JDNet
Solutions: Quelle est la répartition de votre base
clientèle ?
Roberto Correnti:
Nous sommes tournés à
100 % vers la distribution, ce qui signifie que nous
revendons notre produit aux intégrateurs et aux VARs
(revendeurs à valeur ajoutée). Etant donnée
notre politique tarifaire, notre gamme se prête à
toutes les catégories de clientèles finales.
Notre offre n'est pas uniquement dédiée aux
grandes comptes car nous allons de cinq jusqu'à un
nombre de licences illimité. Nos clients les intégrateurs
savent pratiquer du sur-mesure, et c'est là qu'il est
possible de tirer les plus grands bénéfices
de notre technologie.
Concernant la répartition chez notre clientèle
finale, il nous est très difficile de communiquer des
chiffres pour l'instant. En Suède, le pays dont EnterNet
est originaire, 70 % sont des PME mais cela résume
seulement ce marché où la maturité Internet
est très importante avec un nombre inférieur
de petites structures. Cela n'empêche pas Telecom Italia
d'être l'un de nos premiers contrats signés en
Suède. Ici, nous nous sommes initialement plutôt
tournés vers de moyens ou grands comptes, puis les
PME/TPE. Sinon, nous avons de plus en plus de clients chez
les hébergeurs mais je ne peux pas vous donner de noms
car nous sommes en phase d'installation et de tests.
Comment
la demande en matière de firewall se comporte-t-elle
?
Il existe deux tranches distinctes
en France. Les moyens et grands comptes mettent en oeuvre
les moyens nécessaires pour leurs réseaux et
ont une personne chargée de la sécurité
et consciente du besoin. Mais à côté,
beaucoup de petites entreprises n'ont pas encore conscience
des failles et des risques, et seulement une sur quatre s'intéresse
au fait d'installer un pare-feu. Les PME/TPE font en général
le choix d'un antivirus avec une certaine confusion, en croyant
par exemple que le pare-feu protège les données,
ou protège aussi contre les virus. Il existe également
une confusion entre le fonctionnement d'un proxy et d'un pare-feu.
Mais aussi, les pirates s'attaquent peut-être plus volontiers
aux PME qui sont dans le métier de l'informatique qu'à
celles qui n'ont pas conscience des risques.
Je pense que les personnes conscientes sont aussi celles qui
ont des actifs à protéger en interne. Dans le
cas contraire, l'attaque ne donne pas grand chose. Mais du
moment que l'entreprise dispose de serveurs en interne sans
faire appel à un prestataire, elle prend des risques.
C'est pourquoi je pense que nous aurons plus de facilité
à faire comprendre aux PMEs qu'elles ont besoin d'un
pare-feux lorsqu'elles seront équipées de leur
serveur de messagerie. Nous avons donc entamé des séminaires,
et il nous reste encore un gros travail de communication.
Mais avec l'arrivée d'ADSL et des hauts débits,
de plus en plus de PMEs vont s'équiper d'outils de
sécurité.
Votre
pare-feu est-il exclusivement logiciel ?
Aujourd'hui, notre technologie
est propriétaire et n'a pas besoin de système
d'exploitation, tout en présentant des contraintes
assez basiques. Un PC compatible avec un processeur Intel
suffit, sans nécessairement avoir besoin d'un disque
dur. En même temps, nous fournissons notre noyau propriétaire
avec une console d'administration. Quand nous préparons
le pare-feu, la console n'est pas sous Windows. Nous sauvegardons
sa configuration et nous créons une disquette d'amorçage
qui sera introduite sur le futur pare-feu. Ensuite, quand
nous redémarrons la machine, le noyau de 400 Ko
environ est chargé en mémoire à partir
de la disquette. Après, il est en marche et ne nécessite
plus aucune lecture ou écriture. En cas de changements,
une mise à jour est effectuée sur la disquette.
Ceci dit, pour les sauvegardes nous recommandons des disques
en modules (DOM) qui ont des vitesses de transfert très
rapide de l'odre de la milliseconde et se branchent sur le
port IDE.
Pourquoi
ce choix assez particulier est-il un avantage sur les autres
pare-feux, en particulier matériels ?
Je pense que le premier avantage
tient dans le fait que notre solution soit bâtie sur
un noyau propriétaire qui reste en mémoire.
Notre implémentation d'un pare-feu est très
proche d'une solution matérielle sans en avoir les
inconvénients. D'ailleurs, la plupart sont des boîtes
noires avec un logiciel. Les solutions purement matérielles
sont assez rares et il faut changer l'équipement pour
changer le produit. Nous nous servons d'un PC que nous transformons
en un pare-feux haut de gamme. Par rapport à nos alter-egos
logiciels, cela nous procure deux avantages. Le premier est
de ne pas dépendre du système d'exploitation,
ce qui fait que nous n'avons pas à nous soucier des
failles des OS commerciaux ou même non commerciaux,
sans avoir besoin non plus de mettre à jour les service
packs et d'appliquer les correctifs. Ensuite, un disque dur
suppose une écriture dur des composants amovibles avec
des parties qui bougent et risquent de créer des défaillances
supérieures à un disque en module. Enfin, notre
noyau est si petit qu'il n'y a pas besoin de réinstaller
d'OS.
Si
votre noyau est si petit, est-il aussi efficace que les autres
?
Oui, et il est surtout très
robuste. Comme tout logiciel est le fruit de la programmation
humaine, il risque toujours de subsister des erreurs de programmation.
