JDNet
Solutions: Quelle est la répartition de votre base clientèle
?
Roberto Correnti:
Nous sommes tournés à 100 % vers la distribution, ce
qui signifie que nous revendons notre produit aux intégrateurs
et aux VARs (revendeurs à valeur ajoutée). Etant donnée
notre politique tarifaire, notre gamme se prête à toutes
les catégories de clientèles finales. Notre offre n'est
pas uniquement dédiée aux grandes comptes car nous allons
de cinq jusqu'à un nombre de licences illimité. Nos clients
les intégrateurs savent pratiquer du sur-mesure, et c'est là
qu'il est possible de tirer les plus grands bénéfices de
notre technologie.
Concernant la répartition chez notre clientèle finale, il
nous est très difficile de communiquer des chiffres pour l'instant.
En Suède, le pays dont EnterNet est originaire, 70 % sont
des PME mais cela résume seulement ce marché où la
maturité Internet est très importante avec un nombre inférieur
de petites structures. Cela n'empêche pas Telecom Italia d'être
l'un de nos premiers contrats signés en Suède. Ici, nous
nous sommes initialement plutôt tournés vers de moyens ou
grands comptes, puis les PME/TPE. Sinon, nous avons de plus en plus de
clients chez les hébergeurs mais je ne peux pas vous donner de
noms car nous sommes en phase d'installation et de tests.
Comment
la demande en matière de firewall se comporte-t-elle de la part
des petites et des grandes entreprises qui sont vos utilisateurs finaux
?
Il existe en effet deux tranches distinctes
en France. Les moyens et grands comptes mettent en oeuvre les moyens nécessaires
pour leurs réseaux et ont une personne chargée de la sécurité
et consciente du besoin. Mais à côté, beaucoup de
petites entreprises n'ont pas encore conscience des failles et des risques,
et seulement une sur quatre s'intéresse au fait d'installer un
pare-feu. Les PME/TPE font en général le choix d'un antivirus
avec une certaine confusion, en croyant par exemple que le pare-feu protège
les données, ou protège aussi contre les virus. Il existe
également une confusion entre le fonctionnement d'un proxy et d'un
pare-feu. Mais aussi, les pirates s'attaquent peut-être plus volontiers
aux PME qui sont dans le métier de l'informatique qu'à celles
qui n'ont pas conscience des risques.
Je pense que les personnes conscientes sont aussi celles qui ont des actifs
à protéger en interne. Dans le cas contraire, l'attaque
ne donne pas grand chose. Mais du moment que l'entreprise dispose de serveurs
en interne sans faire appel à un prestataire, elle prend des risques.
C'est pourquoi je pense que nous aurons plus de facilité à
faire comprendre aux PMEs qu'elles ont besoin d'un pare-feux lorsqu'elles
seront équipées de leur serveur de messagerie. Nous avons
donc entamé des séminaires, et il nous reste encore un gros
travail de communication. Mais avec l'arrivée d'ADSL et des hauts
débits, de plus en plus de PMEs vont s'équiper d'outils
de sécurité.
Votre
pare-feu est-il exclusivement logiciel ?
Aujourd'hui, notre technologie est propriétaire
et n'a pas besoin de système d'exploitation, tout en présentant
des contraintes assez basiques. Un PC compatible avec un processeur Intel
suffit, sans nécessairement avoir besoin d'un disque dur. En même
temps, nous fournissons notre noyau propriétaire avec une console
d'administration. Quand nous préparons le pare-feu, la console
n'est pas sous Windows. Nous sauvegardons sa configuration et nous créons
une disquette d'amorçage qui sera introduite sur le futur pare-feu.
Ensuite, quand nous redémarrons la machine, le noyau de 400 Ko
environ est chargé en mémoire à partir de la disquette.
Après, il est en marche et ne nécessite plus aucune lecture
ou écriture. En cas de changements, une mise à jour est
effectuée sur la disquette. Ceci dit, pour les sauvegardes nous
recommandons des disques en modules (DOM) qui ont des vitesses de transfert
très rapide de l'odre de la milliseconde et se branchent sur le
port IDE.
