Rechercher :         
Sociétés Prestataires Carnet Formations Progiciels Encyclo Fonds Guide d'achat Téléchargement
Interviews

Roberto Correnti
Directeur général France
EnterNet Technologies

"Notre pare-feux est proche d'une solution matérielle sans en avoir les inconvénients"
          

Ni complètement logiciel, ni complètement matériel, le firewall (pare-feu) de l'éditeur suédois EnterNet Technologies présente de nombreuses particularités qui en font, selon certains experts, l'un des plus sûrs au monde. Constitué d'un moteur allégé et doté de fonctions dédiées à la gestion de la qualité de service, le produit peut également être considéré comme un système d'exploitation propriétaire. L'éditeur pourrait donc revendiquer le plus haut niveau de l'échelle des Critères Communs établie en matière de sécurité informatique par la Commission Européenne. Afin de faire le tour des spécificités de son produit phare, le directeur général de la jeune filiale française, Roberto Correnti, nous apporte de plus amples détails.

Propos recueillis par François Morel le 11 septembre 2001 .

JDNet Solutions: Quelle est la répartition de votre base clientèle ?
Roberto Correnti: Nous sommes tournés à 100 % vers la distribution, ce qui signifie que nous revendons notre produit aux intégrateurs et aux VARs (revendeurs à valeur ajoutée). Etant donnée notre politique tarifaire, notre gamme se prête à toutes les catégories de clientèles finales. Notre offre n'est pas uniquement dédiée aux grandes comptes car nous allons de cinq jusqu'à un nombre de licences illimité. Nos clients les intégrateurs savent pratiquer du sur-mesure, et c'est là qu'il est possible de tirer les plus grands bénéfices de notre technologie.

Concernant la répartition chez notre clientèle finale, il nous est très difficile de communiquer des chiffres pour l'instant. En Suède, le pays dont EnterNet est originaire, 70 % sont des PME mais cela résume seulement ce marché où la maturité Internet est très importante avec un nombre inférieur de petites structures. Cela n'empêche pas Telecom Italia d'être l'un de nos premiers contrats signés en Suède. Ici, nous nous sommes initialement plutôt tournés vers de moyens ou grands comptes, puis les PME/TPE. Sinon, nous avons de plus en plus de clients chez les hébergeurs mais je ne peux pas vous donner de noms car nous sommes en phase d'installation et de tests.

Comment la demande en matière de firewall se comporte-t-elle ?
Il existe deux tranches distinctes en France. Les moyens et grands comptes mettent en oeuvre les moyens nécessaires pour leurs réseaux et ont une personne chargée de la sécurité et consciente du besoin. Mais à côté, beaucoup de petites entreprises n'ont pas encore conscience des failles et des risques, et seulement une sur quatre s'intéresse au fait d'installer un pare-feu. Les PME/TPE font en général le choix d'un antivirus avec une certaine confusion, en croyant par exemple que le pare-feu protège les données, ou protège aussi contre les virus. Il existe également une confusion entre le fonctionnement d'un proxy et d'un pare-feu. Mais aussi, les pirates s'attaquent peut-être plus volontiers aux PME qui sont dans le métier de l'informatique qu'à celles qui n'ont pas conscience des risques.

Je pense que les personnes conscientes sont aussi celles qui ont des actifs à protéger en interne. Dans le cas contraire, l'attaque ne donne pas grand chose. Mais du moment que l'entreprise dispose de serveurs en interne sans faire appel à un prestataire, elle prend des risques. C'est pourquoi je pense que nous aurons plus de facilité à faire comprendre aux PMEs qu'elles ont besoin d'un pare-feux lorsqu'elles seront équipées de leur serveur de messagerie. Nous avons donc entamé des séminaires, et il nous reste encore un gros travail de communication. Mais avec l'arrivée d'ADSL et des hauts débits, de plus en plus de PMEs vont s'équiper d'outils de sécurité.

