Si la société Tenable Network Security doit encore se faire un nom, ce n’est pas le cas de ses deux créateurs. Renaud Deraison et Ron Gula sont mondialement reconnus pour leurs oeuvres dans le petit monde de la sécurité informatique. L’un pour son scanner de vulnérabilités open source Nessus et l’autre pour Dragon, son IDS commercial. Avec TNS , Deraison et Gula marient leurs expériences et accouchent d’un produit hybride, destiné à faciliter la vie des grands comptes.Leur idée est de simplifier le déploiement et l’administration de nombreux scanners Nessus à travers un réseau étendu, à l’aide d’une console unique qui voit l’ensemble comme s’il s’agissait d’un seul grand scanner, plus rapide et plus puissant. Ron Gula oblige, cette console agrège aussi les alertes des IDS et permet de corréler ces informations avec celles issues des scanners. TNS marie donc un produit largement reconnu (Nessus) avec les grandes tendances du moment que sont l’administration centralisée et la corrélation d’évènements (voir notre brève à propos du Salon de la Sécurité Informatique 2002). L’approche est pleine de bon sens, d’autant que Nessus demeure libre, et seule l’infrastructure d’administration et de corrélation est commercialisée.Une architecture distribuée…Baptisée Lightning, l’architecture de TNS s’articule autour d’agents relais (des proxys) et d’une console d’administration unique. Chaque relais permet de gérer un ou plusieurs scanners Nessus, placés n’importe où sur le réseau. Les relais distribuent les tâches de scan et en remontent les résultats. Ils sont organisés de manière hiérarchique, chacun s’occupant d’une plage d’adresse IP à scanner via une ou plusieurs instances de Nessus. Cette architecture distribuée permet, selon TNS, de scanner de grands réseaux (une classe B par exemple) beaucoup plus rapidement tout en impactant moins l’infrastructure.… et une console unique…Tous ces proxys sont supervisés via une console d’administration unique. Celle-ci agrège les résultats des scans transmis par les relais, et les intègre dans une base de données binaire. La console permet à l’administrateur de ne voir et de n’administrer qu’un seul, immense, scanner Nessus couvrant tout son réseau.Elle collecte et agrège également les alertes de plusieurs logiciels de détection d’intrusion du marché, bien que TNS n’en précise pas la liste. Elle les stocke aussi dans une base de données binaire, et tente une corrélation avec les résultats des scans de vulnérabilités.La console facilite également la vie des administrateurs en leur permettant de déléguer certaines tâches, telles la programmation périodique des scans, sur des plages d’adresses spécifiques, la consultation d’une partie des résultats, etc.Elle permet aussi d’associer à chaque évènement une « fiche de procèdure » personnalisée, qui détaille comment gérer l’incident selon les règles définies par l’entreprise.… qui doivent faire leurs preuves.L’ensemble, bien que pas encore testé (les produits sont annoncés pour ce mois-ci), apparaît cependant comme efficace et pragmatique. Si bien souvent l’implication de grands noms dans la création d’une société relève plus du coup de publicité que d’un véritable apport technologique, cela ne semble pas être le cas ici. Renaud Deraison a, par exemple, écrit les proxys chargés de dialoguer avec les instances de Nessus sur le réseau. Quand à Ron Gula, gageons que son expertise du haut débit (Dragon est particulièrement performant sur des réseaux rapides) sera exploitée par l’architecture Lightning.Malgré tout, même si TNS repose ainsi sur un produit, des géniteurs et une expérience déjà bien reconnus, elle devra tout de même faire ses preuves dans les réseaux étendus des grands comptes… un marché souvent difficile à percer.