Pourquoi
ce choix assez particulier est-il un avantage sur les autres pare-feux,
en particulier matériels ?
Je pense que le premier avantage tient dans
le fait que notre solution soit bâtie sur un noyau propriétaire
qui reste en mémoire. Notre implémentation d'un pare-feu
est très proche d'une solution matérielle sans en avoir
les inconvénients. D'ailleurs, la plupart sont des boîtes
noires avec un logiciel. Les solutions purement matérielles sont
assez rares et il faut changer l'équipement pour changer le produit.
Nous nous servons d'un PC que nous transformons en un pare-feux haut de
gamme. Par rapport à nos alter-egos logiciels, cela nous procure
deux avantages. Le premier est de ne pas dépendre du système
d'exploitation, ce qui fait que nous n'avons pas à nous soucier
des failles des OS commerciaux ou même non commerciaux, sans avoir
besoin non plus de mettre à jour les service packs et d'appliquer
les correctifs. Ensuite, un disque dur suppose une écriture dur
des composants amovibles avec des parties qui bougent et risquent de créer
des défaillances supérieures à un disque en module.
Enfin, notre noyau est si petit qu'il n'y a pas besoin de réinstaller
d'OS.
Si
votre noyau est si petit, est-il aussi efficace que les autres ?
Oui, et il est surtout très robuste.
Comme tout logiciel est le fruit de la programmation humaine, il risque
toujours de subsister des erreurs de programmation. Aujourd'hui, notre
système d'exploitation propriétaire de 400 Ko comporte
dix fois moins de lignes de code qu'un logiciel basé sur un autre
OS, et le risque de bugs est ainsi beaucoup moins important. Un noyau
plus petit signifie donc plus robuste et plus fiable. Nous avons fait
mener des tests par IDG en Suède et Lexsi en France, et ceux-ci
ont prouvé que notre noyau résiste à toutes les attaques
connues et moins connues.
90 % des pare-feux se servent de la couche TCP/IP de l'OS, mais EnterNet
dispose déjà de sa couche TCP/IP et dialogue en direct avec
le BIOS. Tout nous appartient. Enfin, côté performance, le
rôle d'un pare-feux est de savoir filtrer les flux IP. En gros,
nous pouvons passer d'une carte réseau à une autre, et nous
arrivons avec la version 6 à avoir des débits filtrés
au delà de 500 Mbps. Et pour nous, ce n'est pas une question
d'interfaces réseaux. Qu'il y en ait une seule ou soixante, pas
de problème. Au niveau prix, c'est pareil. Que vous ayez deux ou
soixante cartes, vous y consacrerez le même budget.
Oui,
mais vous n'incorporez donc pas un système de détection
d'intrusions, par exemple... ?
Des comparatifs nous ont plébiscité
comme disposant d'un analyseur de logs très avancé. Mais
nous ne proposons pas aujourd'hui de systèmes avec des sondes pour
la détection d'intrusions. Ce n'est donc pas du dynamique ni du
actif puisque cela réclame une intervention manuelle. Ceci dit,
avec nos logs en trois couches, nous arrivons à questionner tout
le pare-feux. Ensuite, notre analyseur va jusqu'à l'hexadécimal.
EnterNet Firewall s'adresse à des professionnels, et notre analyseur
est un outil indispensable si le pare-feu est mis en place chez des opérateurs.
Ensuite, un système de détection d'intrusions intéresse
plus les PMEs. Quant à savoir si nous allons en incorporer un,
je n'ai pas d'informations sur ce sujet. En revanche, nous avons la volonté
de signer avec des partenaires tiers qui pourraient développer
des solutions compatibles EnterNet. Pour cela, nous sommes en relation
avec des partenaires spécialisés mais je ne peux vous dire
lesquels. Et nous nous posons les mêmes questions en terme de protection
antivirale.
