Inscrivez-vous gratuitement à la Newsletter BFM Business
La solution d'audit de vulnérabilité QualysGuard optimise ses tests en s'appuyant sur les normes CVSS et OVAL.
Avec son logiciel QualysGuard, l'éditeur Qualys se spécialise dans l'audit de vulnérabilité. La solution est proposée en mode hébergé pour analyser la partie de son réseau vue du WAN, ou sous forme de boîtier pour inspecter le LAN.
QualysGuard détecte, par exemple, qu'un serveur Apache ne dispose pas des derniers correctifs de sécurité ou que des ports d'un coupe-feu non utilisés sont ouverts, et en alerte l'administrateur.
Évaluer l'impact de la faille en fonction du contexte
La version 4.5 est compatible avec deux standards de gestion des vulnérabilités, CVSS (Common Vulnerability Scoring System), et OVAL (Open Vulnerability and Assessment Language). ' Jusqu'à maintenant, nous
classions les vulnérabilités indépendamment du contexte. La norme CVSS jauge en temps réel l'impact de la faille sur Internet et laisse la possibilité à l'administrateur de préciser si le serveur concerné est critique ou
non ', détaille Axel Tessier, responsable technique Europe chez Qualys.La norme OVAL est utile lors d'une analyse du LAN. Elle permet de développer des tests de vulnérabilité avec le langage XML (eXtensible Markup Language). ' Nos clients peuvent ainsi tester la conformité de leur
architecture avec leur politique de sécurité, notamment au niveau des mots de passe ou des droits sur les fichiers ', précise Axel Tessier. Pour l'heure, QualysGuard est compatible avec la norme OVAL uniquement pour les tests
avec Windows, la compatibilité avec Linux étant prévue pour la prochaine version.Avec la version 4.5, la solution QualysGuard peut gérer les environnements DHCP, et donc être indépendante du changement d'adresse IP des postes à auditer. De plus, elle peut désormais analyser les bases de données Oracle afin de
vérifier, par exemple, les droits utilisateurs ou les mots de passe. Enfin, elle exploite les données d'une base SNMP, comme les services en cours d'exécution, le système d'exploitation, etc.
Votre opinion