La sécurité doit faire partie du réseau, intégré dans chacun de ses maillons. C'est désormais le leitmotiv des fournisseurs de solutions d'infrastructures réseaux. Cisco, le premier d'entre eux, se fait le porte-drapeau d'un mouvement auquel adhèrent aussi Enterasys Networks, Juniper ou Nortel. Nonobstant les quelques graves failles qui ont affecté ses produits depuis la fin 2003, Cisco se voit encore en ténor de la sécurité. Cet ogre du réseau ­ avec un chiffre d'affaires de 18,7 milliards de dollars en 2003 et une propension à absorber toute société pouvant soutenir sa croissance ­ a depuis longtemps jeté son dévolu sur le marché de la sécurité. Sa première acquisition en la matière remonte à 1998. Un succès commercial qui ne lui pas apporté la reconnaissance du milieu. Si la compagnie de John Chambers domine le marché du réseau privé virtuel et du pare-feu, force est de constater qu'elle ne le doit pas à la qualité de ses produits. Une étude du Burton Group, datée d'avril 2004, pointe les faiblesses de son produit : « Une couverture fonctionnelle dans le pare-feu de Cisco moins étendue que celle des équipements multifonctions ; des caractéristiques moins pointues que celles des spécialistes et une administration plus complexe que pour la plupart des autres offres. »

Ce constat sévère s'applique, avec quelques bémols néanmoins, aux autres composants de l'offre de sécurité de Cisco : systèmes de détection d'intrusion, contrôle d'accès au réseau, combinaison SSL et IP-Sec dans les réseaux privés virtuels. Le constructeur fait un peu de tout en sécurité, mais moins bien que ses concurrents ! Tout juste peut-on reconnaître à ses technologies de sécurité un coût moindre de possession pour une entreprise déjà équipée de ses équipements réseaux.

Le principal atout de Cisco tient en trois lettres : IOS (Internet Operating System). Ce système d'exploitation est embarqué dans la majorité de ses équipements. « Quand on connaît IOS, on s'en sort à peu près avec tous leurs produits », approuve Jean-Pierre Miguet, directeur de la région Est de la SSII Telindus. Cette omniprésence et omniscience du système d'exploitation explique la popularité de la ligne de pare-feu PIX. L'argumentation est connue : cela coûte moins cher d'activer les fonctions de pare-feu d'un commutateur Catalyst 6500 ou de choisir un boîtier PIX que d'intégrer un produit tiers dans une infrastructure réseau Cisco. A cet argument s'ajoute un couplet sur la plus grande facilité de garantir une qualité de service quand différents équipements partagent un même système. La puissance de Cisco ne l'a toutefois pas empêché de perdre des parts de marché. Check Point Software a taillé des croupières à PIX avant même d'avoir fait évoluer son pare-feu vers les couches applicatives. Il avait été précédé sur ce terrain par de nombreuses start up : Sanctum, Kavado, Axialiance, Beeware ou le Français DenyAll. Tous ont gagné des contrats à coups de bancs d'essais et grâce à la reconnaissance d'experts en sécurité. Le Californien Netscreen a ainsi collé rapidement au duo de tête formé par Cisco et Check Point Software. Ses boîtiers de sécurité combinent pare feu, RPV et détection d'intrusion. Les performances sont au rendez-vous. « Sitôt que vous ciblez les très grandes entreprises, plus personne n'opte pour PIX. Vous trouvez systématiquement des solutions de Netscreen ou de Check Point Software sur plate-forme Nokia », affirme un intégrateur sous couvert d'anonymat.

Dès lors, l'acquisition en février dernier de Netscreen par Juniper prend une saveur particulière. Ce dernier se positionne comme un concurrent redoutable, si ce n'est redouté. Sur le segment des routeurs haut de gamme, destinés au coeur de réseau des opérateurs, Juniper domine même. « Dans cette niche, ils sont bien meilleurs que Cisco » assure Jean-Pierre Miguet, dont la société est pourtant un partenaire privilégié du constructeur. Même son de cloche chez les opérateurs, notamment Tiscali (lire encadré ci-dessus).