Aujourd'hui, notre système d'exploitation propriétaire
de 400 Ko comporte dix fois moins de lignes de code qu'un
logiciel basé sur un autre OS, et le risque de bugs
est ainsi beaucoup moins important. Un noyau plus petit signifie
donc plus robuste et plus fiable. Nous avons fait mener des
tests par IDG en Suède et Lexsi en France, et ceux-ci
ont prouvé que notre noyau résiste à
toutes les attaques connues et moins connues.
90 % des pare-feux se servent de la couche TCP/IP de
l'OS, mais EnterNet dispose déjà de sa couche
TCP/IP et dialogue en direct avec le BIOS. Tout nous appartient.
Enfin, côté performance, le rôle d'un pare-feux
est de savoir filtrer les flux IP. En gros, nous pouvons passer
d'une carte réseau à une autre, et nous arrivons
avec la version 6 à avoir des débits filtrés
au delà de 500 Mbps. Et pour nous, ce n'est pas
une question d'interfaces réseaux. Qu'il y en ait une
seule ou soixante, pas de problème. Au niveau prix,
c'est pareil. Que vous ayez deux ou soixante cartes, vous
y consacrerez le même budget.
Oui,
mais vous n'incorporez donc pas un système de détection
d'intrusions, par exemple... ?
Des comparatifs nous ont plébiscité
comme disposant d'un analyseur de logs très avancé.
Mais nous ne proposons pas aujourd'hui de systèmes
avec des sondes pour la détection d'intrusions. Ce
n'est donc pas du dynamique ni du actif puisque cela réclame
une intervention manuelle. Ceci dit, avec nos logs en trois
couches, nous arrivons à questionner tout le pare-feux.
Ensuite, notre analyseur va jusqu'à l'hexadécimal.
EnterNet Firewall s'adresse à des professionnels, et
notre analyseur est un outil indispensable si le pare-feu
est mis en place chez des opérateurs. Ensuite, un système
de détection d'intrusions intéresse plus les
PMEs. Quant à savoir si nous allons en incorporer un,
je n'ai pas d'informations sur ce sujet. En revanche, nous
avons la volonté de signer avec des partenaires tiers
qui pourraient développer des solutions compatibles
EnterNet. Pour cela, nous sommes en relation avec des partenaires
spécialisés mais je ne peux vous dire lesquels.
Et nous nous posons les mêmes questions en terme de
protection antivirale.
Ceci dit, autant le fait que notre noyau soit propriétaire
représente une difficulté pour développer
des outils tiers, autant nous prendrions des risques en intégrant
un trop grand nombre de protections applicatives, un antivirus
ou un filtre de contenus. En tout cas, ce ne serait pas une
très bonne stratégie pour garder une très
haute classe de sécurité.
En
revanche, vous proposez une option de réseau privé
virtuel (VPN). Pourquoi un module complémentaire et
pas une solution à part entière ?
D'abord, notre module VPN se sert
du noyau qui est dans le pare-feux, ce qui procure pas mal
d'avantages très bien illustrés dans nos manuels.
Ensuite, les règles du VPN sont soumises à celes
du pare-feux. Nous avons opté pour cette solution car
elle permet à l'administrateur de gérer les
mêmes flux et les mêmes règles en un point
central. Si le réseau privé virtuel était
à l'extérieur, le pare-feu ne distinguerait
plus si un canal était VPN ou non.
Sur ce point précis, rajoutons que nous avons un produit
SSH intégré. Or, nous ne sommes pas les seuls
à utiliser SSH, ce qui constitue un grand avantage
du fait d'être compatible avec les autres VPN.
Comment
répondez-vous à la problématique de montée
en charge ?
Pour gérer la bande passante,
tout le flux est réparti individuellement par IP de
façon dynamique. De cette façon, nous garantissons
les flux vers le serveur web, le serveur ecommerce... Notre
OS pare-feu est le policier du réseau qui définit
les règles de sécurité. En même
temps, il intègre la possibilité d'avoir 3 ou
même plus de 60 cartes. Si nous ajoutons à
cela la gestion combinée de la bande passante, nous
obtenons une solution tout à fait adéquate pour
la montée en charge. Ainsi, après la possibilité
de gérer tous les flux au niveau des cartes réseaux,
nous pouvons définir des règles de sécurité
qui ne s'appliquent qu'à un seul serveur. Chez les
PMEs la notion de service garanti est plus convaincante que
la peur de l'intrusion et des attaques. Le contrôle
des flux des navigateurs, et la garantie minimum de bande
passante pour un service de messagerie par exemple, sont des
arguments qui fonctionnent beaucoup mieux auprès des
petites et moyennes entreprises. C'est la raison pour laquelle
nous avons conservé la gestion de la qualité
de service dans notre pare-feux car nous considérons
qu'elle en fait partie intégrante.
Quelles
sont vos prochaines orientations produits ?
Nous allons continuer à
aller dans le sens de la performance et de l'augmentation
des capacités. Nous annoncerons prochainement des nouveautés
comme le fait de proposer le support gigabit. Et surtout,
étant donné que tous les éditeurs confondus
ont du mal à sécuriser les protocoles du streaming
comme H.323, nous nous devons d'y faire face avec une orientation
toujours avant-gardiste. Par exemple, EnterNet interdit le
FTP actif car le FPC passif fonctionne très bien. Aujourd'hui,
cette faille (qui fera l'objet d'un article ultérieur,
ndlr) est très connue et malgré tout la concurrence
donne encore souvent des options pour mettre en route le FTP
actif. Ce qui, à nos yeux, revient à installer
un airbag sur une voiture avec une option pour le désactiver.
Le FTP actif donne en effet la possibilité de mettre
tout pare-feu hors service en très peu de temps.
|