Nous avons souhaité en savoir d’avantage sur Qualys et le service d’audit de Vulnérabilités leader du marché  » QualysGuard « . Interview de Philippe Courtot, CEO de Qualys Inc.

Qui sont aujourd’hui les clients de Qualys ?

Aujourd’hui nous avons plus de 1.500 clients dont 200 des Fortunes Global, on peut compter parmi eux de grands groupes financiers et d’assurances comme Royal Bank of Scotland, Crédit Agricole, PSA, la Société Générale, AXA, GenRE, des sociétés Internet comme Google, Ebay, Microsoft MSN, ainsi que des groupes pharmaceutiques comme Novartis. En fait, notre application couvre tous les secteurs d’activités.

QualysGuard Entreprise pour les grandes entreprises, QualysGuard Express pour les petites et moyennes entreprises, QualysGuard Consultant pour les sociétés de service et QualysGuard MSSP pour les  » outsourcers « . C’est en fait grâce à notre modèle  » Software as a Service  » (SaaS) que nous pouvons couvrir économiquement l’ensemble du marché.

On entend aussi beaucoup parler d’ISS, de Nessus ou encore de Foundstone (McAfee). Mais quels sont les réels éléments différenciateurs après votre approche  » Web service  » ?

QualysGuard a été conçu pour s’adapter à l’entreprise et non l’inverse. Sans investissement coûteux en temps, en déploiement, il est possible de mettre en place le service QualysGuard à l’échelle mondiale. Pour exemple, la société DuPont de Nemour, un de nos clients, a déployé QualysGuard dans 19 pays sur 40 lieux différents en moins de 15 jours.

Ce qui nous différencie aussi de nos concurrents c’est très certainement la qualité imparable de détection de vulnérabilités de QualysGuard. Sur un million de scans que nous avons effectué dans le dernier mois, nous n’avons eu que 31 faux positifs qui ont été corrigé sous 48h. De plus, nous sommes non intrusif, ce qui permet d’auditer des machines en production avec le minimum de risques.

Certains acteurs du marché ont mis la clef sous la porte dernièrement. Pouvez-vous nous donner davantage d’éléments sur la santé financière de Qualys ?

Bon nombre de nos concurrents n’ont pas su relever les challenges techniques et financiers pour s’imposer. Certains comme ISS se sont  » endormis  » au volant. Intranode n’a pas su se donner une dimension internationale et a longuement vécu sur ses acquis. Foundstone n’a pas su descendre dans le bas du marché, quant à Nessus, les coût liés à la  » mise en ligne  » de l’outil sont beaucoup trop importants.

Qualys sera en  » cash-flow positive  » dans quelques mois. Depuis la création de la société nous avons doublé le chiffre d’affaire chaque année. Aujourd’hui le marché est prêt, notre solution est aboutie et nous misons sur une multiplication par 2,5 ou même par 3 de notre chiffre d’affaire l’année prochaine. Notre application va maintenant très au delà du simple  » scanning de vulnérabilités  » et intègre bon nombre de fonctions de consolidations, de corrélations et de gestion de durée de vie de vulnérabilités.

Travaillez-vous également sur l’intégration avec des tiers ?

Aujourd’hui, nous travaillons sur l’intégration de QualysGuard dans Remedy, Tivoli ou encore Peregrine. La corrélation des informations est un enjeu et intégrer les différentes applications à travers un SIM est nécessaire. Nous avons ainsi établis des interfaces avec tous les fabricants de SIM (Symantec Sesa 2.0, ArcSight etc..).

Les législations comme Sarbanes-Oxley demandent l’introduction de  » best practices  » au niveau de la sécurité et nos clients peuvent bâtir grâce à QualysGuard et ses API un véritable applicatif d’audit. Nous travaillons maintenant sur des fonctionnalités de  » Policy compliance « , d' » exception reporting  » dans notre moteur de rapport ce qui va rendre notre solution encore plus fondamentale.

En quoi QualysGuard permet de répondre aux contraintes imposées par Sox ?

Comme indiqué au préalable, la récente norme  » Sarbanes-Oxley  » oblige les grandes entreprises à disposer de solutions leur permettant d’auditer de manière récurrente la sécurité de leurs infrastructures informatiques. Notre service QualysGuard répond en tout point à ce besoin.

Quelle est la position des dirigeants d’entreprises face à la sécurité logique et plus particulièrement à l’analyse des vulnérabilités ?

Nous avons pu observer une réelle prise de conscience de la part des dirigeants quant aux nouvelles menaces liées à l’ouverture des entreprises sur Internet mais aussi face aux problèmes de sécurité internes. L’audit régulier de vulnérabilités devient aujourd’hui une application fondamentale et fait partie des  » best practice  » de la sécurité informatique. La plupart des entreprises lancent maintenant des appels d’offre pour le déploiement d’une solution de  » Vulnerability Management  » globale.

Que pensez vous des propositions de loi pour limiter les investissements étrangers dans les entreprises de sécurité informatique françaises ?

La raison semble logique mais pas du tout pratique. Il faut ouvrir les frontières, attirer les investissements. Nous sommes dans une économie globale. Avec ce genre de raisonnement, on crée des problèmes  » artificiels « , nos entreprises deviennent moins compétitives. Il faut impérativement prendre une taille européenne puis mondiale dés que possible. Des groupes français ont des antennes partout dans le monde. Faire de la sécurité  » à la française  » n’a pas de sens. Une initiative comme celle de Dassault avec Infrasec doit satisfaire les besoins sécuritaires dans le monde et pas seulement à l’échelle française ou Européenne.

Philippe, que voyez-vous pour Qualys ? Vente ? IPO ?

Notre objectif est d’amener Qualys à une IPO vraisemblablement en fin 2006. Notre modèle ASP ou  » Software as Service  » a montré son efficacité, regardez la réussite de Salesforce.com…Wall Street l’a bien compris. Ce modèle représente le futur du software.

Pouvez vous nous parler du CSO-Interchange ?

CSO Interchange est une initiative crée par Howard Schmidt, ancien CyberSecurity advisor du Président de Etats-Unis et moi-même. L’objectif est de faciliter les échanges d’expériences entre les responsables sécurité dans une atmosphère confidentielle et hors vendeurs. Tous les trimestres nous réunissions environ une centaine de CSO sur des thèmes pré-établis dans un endroit différent. Nous en sommes déjà à notre deuxième rendez-vous et notre prochain CSO Interchange aura lieu en Avril à Washinton DC. Nous pensons démarrer également en Europe pour septembre de cette année.

Un mot pour conclure ?

L’informatique est en train de changer. Le modèle  » Software as Service  » permet aux entreprises de déployer des applications complexes en un minimum de temps et avec un minimum de ressources. L’exploitation de la solution est possible sans s’occuper des mises à jours, des maintenances qui sont directement gérées par le fournisseur de l’application en ligne.

Avec QualysGuard, nos clients, grands comme petits, sont complètement libérés des choix d’infrastructures, des problèmes et coûts associés avec la maintenance et l’installation.