Ron, afin que le public français te connaisse mieux, peux tu brièvement nous décrire ton parcours professionnel ?

J’ai occupé mon premier véritable emploi dans la sécurité informatique au sein d’une entité de l’armée des Etats-Unis. J’effectuais des recherches sur les vulnérabilités réseau et tentait de les exploiter sur des réseaux gouvernementaux dans le cadre de tests officiels. J’ai par la suite rejoint BBN où j’ai travaillé sur les premiers réseaux de  » honeypots  » commerciaux avec Marty Roesch, le créateur de Snort. Après BBN, j’ai rejoint une start-up ISP (cétait l’ère de  » la bulle Internet « ) où j’y ai managé une équipe d’analystes en détection d’intrusions et sécurité des réseaux. C’est à cette époque que je me suis rendu compte du besoin grandissant pour des IDS réseaux capables de fonctionner à plus de 100 Mbps ; j’ai alors conçu et développé l’IDS  » Dragon « . Bien qu’il existe aujourd’hui des IDS capables de travailler à 1 Gbps, ce n’était pas le cas à la fin des années 90 : dépasser 30 Mbps représentait déjà un véritable challenge ! La société que j’avais fondée pour développer et commercialiser Dragon, Network Security Wizards, a ensuite été rachetée par Enterasys Networks. A cette époque, nous avons proposé Dragon à de nombreuses sociétés commerciales et organisations gouvernementales. J’ai quitté Enterasys il y a environ 2 ans, époque à laquelle j’ai créé Tenable Network Security.

Justement, tu as co-fondé Tenable Network Security avec Renaud Deraison (NdT : Renaud est l’auteur de Nessus, célèbre scanner de vulnérabilités). Peux-tu nous raconter comment vous vous êtes rencontré et comment vous avez eu l’idée de créer Tenable ?

A l’époque d’Enterasys, au début des années 2000, nous avions déjà commencé à développer des outils de corrélation des vulnérabilités entre Nessus et Dragon. Ceux ci ont vraiment permis de faciliter l’analyse des intrusions afin de déterminer si une machine était compromise ou non. L’outil de corrélation n’était pas d’un grand secours en cas d’attaque zero day (NdT : dans la mesure où l’attaque est inconnue, il est éventuellement possible de détecter un évènement suspect mais pas de le corréler avec Nessus) mais permettait rapidement de déterminer quels serveurs étaient infectés, et avec quels vers. J’ai approché Renaud avec le concept de Tenable, qui permet non seulement de s’appuyer sur la base installée Nessus, mais aussi de devenir un acteur du marché qui va bien au delà du simple scan de vulnérabilités.

Le concept de Tenable est une évolution naturelle des solutions de sécurité actuelles. Nous avons vraiment tenté de faire converger diverses technologies de sécurité en une seule offre qui permet au personnel IT et au  » senior management  » d’effectuer simplement les opérations de suivi des problèmes de leurs systèmes et de gestion de rapports. Quand j’ai quitté Enterasys, de nombreux clients et partenaires m’ont confié qu’ils n’avaient pas besoin d’un meilleur IDS, un meilleur scanner ou un meilleur firewall (c’est-à-dire avec plus de fonctionnalités), ils avaient en fait besoin d’être capables de savoir ce qui était connecté à leurs réseaux et de pouvoir communiquer aussi bien avec les équipes opérationnelles qu’avec le management de l’entreprise à propos des mesures à prendre.

A ce jour, Tenable compte certains noms connus parmi son personnel : Renaud et toi-même bien sur, mais également Marcus Ranum, souvent décrit comme l' » inventeurs  » du firewall proxy) qui vous a rejoint il y a quelques mois en tant que CSO. Cela n’a pas été trop difficile de le convaincre ?

Nous étions concurrents à l’époque où il était chez Network Flight Recorder (NdT : il en est le fondateur et en fut le CEO pendant plusieurs années) et moi même chez Network Security Wizards. J’aimerais pouvoir dire que je lui ai fait une proposition qu’il ne pouvait pas refuser, mais la réalité est tout autre : nous avons passé en revue ces dernières années et nous avons réalisé que nous avions une vision similaire par rapport à la sécurité informatique, tant sur les plans politique, social que technologique.

