I-TRACING valorise et exploite les informations de sécurité fournies par les solutions de gestion des risques et de conformité de Qualys

Lundi 13 Février 2012

I-TRACING procède à un inventaire dynamique du périmètre de surveillance et établit des tableaux de bord pour la sécurité et la conformité, à partir des données provenant des tests de vulnérabilité de Qualys

Puteaux, le 13 février 2012 - I-TRACING, expert français de la traçabilité de l’information, la gestion des preuves, la mise en conformité et la sécurité des systèmes d’information, souligne l’importance de l’exploitation intelligente et cohérente des analyses des vulnérabilités repérées avec les outils son partenaire Qualys® Inc.
Afin d’évaluer le niveau de risques de leurs systèmes d’information, les entreprises inscrivent la gestion des vulnérabilités et de la conformité dans leur dispositif de contrôle permanent. En prescrivant les solutions Qualys à ses clients qui souhaitent mettre en place une stratégie performante de gestion des risques, I-TRACING les aide à atteindre leurs objectifs métier et sécuritaires.

Qualys diagnostique les failles du système d'information
Qualys, fournisseur leader de services de sécurité et de conformité en mode SaaS (Software as a Service), permet de valider de manière automatisée que l’infrastructure de l’organisation est résiliente aux dernières vulnérabilités et menaces informatiques. Ainsi, QualysGuard permet de corriger les vulnérabilités logicielles et les mauvaises configurations des actifs informatiques et assure la mise en œuvre effective de la politique de sécurité au sein des différentes lignes métier.

Alors qu’il ne se passe pas un jour sans que de grandes entreprises de tous les secteurs économiques, ne soient victimes d’intrusions, de piratage ou de vols d’informations, plus de 6500 sociétés et administrations dans le monde utilisent les solutions en mode SaaS de Qualys pour découvrir les actifs de leurs systèmes d’information et analyser leurs vulnérabilités.

La pratique de tests de vulnérabilités automatisés et réguliers au rythme de l’organisation (une fois par jour, par semaine, par mois...), scannant l'intégralité du système d’information, depuis l’interne et l’externe, permet de savoir, par exemple, si les équipements réseaux (routeurs, pare-feux), les applications, les services web et les serveurs de messagerie comportent des vulnérabilités.

I-TRACING exploite les données qui concernent les vulnérabilités
Au-delà de l’utilisation classique des services Qualys (paramétrages des tests, interprétation des résultats, définition et suivi des actions curatives et mise en conformité, etc.), et à l’instar des outils de log management, il est primordial pour les équipes sécurité et exploitation-production, d’exploiter les données obtenues, de les inclure dans des outils de surveillance, monitoring et reporting tel que les Centres Opérationnels de Sécurité (SOC).

I-TRACING a développé et paramétré, en utilisant les API de Qualys, des usages avancés, intégrés au sein de plates-formes de Centres Opérationnels de Sécurité. Deux types d’usages avancés, complémentaires fonctionnellement et interopérables techniquement, peuvent être cités :

1) Inventaire dynamique du périmètre de surveillance. La fonctionnalité de mapping de Qualys est utilisée pour détecter de nouvelles machines sur le réseau. Ses résultats sont exploités pour mettre à jour dynamiquement une base de données des configurations (CMDB) et enrichir le périmètre de surveillance du client. Des interfaces d’administration permettent d’accéder à cette base et de gérer des critères propres à chaque client (lignes métiers et autres regroupements organisationnels ou techniques, niveau de sensibilité, etc.). Ces critères peuvent être utilisés pour créer ou mettre à jour automatiquement des cibles de scans Qualys (asset groups).

2) Tableaux de bord sécurité et de conformité. Les résultats de scans et la base des vulnérabilités et des conformités Qualys permettent d’alimenter une base de reporting unique. Après agrégation et enrichissement avec des données tierces (autres solutions de sécurité, CMDB, workflow de gestion des incidents), les données de cette base alimentent des tableaux de bord de sécurité mis à disposition par I-TRACING sur un portail Web. Des fonctionnalités de drill-down permettent au client de naviguer depuis certains indicateurs jusqu’aux informations de la base CMDB et de visualiser les informations propres à chaque machine.

Ce type d’intégration et d’exploitation permet d’identifier les événements de sécurité majeurs pour l’activité de l’organisation, de mettre en cohérence les solutions et services de sécurité déjà en place, de mettre en conformité le périmètre considéré, tout en apportant une rentabilisation accrue des investissements.

A propos d’I-TRACING
Entreprise de services à hautes valeurs ajoutées, I-TRACING est dédiée à la traçabilité de l’information, la gestion des preuves et la sécurité des systèmes d’information, enjeux majeurs du XXIè siècle.

Fondée en 2005, cette société de conseil et d’ingénierie est installée à Puteaux. Composée aujourd’hui de plus de 40 ingénieurs et consultants, I-TRACING propose une gamme complète de prestations : conseil, audit, formation, ingénierie et infogérance (managed services) pour des solutions de sécurité, de traçabilité, de gestion des preuves et de gouvernance SSI (log management, SIEM et conformité ISO27001, PCI DSS, CNIL, conformité Bâle 2, ARJEL, Solvency II…). I-TRACING intervient sur différentes déclinaisons de la traçabilité de l’information (fraude, sécurité du S.I., mise en conformité légale, suivi et optimisation de la production et de l’exploitation, gouvernance SI, QoS et suivi de performances applicatives…) auprès de grandes entités françaises et internationales telles que Carrefour, Groupama, Crédit Agricole, La Poste, Chambre des Notaires de Paris, Bouygues, RATP, SFR, Vodafone, PMU, Aéroports de Paris, Macif, Allianz, Total, Société Générale, Sanofi, Crédit Agricole, Systra, etc. Plus d'information sur www.i-tracing.com.

À propos de Qualys
Qualys, Inc. est le principal fournisseur de solutions « à la demande » pour la gestion des vulnérabilités et de la conformité sous la forme de services (SaaS). Déployables en quelques heures seulement, partout dans le monde, les solutions SaaS de Qualys fournissent aux entreprises une vue immédiate et permanente de l’état de leur sécurité et de leur conformité. Actuellement utilisé par plus de 6500 entreprises dans 85 pays, dont 50 des 100 premières sociétés mondiales du classement établi par Fortune, le service QualysGuard® réalise plus de 500 millions d’audits IP par an. Qualys a opéré le plus important déploiement de ressources de gestion des vulnérabilités au monde au sein d’une société figurant parmi les premières entreprises mondiales du classement Fortune et a été reconnu par des analystes de premier plan pour son leadership sur le marché. Qualys a été nommée Meilleure entreprise de sécurité par le SC Magazine US en 2011. Qualys a signé des accords stratégiques avec des fournisseurs de services d’infogérance (« managed services ») de premier ordre et des cabinets de conseil tels que BT, Etisalat, Fujitsu, IBM, I(TS)2, LAC, NTT, SecureWorks, Symantec, Tata Communications et TELUS. Qualys est également l'un des fondateurs de la Cloud Security Alliance (CSA). Plus d'information sur www.qualys.com.