Votre pare-feu est-il exclusivement logiciel ?
Aujourd'hui, notre technologie est propriétaire et n'a pas besoin de système d'exploitation, tout en présentant des contraintes assez basiques. Un PC compatible avec un processeur Intel suffit, sans nécessairement avoir besoin d'un disque dur. En même temps, nous fournissons notre noyau propriétaire avec une console d'administration. Quand nous préparons le pare-feu, la console n'est pas sous Windows. Nous sauvegardons sa configuration et nous créons une disquette d'amorçage qui sera introduite sur le futur pare-feu. Ensuite, quand nous redémarrons la machine, le noyau de 400 Ko environ est chargé en mémoire à partir de la disquette. Après, il est en marche et ne nécessite plus aucune lecture ou écriture. En cas de changements, une mise à jour est effectuée sur la disquette. Ceci dit, pour les sauvegardes nous recommandons des disques en modules (DOM) qui ont des vitesses de transfert très rapide de l'odre de la milliseconde et se branchent sur le port IDE.

Pourquoi ce choix assez particulier est-il un avantage sur les autres pare-feux, en particulier matériels ?
Je pense que le premier avantage tient dans le fait que notre solution soit bâtie sur un noyau propriétaire qui reste en mémoire. Notre implémentation d'un pare-feu est très proche d'une solution matérielle sans en avoir les inconvénients. D'ailleurs, la plupart sont des boîtes noires avec un logiciel. Les solutions purement matérielles sont assez rares et il faut changer l'équipement pour changer le produit. Nous nous servons d'un PC que nous transformons en un pare-feux haut de gamme. Par rapport à nos alter-egos logiciels, cela nous procure deux avantages. Le premier est de ne pas dépendre du système d'exploitation, ce qui fait que nous n'avons pas à nous soucier des failles des OS commerciaux ou même non commerciaux, sans avoir besoin non plus de mettre à jour les service packs et d'appliquer les correctifs. Ensuite, un disque dur suppose une écriture dur des composants amovibles avec des parties qui bougent et risquent de créer des défaillances supérieures à un disque en module. Enfin, notre noyau est si petit qu'il n'y a pas besoin de réinstaller d'OS.

Si votre noyau est si petit, est-il aussi efficace que les autres ?
Oui, et il est surtout très robuste. Comme tout logiciel est le fruit de la programmation humaine, il risque toujours de subsister des erreurs de programmation. Aujourd'hui, notre système d'exploitation propriétaire de 400 Ko comporte dix fois moins de lignes de code qu'un logiciel basé sur un autre OS, et le risque de bugs est ainsi beaucoup moins important. Un noyau plus petit signifie donc plus robuste et plus fiable. Nous avons fait mener des tests par IDG en Suède et Lexsi en France, et ceux-ci ont prouvé que notre noyau résiste à toutes les attaques connues et moins connues.

90 % des pare-feux se servent de la couche TCP/IP de l'OS, mais EnterNet dispose déjà de sa couche TCP/IP et dialogue en direct avec le BIOS. Tout nous appartient. Enfin, côté performance, le rôle d'un pare-feux est de savoir filtrer les flux IP. En gros, nous pouvons passer d'une carte réseau à une autre, et nous arrivons avec la version 6 à avoir des débits filtrés au delà de 500 Mbps. Et pour nous, ce n'est pas une question d'interfaces réseaux. Qu'il y en ait une seule ou soixante, pas de problème. Au niveau prix, c'est pareil. Que vous ayez deux ou soixante cartes, vous y consacrerez le même budget.

Oui, mais vous n'incorporez donc pas un système de détection d'intrusions, par exemple... ?
Des comparatifs nous ont plébiscité comme disposant d'un analyseur de logs très avancé. Mais nous ne proposons pas aujourd'hui de systèmes avec des sondes pour la détection d'intrusions. Ce n'est donc pas du dynamique ni du actif puisque cela réclame une intervention manuelle. Ceci dit, avec nos logs en trois couches, nous arrivons à questionner tout le pare-feux. Ensuite, notre analyseur va jusqu'à l'hexadécimal. EnterNet Firewall s'adresse à des professionnels, et notre analyseur est un outil indispensable si le pare-feu est mis en place chez des opérateurs. Ensuite, un système de détection d'intrusions intéresse plus les PMEs. Quant à savoir si nous allons en incorporer un, je n'ai pas d'informations sur ce sujet. En revanche, nous avons la volonté de signer avec des partenaires tiers qui pourraient développer des solutions compatibles EnterNet. Pour cela, nous sommes en relation avec des partenaires spécialisés mais je ne peux vous dire lesquels. Et nous nous posons les mêmes questions en terme de protection antivirale.

