rapport/rémediation : remédiation des résultats des rapports intermédiaires.
  • Résolution des conflits : client et ASV travaillent de pair pour documenter et résoudre les résultats de scan faisant l'objet d'un désaccord.
  • Réalisation d'un autre scan (le cas échéant) : jusqu'à réalisation d'un scan conforme, sans conflit ni exception.
  • Rapport final : envoyé et mis à disposition de manière sécurisée.

Quelle est la fréquence des scans réalisés par un ASV ?

Les scans de vulnérabilités réalisés par un ASV doivent être effectués tous les trimestres et après tout changement significatif affectant le réseau, tel que l'installation de nouveaux composants système, les modifications apportées à la topologie réseau, les changements relatifs aux règles de pare-feu ou les mises à niveau produit.

Quelle est la différence entre un ASV (Approved Scanning Vendor) et un QSA (Qualified Security Assessor) ?

Un ASV ne réalise que des scans externes de vulnérabilités conformes à l'article 11.2 de la norme PCI DSS. Le terme QSA (Qualified Security Assessor) fait référence à une entreprise qui réalise des contrôles, formée et certifiée par le PCI Security Standards Council (SSC) pour réaliser des évaluations PCI DSS globales sur site.


Fonctions de la solution Tenable.IO PCI ASV

Tenable est-elle certifiée PCI ASV ?

Oui. Tenable est certifiée en tant qu'ASV (Approved Scanning Vendor, prestataire de services de scan agréé) pour valider les scans externes de vulnérabilités des environnements connectés à Internet (utilisés pour stocker, traiter ou transmettre les données relatives aux titulaires de carte bancaire) des commerçants et des prestataires de services. Le processus de certification d'un ASV se divise en trois phases, la première impliquant la certification de Tenable en tant que société éditrice de solutions. La deuxième phase porte sur la certification des collaborateurs de Tenable chargés des services de scan PCI à distance. La troisième inclut des tests de sécurité de la solution de scan à distance de Tenable (Tenable.io et Tenable.io PCI ASV).

En tant qu'ASV (Approved Scanning Vendor), Tenable réalise-t-elle des scans ?

Les fournisseurs ASV peuvent réaliser les scans eux-mêmes. Toutefois, Tenable confie à ses clients la responsabilité de réaliser leurs propres scans à l'aide du modèle de scan PCI externe trimestriel. Ce modèle empêche les clients de modifier les paramètres de configuration, par exemple de désactiver les contrôles de vulnérabilités, d'attribuer des niveaux de sévérité différents, d'altérer les paramètres de scan, etc. Les clients utilisent les scanners cloud Tenable.io pour scanner leurs environnements connectés à Internet, puis transmettre leurs rapports de scan conformes à Tenable pour attestation. Tenable certifie les rapports de scan. Le client les fait ensuite parvenir à ses acquéreurs ou fournisseurs de services de paiement, comme spécifié par ces derniers.

Quelles sont les différences entre le nouveau produit et le produit existant ?

Les fonctions nouvelles ou améliorées incluent :

  • Une interface unique permettant aux utilisateurs de scanner, gérer, envoyer et réaliser le processus de certification ASV.
  • Possibilité pour plusieurs personnes de signaler des conflits et d'envoyer des rapports pour la certification ASV.
  • Possibilité d'appliquer les mêmes conflits/exceptions à plusieurs adresses IP. (Possibilité de créer des conflits en fonction de plugins plutôt que d'assets)
  • Possibilité de marquer une adresse IP comme étant hors portée
  • Possibilité d'annoter les contrôles compensatoires

Souveraineté des données

La solution Tenable.io PCI ASV est-elle conforme aux exigences relatives à la souveraineté des données de l'UE ?

Les données relatives aux vulnérabilités ne sont pas couvertes par la directive UE DPD 95/46/EC, les exigences concernant le lieu de stockage de ces données doivent ainsi être établies par le client, sans être définies par la réglementation. Il se peut que les organisations gouvernementales des États membres de l'UE aient leurs propres exigences relatives au lieu de stockage de leurs données. Ces dernières doivent toutefois être évaluées au cas par cas, sans être nécessairement problématiques pour les scans réalisés par un ASV PCI.


