Cette nouvelle version prend en charge davantage de technologies de système d’exploitation, de base de données et de réseau ainsi que l’audit des mots de passe et les contrôles d’intégrité des fichiers
San Francisco, Californie – Qualys, Inc, le principal fournisseur de solutions à la demande pour la gestion des risques de sécurité informatique et de la conformité, annonce la disponibilité de QualysGuard Policy Compliance 3.0, une version qui offre des fonctionnalités d’analyse de la conformité aux politiques plus complètes et qui n’exige pas l’installation d’agents. Cette toute dernière version prend en charge de nouveaux systèmes d’exploitation ainsi que l’analyse des bases de données et des équipements réseau pour fournir aux entreprises une vue complète et détaillée de la conformité aux politiques informatiques de l’ensemble de leurs biens.
« Nous utilisons QualysGuard Policy Compliance pour réduire les coûts et la complexité de l’audit et du reporting de notre conformité, »déclare Dan Klinger, directeur de la sécurité de l’information chez The Hershey Company. « QualysGuard Policy Compliance 3.0 étend sa capacité d’analyse des actifs informatiques au-delà des serveurs et des systèmes d’exploitation et permet d’analyser les bases de données et les équipements réseau. Ceci nous donnera une vue plus complète de l’état de notre conformité et nous aidera à mieux préparer les audits et à partager la preuve de conformité avec les auditeurs depuis QualysGuard au cours du cycle d’audit. »
Le cabinet d’analyse indépendant Forrester Research, Inc. a déclaré dans son rapport Wave1sur l’évaluation de la gestion des vulnérabilités que « Qualys est l’un des rares fournisseurs évalués dans ce rapport à fournir un module de mise en conformité de la configuration riche en fonctionnalités qui propose un panel étendu de points de contrôle en correspondance avec un grand nombre de réglementations en vigueur. »
Les nouvelles fonctionnalités de QualysGuard Policy Compliance 3.0 comprennent notamment :
– Un support de configuration étendu. Les nouvelles technologies prises en charge sont notamment Active Directory 2000, 2003 et 2008, AIX 6.X. CentOS 4.x et 5.x, Oracle Enterprise Linux 4 et 5, HPUX 11i.v3, Windows 7 et Cisco IOS 12.x et 15.x. Le nombre total de vérifications de configuration au 11 février 2011 est de 6,922 sur 34 technologies.
– Des contrôles d’intégrité des fichiers. Les utilisateurs peuvent vérifier l’intégrité des fichiers via des analyses authentifiées et sans agent. La nouvelle fonctionnalité d’analyse évoluée permet de calculer les hashes de fichiers Windows et Unix et de les comparer analyse par analyse pour vérifier l’intégrité de fichiers critiques.
– Le support d’évaluations et de listes de contrôle de sécurité. La bibliothèque de politiques importable prend actuellement en charge les évaluations CIS (Center for Internet Security ) suivantes : Windows XP Professional v2.0.1, Windows 2000 Niveau 1 v1.2.2, Windows 2000 Server Niveau 2 v2.2.1 et Windows 2003 Member Server v2.0.0 ; les listes de contrôle de sécurité FDCC (Federal Desktop Core Configuration) : Windows XP v1.2, Windows XP Firewall v1.2, Windows Vista v1.2, Windows Vista Firewall v1.2 et Internet Explorer 7 v1.2 ; ainsi que les listes de contrôle de sécurité USGCB (United States Government Configuration Baseline) : Windows 7 v1.0, Windows 7 Firewall v1.0 et Internet Explorer 8 v1.0.
– L’utilisation d’agents volatiles. Le moteur d’analyse QualysGuard peut utiliser un agent volatile, une application utilisée par le moteur d’analyse pour accéder à certaines données sur les cibles qui ne sont pas accessibles à distance, afin de procéder à une analyse authentifiée à distance. L’agent est créé à la demande en fonction des besoins puis se dissout complètement une fois la collecte des données terminée, ce qui garantit des analyses authentifiées, fiables, de confiance, le tout à distance. Pour en savoir plus sur les agents volatiles : https://community.qualys.com/login.jspa
– Des contrôles de l’audit des mots de passe. De nouvelles fonctionnalités d’analyse évoluées à l’aide de l’agent volatile vérifient le véritable mot de passe des utilisateurs, et pas uniquement les règles régissant les mots de passe. QualysGuard Policy Compliance 3.0 permet de valider les règles de mot de passe, notamment des mots de passe vides, les correspondances entre mot de passe et nom d’utilisateur ainsi que les correspondances entre mot de passe et entrée du dictionnaire de mots de passe personnalisés.
– Des contrôles définis par l’utilisateur. Outre le contenu publié, QualysGuard Policy Compliance 3.0 prend en charge du contenu défini par l’utilisateur pour Windows et Unix. Il est donc possible d’étendre le contenu à des paramètres de configuration supplémentaires ou personnalisés stockés dans le registre ou les fichiers.
– De nouveaux rapports de tendances. Les rapports pour la Direction et techniques comprennent jusqu’à 90 jours de données sur les tendances, y compris le nombre d’hôtes analysés, le nombre de points de contrôle dans la politique ainsi que les résultats des réussites/échecs de mise en conformité.
– Des intégrations avec des solutions de gestion de mots de passe. Afin de poursuivre l’amélioration de l’analyse avec privilèges, QualysGuard Policy Compliance 3.0 prend s’intègre à Cyber-Ark pour stocker des certificats privilégiés dans une chambre forte de mots de passe et à PowerBroker pour améliorer le contrôle et la consignation des privilèges.
« Les nouvelles fonctionnalités de conformité aux politiques de la version 3.0, notamment la possibilité d’analyser les bases de données et l’utilisation d’agents volatiles pour une analyse authentifiée fiable, offrent une puissante solution qui fournit une vue plus complète de l’état de la sécurité et de la conformité de l’entreprise pour un prix d’entrée inférieur aux coûts de maintenance annuels des traditionnelles solutions d’entreprise, » déclare Philippe Courtot, Chairman et CEO de Qualys.
À propos de QualysGuard Policy Compliance
Collecter des données de sécurité et de configuration sur l’ensemble des biens pour satisfaire aux différentes initiatives de conformité est une tâche à la fois fastidieuse, complexe et coûteuse, en particulier pour les entreprises décentralisées de grande taille. Avec QualysGuard Policy Compliance, les entreprises collectent automatiquement les données de configuration et de sécurité sur l’ensemble de leurs actifs informatiques. Elles fournissent ensuite un reporting de conformité en s’appuyant sur la base de connaissances complète de cette solution concernant les réglementations en vigueur, les normes de l’industrie et les infrastructures de conformité. Logiciel fourni sous la forme de services à la demande, cette solution peu coûteuse ne nécessite ni configuration ni maintenance matérielle ou logicielle. Les mises à jour sont réalisées automatiquement et en temps réel et la connexion s’effectue via le site Web de QualysGuard pour lancer des analyses, configurer l’accès des utilisateurs ou bien créer des rapports.
QualysGuard Policy Compliance 3.0 est disponible immédiatement. Le coût de l’abonnement annuel est fonction du nombre de systèmes et comprend toutes les mises à jour ainsi qu’un support 24/24 heures et 7/7 jours. Pour de plus amples informations sur cette toute dernière version, rendez-vous sur https://community.qualys.com/community/qualysguard/pc.
1 The Forrester Wave™: Vulnerability Management, Q2 2010, 15 juillet 2010