« Une appliance, c'est avant tout une boîte noire qui libère l'administrateur de la contrainte de gestion d'un système d'exploitation » , lance Pierre Strazza, expert sécurité chez Telindus. Mais derrière la boîte noire se cache une plate-forme matérielle et plurilogicielle, dont l'architecture est souvent très proche de celle des PC traditionnels.

Du côté matériel, les solutions entièrement virtualisées sont très rares. Dans ces cas-là, chaque fonction de sécurité est prise en charge par une carte dédiée, qui embarque son propre processeur. La grande majorité des choix technologiques voit deux écoles s'affronter : les adeptes du processeur dédié (Asic), comme Fortinet et Netscreen, et ceux du processeur généraliste - souvent de l'Intel -, tel Internet Security Systems. Ces deux approches constituent à elles seules la quasi-totalité des appliances disponibles sur le marché. Et chaque éditeur considère sa solution comme la seule valable...

Pourtant, les deux architectures sont souvent très proches. En premier lieu, en raison des limitations structurelles des Asic : « Certes, la plate-forme Asic se révèle très performante dès lors qu'elle fait ce pour quoi le processeur a été fondu - le filtrage de paquets, par exemple. Mais si l'on sort des fonctions préprogrammées, il faut de toute façon utiliser un processeur généraliste » , poursuit Pierre Strazza. Dans l'un ou l'autre des cas, on retrouvera donc au coeur de l'appliance un processeur généraliste - Intel P4 ou Celeron jusqu'à 4 GHz, voire ARM - et de la mémoire vive - de 128 Mo à 1 Go le plus souvent. S'y ajoutent de la mémoire Flash pour stocker le système d'exploitation et les applications, une carte réseau, et parfois un disque dur.

L'Asic, lui, viendra se greffer à l'ensemble pour améliorer les performances lors d'opérations particulières, pour lesquelles il a été conçu. « C'est un problème dont les éditeurs ne parlent pas vraiment : il ne sert à rien d'acheter une appliance à base d'Asic - très efficiente, par exemple, sur le pare-feu - si un goulet d'étranglement se forme avec l'antivirus, qui, lui, exploite un processeur généraliste plus lent » , observe Pierre Strazza.

Ainsi les grands comptes préfèrent-ils bien souvent combiner divers produits : ils pourront, certes, choisir un boîtier à base d'Asic pour leur pare-feu, mais confier l'antivirus à un ou plusieurs vrais serveurs beaucoup plus puissants et plus simples à actualiser. En outre, un Asic ne peut guère évoluer : « L'analyse protocolaire exige de pouvoir mettre très rapidement le moteur à jour. Ce qui est impossible avec un Asic » , explique Benjamin Marandel, ingénieur système chez ISS.

« Pour nous, la question ne se pose pas en termes d'architecture tout Asic ou tout PC. Nous préférons nous placer entre les deux. Les processeurs généralistes sont peu onéreux et offrent de belles performances. Mais ils ne sont pas bons pour certaines tâches. Là, les processeurs dédiés s'imposent » , résume Daniel Fages, directeur technique d'Arkoon.

Du côté des logiciels embarqués, le logiciel libre règne bien souvent en maître. La plupart des appliances exploitent un système d'exploitation Linux ou l'un de ses cousins libres. De Symantec, avec sa Security Gateway, à Arkoon, Fortinet, Watchguard, Netasq ou Nokia, c'est Linux ou FreeBSD qui logent au coeur des boîtiers. Les OS propriétaires, tel le ScreenOS de Netscreen, sont l'exception plutôt que la norme.

« Notre système d'exploitation et les outils essentiels se fondent sur du Linux recompilé à partir des sources, que nous avons pu complètement adapter à nos besoins » , explique Daniel Fages. Même approche pour les applications de sécurité. Même si, là, le logiciel libre cohabite plus volontiers avec des développements propriétaires. Attention, toutefois : lorsqu'un éditeur annonce qu'un module est propriétaire, il peut aussi bien s'agir d'une simple interface Web mieux adaptée que de la réécriture complète d'un moteur. « Pour la détection d'intrusions, nous utilisons Snort, que nous avons modifié pour reconnaître notre propre format de signature, puis intégré à notre Asic » , reconnaît le directeur technique de Fortinet, José Grandmougin. Idem pour Watchguard, qui a développé son outil antispam sur la base de l'efficace logiciel libre Spamassassin, embarqué dans la plupart des outils antispam des appliances du marché.

Si les fonctions de pare-feu, d'antispam, de détection d'intrusions ou de filtrage d'URL sont souvent bâties sur la base d'outils libres, ce n'est cependant pas le cas de l'antivirus : il s'agit généralement là d'un produit du marché utilisé sous licence - Sophos vend ainsi son moteur, y compris les sources. Seules exceptions : Fortinet, dont l'antivirus est une réalisation maison, ou Symantec, qui, bien sûr, utilise Norton Antivirus. L'intégration de produits tiers a ses limites...