Peux-tu nous donner plus de détails sur les solutions et le positionnement de Tenable ?

La question que j’essaie d’habitude d’éviter est  » qui sont vos concurrents  » parce que nous sommes présents dans trois principaux domaines. Nous fournissons des solutions de gestion des vulnérabilités, de gestion des informations de sécurité (SEM) et nous contribuons également à faciliter les tâches de déploiement de patchs et de mesure de conformité (compliance reporting). Pour te donner un bon exemple, on ne pense en général pas à nous comme à un acteur de la gestion de patchs mais nous proposons avec Nessus une fonctionnalité appelée  » host based check  » qui permet d’évaluer les patchs nécessaires sur n’importe quelle machine Unix ou Windows, ceci sans nécessiter la présence d’un agent. Nous ne poussons pas les patchs (pas encore) mais la réalité est que la plupart des utilisateurs qui achètent une solution de  » gestion de patchs  » l’utilisent surtout comme un outil d’audit.

Mais pour répondre directement à ta question, nous proposons essentiellement cinq produits : Nessus Direct Feed, qui permet de bénéficier en permanence des dernières mises à jour de la base vulnérabilités de Nessus. Il s’agit de scripts et tests de vérification développés par Tenable. NeWT Pro est un scanner de vulnérabilités tournant sous Windows et qui repose sur le moteur de Nessus. NeVO est un sniffer qui analyse le réseau et les applications pour détecter des modifications, des vulnérabilités et des systèmes compromis. Lightning est une console qui manage Nessus, NeWT et NeVO et qui comprend un système de gestion de tickets et des fonctions de remédiation et gestion des actifs ; la console peut également analyser des évènements en provenance de divers IDS. Pour finir, Thunder est une plateforme qui collecte les logs et les évènements en provenance de n’importe quel composant de sécurité. En combinant Thunder avec Lightning, un utilisateur peut recevoir les alertes d’un IDS, déterminer les vulnérabilités du système cible et parcourir les logs des équipements pertinents, le tout à travers une seule interface Web.

Il est à noter que Nessus demeure gratuit à l’usage pour le grand public. Tenable fournit au public des mises à jour via ce que l’on appelle des  » registered feeds  » sept jours après que nous les ayions fourni en  » direct feed « . Par ailleurs, nous proposons également une version gratuite de NeWT limitée aux réseaux de classe C.

De nombreuses sociétés de service en France et dans le monde proposent des services d’analyse de vulnérabilités reposant sur Nessus, la plupart du temps sans même le mentionner à leurs clients. Dans la vaste majorité des cas, ces sociétés ne contribuent absolument pas aux développements et à l’évolution du produit. Ne trouves tu pas cela  » injuste  » que de telles sociétés utilisent des outils open-source (et donc gratuits) pour revendre des prestations à leurs clients ?

Bon nombre de sociétés de services sont abonnées à notre  » direct feed  » et ont acheté nos autres produits. Bien sur, il existe toujours des sociétés qui utilisent Nessus et l’appellent le scanner ‘pro 5000’ ou quelque chose comme cela.

Nous pensons que nous avons une relation privilégiée et un bon  » business model  » avec la majorité de sociétés qui proposent des services managés basés sur Nessus. Ce qui a été énorme avec ces sociétés ce fut de leur fournir également la puissance de nos solutions Lightning, NeVO et Thunder. Par exemple, une fois que NeVO est installé sur le réseau client, on obtient bien plus d’informations utiles qu’on n’aurait eues en ne lançant qu’un scan de vulnérabilités actif mensuel.

Le domaine de la gestion de vulnérabilités est très dynamique. Je distingue principalement trois catégories d’acteurs : les sociétés déjà bien présentes sur ce marché comme Qualys ou McAfee/Foundstone, les sociétés qui ont changé de positionnement pour évoluer vers le Vulnerability Management comme nCircle qui était à l’origine un éditeur d’IDS uniquement ou eEye qui évolue du monde VA/Desktop vers l’univers de l’entreprise et pour finir les nouveaux entrants tels que Lockdown Networks, StillSecure … Crois tu que la taille de ce marché est assez grande pour tous ces acteurs ou penses-tu qu’il risque d’y avoir un phénomène de consolidation ?