Ceci dit, autant le fait que notre noyau soit propriétaire représente
une difficulté pour développer des outils tiers, autant
nous prendrions des risques en intégrant un trop grand nombre de
protections applicatives, un antivirus ou un filtre de contenus. En tout
cas, ce ne serait pas une très bonne stratégie pour garder
une très haute classe de sécurité.
En
revanche, vous proposez une option de réseau privé virtuel
(VPN). Pourquoi un module complémentaire et pas une solution à
part entière ?
D'abord, notre module VPN se sert du noyau
qui est dans le pare-feux, ce qui procure pas mal d'avantages très
bien illustrés dans nos manuels. Ensuite, les règles du
VPN sont soumises à celes du pare-feux. Nous avons opté
pour cette solution car elle permet à l'administrateur de gérer
les mêmes flux et les mêmes règles en un point central.
Si le réseau privé virtuel était à l'extérieur,
le pare-feu ne distinguerait plus si un canal était VPN ou non.
Sur ce point précis, rajoutons que nous avons un produit SSH intégré.
Or, nous ne sommes pas les seuls à utiliser SSH, ce qui constitue
un grand avantage du fait d'être compatible avec les autres VPN.
Comment
répondez-vous à la problématique de montée
en charge ?
Pour gérer la bande passante, tout
le flux est réparti individuellement par IP de façon dynamique.
De cette façon, nous garantissons les flux vers le serveur web,
le serveur ecommerce... Notre OS pare-feu est le policier du réseau
qui définit les règles de sécurité. En même
temps, il intègre la possibilité d'avoir 3 ou même
plus de 60 cartes. Si nous ajoutons à cela la gestion combinée
de la bande passante, nous obtenons une solution tout à fait adéquate
pour la montée en charge. Ainsi, après la possibilité
de gérer tous les flux au niveau des cartes réseaux, nous
pouvons définir des règles de sécurité qui
ne s'appliquent qu'à un seul serveur. Chez les PMEs la notion de
service garanti est plus convaincante que la peur de l'intrusion et des
attaques. Le contrôle des flux des navigateurs, et la garantie minimum
de bande passante pour un service de messagerie par exemple, sont des
arguments qui fonctionnent beaucoup mieux auprès des petites et
moyennes entreprises. C'est la raison pour laquelle nous avons conservé
la gestion de la qualité de service dans notre pare-feux car nous
considérons qu'elle en fait partie intégrante.
Quelles
sont vos prochaines orientations produits ?
Nous allons continuer à aller dans
le sens de la performance et de l'augmentation des capacités. Nous
annoncerons prochainement des nouveautés comme le fait de proposer
le support gigabit. Et surtout, étant donné que tous les
éditeurs confondus ont du mal à sécuriser les protocoles
du streaming comme H.323, nous nous devons d'y faire face avec une orientation
toujours avant-gardiste. Par exemple, EnterNet interdit le FTP actif car
le FPC passif fonctionne très bien. Aujourd'hui, cette faille (qui
fera l'objet d'un article ultérieur, ndlr) est très connue
et malgré tout la concurrence donne encore souvent des options
pour mettre en route le FTP actif. Ce qui, à nos yeux, revient
à installer un airbag sur une voiture avec une option pour le désactiver.
Le FTP actif donne en effet la possibilité de mettre tout pare-feu
hors service en très peu de temps.
Roberto
Correnti, 34 ans, est devenu directeur général de
la filiale française d'EnterNet Technologies lors de l'ouverture
des bureaux en janvier 2001. Depuis 1997, il occupait le poste de directeur
général de l'éditeur TenFour South Europe, spécialisé
dans les solutions d'interconnexion de messagerie. Né en Italie,
et fraîchement débarqué de Suède où il
a vécu 15 ans, il atterrit en 1993 auprès de la section
commerciale de l'Ambassade de Suède à Paris. Puis, il prend
ses fonctions au sein du Centre Suédois du Commerce Extérieur
à Paris, après avoir obtenu un double baccalauréat
suédois et français ainsi qu'un diplôme de l'Ecole Polytechnique
de Stockholm.
|