Tarification/Licence/Commande Tenable.io ASV

La solution Tenable.io inclut-elle des licences PCI ASV ?

Oui, Tenable.io inclut une licence PCI ASV pour un seul et unique asset PCI. Certaines entreprises déploient des efforts remarquables pour restreindre au maximum les assets concernés par la norme PCI, souvent en externalisant leurs fonctions de traitement des paiements. Ces clients ne faisant de toute évidence pas partie de l'écosystème PCI, Tenable a simplifié les procédures d'achat et d'octroi de licences les concernant. Un client peut modifier son asset tous les 90 jours.

Sous quelle forme les licences Tenable.io PCI ASV sont-elles proposées ?

Pour les clients disposant de plusieurs assets PCI, la solution Tenable.io PCI ASV est concédée sous licence sous la forme d'un module complémentaire pouvant être ajouté aux abonnements Tenable.io.

Pourquoi les licences de la solution Tenable.io PCI ASV ne sont-elles pas octroyées en fonction du nombre d'assets PCI connectés à Internet d'un client ?

Le nombre d'hôtes connectés à Internet permettant d'accéder à l'environnement de données des titulaires de carte bancaire d'une entité, ou situés en son sein, peut évoluer souvent, ce qui complique la création de licences. Tenable a choisi d'utiliser une approche plus simple en terme d'octroi de licences.

Combien d'attestations un client peut-il envoyer par trimestre ?

Les clients peuvent envoyer un nombre illimité d'attestations trimestrielles.

Les clients utilisant une version d'essai/évaluation sont-ils éligibles à l'évaluation Tenable.io PCI ASV ?

Oui. Les clients utilisant une version d'évaluation peuvent utiliser le modèle de scan PCI externe trimestriel pour analyser des assets et consulter les résultats, ainsi que les conflits détectés. Ils ne peuvent toutefois pas envoyer de rapports de scans pour attestation.

Comment les clients Tenable.io existants passeront-ils à la nouvelle solution ?

La nouvelle solution sera activée automatiquement le 24 juillet 2017. Les clients de Tenable seront ainsi en mesure de l'utiliser pour leur prochain scan PCI ASV. Les clients existants n'auront pas besoin d'acquérir une licence pour cette nouvelle option PCI ASV pendant un délai minimum d'un an.

De quelle manière les clients Tenable.sc disposant de licences PCI ASV actuelles passeront-ils à la nouvelle solution ?

Les clients Tenable.sc qui disposent déjà d'une licence pour les scans PCI externes commenceront à utiliser Tenable.io PCI ASV dès son lancement. Au moment du renouvellement, ces clients peuvent tout simplement indiquer leurs références SKU actuelles. Toutefois, il peut être avantageux pour eux de changer et d'acquérir une licence Tenable.io PCI ASV.

Essayer gratuitement Acheter dès maintenant

Essayer Tenable.io

GRATUIT PENDANT 60 JOURS

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Inscrivez-vous maintenant et lancez votre premier scan en 60 secondes.

Acheter Tenable.io

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

2 190,00 $

Acheter maintenant

Essayer gratuitement Acheter dès maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui l'outil de scan de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan de vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe informatique.

Acheter Nessus Professional

Nessus® est aujourd'hui l'outil de scan de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan de vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe informatique.

Achetez une licence pluriannuelle et faites des économies

Essayer gratuitement Acheter dès maintenant

Essayer Tenable.io Web Application Scanning

GRATUIT PENDANT 60 JOURS

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications Web stratégiques. Inscrivez-vous maintenant et lancez votre premier scan en 60 secondes.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer gratuitement Contacter le service commercial

Essayer Tenable.io Container Security

GRATUIT PENDANT 60 JOURS

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion de vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

En savoir plus sur la sécurité industrielle