La consolidation va se poursuivre. Morgan Stanley a tenu récemment une conférence qui a montré que, si on enlève toutes les sociétés cotées en bourse comme Symantec, et si on étudie les résultats des sociétés restantes, le chiffre d’affaires moyen par société est faible, de l’ordre de 16M$/an. Ce n’est pas suffisant pour pouvoir se développer. Certaines sociétés vont faire faillite, fusionner ou être acquises. Chez Tenable Network Security, nous étudions en permanence nos concurrents en position d’être racheté ainsi que les technologies que nous pourrions acquérir.

Le monde de l’IDS/IPS et celui du VM sont proches. Par la passé, certaines sociétés ont tenté de marier les deux technologies (comme ISS avec Fusion, et même Enterasys à l’époque où tu étais à la tête de la division Dragon) mais sans véritable succès. aujourd’hui, avec l’arrivée de nouvelles sociétés comme Tenable, ces  » vieilles idées  » semblent refaire surface. Crois tu que les entreprises sont prêtes ?

Absolument. La problématique ici réside dans l’objet même de la corrélation. Une approche directe consiste à utiliser les rapports de vulnérabilités pour diminuer le taux de faux positifs générés par des IDS. Tenable effectue cela depuis sa création avec plusieurs IDS disponibles sur le marché (NdT : Bro, Dragon, Fortigate, Proventia, IntruShield, IDP, NFR et Snort). Toutefois, la véritable valeur ajoutée (de la corrélation) a lieu lorsque l’on travaille avec du personnel  » non IT  » ou non spécialisé. Par exemple, si on reçoit une alerte qui annonce  » le ver SDBot.XYZ variante 292 a été découvert sur un serveur  » et que cette alerte survient tous les jours, l’évènement n’est pas vraiment exploitable. En revanche, si l’alerte dit  » nous avons été attaqué via une technique face à laquelle nous sommes vulnérable « , on retient l’attention des utilisateurs. Peu importe la technique d’attaque utilisée, l’alerte sera la même. Nous avons rajouté ce type de concept au sein des sondes NeVO et de Thunder.

Justement, quels sont les points forts de Tenable qui le différencie de ses compétiteurs ?

Je dirais une réelle facilité d’exploitation et un faible TCO. Je pourrais passer en revue chacune de nos technologies et expliquer pourquoi notre approche est meilleure. Je pourrais argumenter sur les avantages de NeVO en matière de rapidité et ses atouts par rapport à un scanner actif ou encore pourquoi nous n’utilisons pas de bases de données SQL au sein de nos produits (ce qui nécessiterait un administrateur SQL). Cependant, notre plus gros point fort c’est qu’il est possible de télécharger tous nos composants, de les installer soi même, de les exploiter et produire des données utiles, aussi bien pour des grands que petits environnements. Tenable n’offre pas vraiment de services professionnels et ne dispose pas d’un tel groupe car nos outils ne sont pas si compliqués à mettre en oeuvre. Nous avons d’ailleurs dû modifier notre cursus de formation pour faire évoluer les cours d’introductions vers des cours d’un niveau plus avancé car la plupart des utilisateurs sont capables de mettre en oeuvre nos solutions sans trop de difficultés.

Si je ne me trompe pas, Tenable est présente uniquement aux US. As-tu des ambitions européennes ?

Plus de 25% de notre business provient d’Europe, ce qui inclut certaines des plus grosses banques et des plus gros ISPs. Nous avons de nombreux revendeurs et partenaires en Europe, ce qui nous permet de bénéficier d’un canal de distribution efficace. Nous avons également développé des partenariats avec plusieurs MSPs européens pour pousser nos technologies vers leurs clients. La plupart de ces clients nous connaissent via Nessus, mais se rendent compte que la combinaison de nos technologies de gestion des vulnérabilités, analyse de log et scanners passifs est idéale pour leur environnement.

Merci d’avoir répondu à nos questions.

Merci à toi et Vulnerabilite.com