Désormais, les deux sociétés s'affrontent aussi sur les technologies de sécurité intégrées au réseau. « Avec sa gestion unifiée, ses capacités de routage de haut niveau héritées d'Unisphere Networks, et la fonction de RPV SSL que Netscreen a acquise de Neoteris, les utilisateurs devraient considérer Juniper comme une réelle alternative à Cisco pour des projets combinés de sécurité et réseau », notait dès le mois de février dernier Laure Koetzle, analyste à Forrester Research, dans un mémo de recherche. Scott Kriens, le PDG de Juniper, ne fait pas mystère de ses projets d'intégration de technologies dans de nouveaux produits. Maurice Abécassis, directeur général France de Juniper, justifie ce mouvement : « Quand on déploie de grands réseaux IP, on pense à la sécurité. D'où une complémentarité technologique naturelle ». Les directeurs techniques de Juniper et de Netscreen ­ anciens camarades de promotions ­ travailleraient d'ores et déjà sur le développement de telles plates-formes.

Cisco n'est toutefois pas en reste. L'adoption de technologies de sécurité est pour la société chose ancienne. Et leur intégration n'est pas non plus toute récente. « Notre approche d'intégration de la sécurité dans le réseau date de 1996, avec IOS Firewall. Le contrôle par Access Lists, la limitation de la bande passante pour éviter des attaques par déni de service, le contrôle de l'allocation des adresses DHCP sont tout autant de technologies de sécurité dans les équipements réseau », rappelle Olivier Seznec, directeur technique France de Cisco.

Permettre au réseau de se défendre seul, comme le proclame la communication du fournisseur, alors qu'on ne dispose même pas de la moindre offre antivirale, nécessite tout de même de franchir une étape supplémentaire. C'est le rôle de Network Admission Control (NAC), ou contrôle d'admission sur le réseau. L'idée est de déployer un agent sur tous les postes de travail et serveurs présents sur le réseau. Ces programmes résidents communiqueront avec les équipements réseau compatibles NAC pour transmettre des informations sur le niveau de sécurité de l'hôte : date de la dernière mise à jour antivirale, correctifs de sécurité appliqués. C'est tout le niveau de vulnérabilité du client qui est remonté. « On ne va pas seulement contrôler l'équipement, mais également son état de santé. Il ne sera admis sur le réseau que s'il est conforme à la politique de sécurité édictée », explique Olivier Seznec. Selon cet état, le client sera confiné à un certain nombre de serveurs auprès desquels il pourra effectuer ses mises à jour antivirales et de correctifs.

Cisco veut aller aussi plus loin avec Cisco Security Agent (CSA), issue de la technologie d'Okena, racheté début 2003. « Cet agent pour poste de travail comprend une couche logicielle d'interception des appels systèmes afin de contrôler les opérations sur le système de fichiers, sur la base de registre, les objets COM, les services http et la mémoire. Cela en fonction d'un profil de poste défini préalablement », développe Olivier Seznec. La solution ne fait pas d'analyse de paquets mais une inspection d'état. « Pour une application donnée, on considère tout ce qu'elle a le droit de faire ou pas. » Ce CSA agit tel un antivirus à une différence notoire : il n'y a pas de « scan » actif possible et pas de nettoyage. Un fichier infecté n'est pas détruit. « On bloque les actions finales des attaques quand elles occurrent », précise le directeur technique de Cisco. Cette limitation explique les annonces de partenariats nouées à la fin de l'année dernière avec Symantec, McAfee et Trend Micro. Ce dernier sera le premier à proposer un antivirus inter-agissant avec CSA à la rentrée.

Face à une offre qui se précise et se met en place chez Cisco, la balle est dans le camp de Juniper. La réplique devrait venir du matériel, là où Cisco mise plutôt sur des compléments logiciels ­ ses agents ­ pour renforcer l'intégration de la sécurité dans les équipements réseau. Juniper semble avoir les moyens de réussir cette intégration à l'image de ce que la société a accompli dans les routeurs de haut de gamme. Et le fer de lance de son offre pourrait être l'Asic, ce processeur dédié à des fonctions grâce à ses composants de calculs spécifiques. Les propos de Maurice Abécassis quand il évoque le sujet semblent prémonitoires : « Nous avons introduit sur le marché avec Netscreen, en 1997, une alternative technologique au logiciel de Check Point Software : une base Asic sur des appliances. Et, bien qu'arrivé plus tard, Netscreen a tutoyé Check Point au niveau mondial » . Ce coup de Jarnac peut-il se rejouer ? Après le numéro deux, c'est en tout cas le numéro un, Cisco, qui est directement visé.