Qualys présentera CertView et ses deux nouvelles applications à l’occasion de l’édition 2017
de la conférence Black Hat USA sur le stand #899.
Les machines s’appuyant sur les certificats X.509 pour communiquer en toute sécurité entre elles
de manière interne et externe, engendre de nouvelles surfaces d’attaque, en particulier pour le
DevOps et les clouds publics en pleine expansion. Afin d’anticiper ce risque, les entreprises
doivent automatiser la visibilité et le suivi des déploiements de leurs certificats pour les
opérations DevSecOps. C’est ce que leur permet de faire Qualys CertView en centralisant la
visibilité des vulnérabilités touchant les certificats au moyen d’une vue continue et globale de
l’état de leur sécurité et conformité. Grâce à ce framework, les entreprises peuvent également
voir et remédier rapidement les certificats expirés ou vulnérables.

« Même si différentes offres permettent de découvrir les certificats X.509, la plupart des
entreprises s’en remettent à des méthodes de suivi via un tableur et des processus manuels pour
suivre les certificats, si bien que de nombreuses installations restent non documentées et que
l’exposition aux risques augmente, » explique David Anthony Mahdi, directeur de recherche chez
Gartner. « Lorsqu’ils utilisent des outils de découverte, les responsables de la sécurité sont
souvent surpris par le nombre de certificats inconnus émis par de nombreuses autorités de
certification et présents dans leur environnement. »(1)

CertView comprend actuellement les deux nouvelles applications suivantes :
Certificate Inventory (CRI) :
– Découverte : les équipes Infosec peuvent analyser en continu leurs actifs IT répartis à travers le
monde depuis la même console pour découvrir chaque certificat émis par une quelconque
autorité de certification.
– Inventaire : les coûts administratifs sont réduits grâce au contrôle centralisé du parc de
certificats et à une visibilité complète de tous les certificats utilisés par les équipes DevSecOps,
InfoSec et IT.

L’appli Certificate Assessment (CRA) :
– Une supervision continue : l’automatisation intégrée à Qualys Cloud Platform identifie les
problèmes critiques, les lacunes et les vulnérabilités et envoie des alertes ciblées aux équipes
DeveSecOps, InfoSec IT et IT.
– Rapports et tableaux de bord : les tableaux de bord dynamiques offrent aux équipes une vue
holistique et contextuelle de leur parc de certificats et génèrent automatiquement des rapports
téléchargeables sur les vulnérabilités des certificats, leur expiration et leur non-conformité pour
les actifs IT déployés à travers le monde.

– Disponibilité
Qualys CertView sera disponible en version bêta à partir du 27 septembre et sa disponibilité
générale est prévue pour le quatrième trimestre. La première version comprendra les applications
CRI et CRA. Qualys travaille à l’ajout d’une fonctionnalité de gestion du cycle de vie complet
des certificats depuis la vue unifiée fournie par Qualys Cloud Platform. Les prochaines versions
de CertView comprendront de nouvelles applications qui supporteront l’intégration en back-end
des principales autorités de certification et des serveurs applicatifs ainsi que les workflows pour
l’application des politiques.

1 - Gartner, Technology Insight for X.509 Certificate Management, David Anthony Mahdi, September 2016