Ceci dit, autant le fait que notre noyau soit propriétaire représente une difficulté pour développer des outils tiers, autant nous prendrions des risques en intégrant un trop grand nombre de protections applicatives, un antivirus ou un filtre de contenus. En tout cas, ce ne serait pas une très bonne stratégie pour garder une très haute classe de sécurité.

En revanche, vous proposez une option de réseau privé virtuel (VPN). Pourquoi un module complémentaire et pas une solution à part entière ?
D'abord, notre module VPN se sert du noyau qui est dans le pare-feux, ce qui procure pas mal d'avantages très bien illustrés dans nos manuels. Ensuite, les règles du VPN sont soumises à celes du pare-feux. Nous avons opté pour cette solution car elle permet à l'administrateur de gérer les mêmes flux et les mêmes règles en un point central. Si le réseau privé virtuel était à l'extérieur, le pare-feu ne distinguerait plus si un canal était VPN ou non.

Sur ce point précis, rajoutons que nous avons un produit SSH intégré. Or, nous ne sommes pas les seuls à utiliser SSH, ce qui constitue un grand avantage du fait d'être compatible avec les autres VPN.

Comment répondez-vous à la problématique de montée en charge ?
Pour gérer la bande passante, tout le flux est réparti individuellement par IP de façon dynamique. De cette façon, nous garantissons les flux vers le serveur web, le serveur ecommerce... Notre OS pare-feu est le policier du réseau qui définit les règles de sécurité. En même temps, il intègre la possibilité d'avoir 3 ou même plus de 60 cartes. Si nous ajoutons à cela la gestion combinée de la bande passante, nous obtenons une solution tout à fait adéquate pour la montée en charge. Ainsi, après la possibilité de gérer tous les flux au niveau des cartes réseaux, nous pouvons définir des règles de sécurité qui ne s'appliquent qu'à un seul serveur. Chez les PMEs la notion de service garanti est plus convaincante que la peur de l'intrusion et des attaques. Le contrôle des flux des navigateurs, et la garantie minimum de bande passante pour un service de messagerie par exemple, sont des arguments qui fonctionnent beaucoup mieux auprès des petites et moyennes entreprises. C'est la raison pour laquelle nous avons conservé la gestion de la qualité de service dans notre pare-feux car nous considérons qu'elle en fait partie intégrante.

Quelles sont vos prochaines orientations produits ?
Nous allons continuer à aller dans le sens de la performance et de l'augmentation des capacités. Nous annoncerons prochainement des nouveautés comme le fait de proposer le support gigabit. Et surtout, étant donné que tous les éditeurs confondus ont du mal à sécuriser les protocoles du streaming comme H.323, nous nous devons d'y faire face avec une orientation toujours avant-gardiste. Par exemple, EnterNet interdit le FTP actif car le FPC passif fonctionne très bien. Aujourd'hui, cette faille (qui fera l'objet d'un article ultérieur, ndlr) est très connue et malgré tout la concurrence donne encore souvent des options pour mettre en route le FTP actif. Ce qui, à nos yeux, revient à installer un airbag sur une voiture avec une option pour le désactiver. Le FTP actif donne en effet la possibilité de mettre tout pare-feu hors service en très peu de temps.


Roberto Correnti, 34 ans, est devenu directeur général de la filiale française d'EnterNet Technologies lors de l'ouverture des bureaux en janvier 2001. Depuis 1997, il occupait le poste de directeur général de l'éditeur TenFour South Europe, spécialisé dans les solutions d'interconnexion de messagerie. Né en Italie, et fraîchement débarqué de Suède où il a vécu 15 ans, il atterrit en 1993 auprès de la section commerciale de l'Ambassade de Suède à Paris. Puis, il prend ses fonctions au sein du Centre Suédois du Commerce Extérieur à Paris, après avoir obtenu un double baccalauréat suédois et français ainsi qu'un diplôme de l'Ecole Polytechnique de Stockholm.

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY



Gratuit - L'actualité des technologies
e-business
Toutes nos newsletters
 
 
 
 
 
 
Logiciels libres
Retours d'expérience, panorama, analyses.
Sommaire
 
Failles de sécurité
Vulnérabilités des logiciels & évaluation des risques.
Sommaire
 
 

Les entreprises de l'Internet
Plus de 5000 sociétés référencées

Les prestataires
Plus de 2600 prestataires

Les fonds
Plus de 100 fiches descriptives

Le carnet des managers Internet
Plus de 1500 dirigeants

Guide des solutions
Plus de 310 briques logicielles