Arkoon, le seul pare-feu français qualifié Défense

S'abonner :

Newsletters

Magazines

01men.

[ SÉCURITÉ ]
Arkoon, le seul pare-feu français qualifié Défense
La start-up obtient le niveau EAL2+. Elle a aussi obtenu la qualification de son pare-feu pour un usage classifié Défense.

Christophe Dupont Elise , 01 Informatique (n° 1793), le 07/12/2004 à 11h45

C'est une première. L'Administration et les grands groupes nationaux ont désormais le choix d'un produit hexagonal, certifié, pour sécuriser une partie de leurs systèmes d'information.

L'élu est le constructeur français d'équipements de sécurité réseaux Arkoon . Il a obtenu pour son pare-feu la certification « Critères Communs » (norme ISO 15408 ), délivrée par la DCSSI (Direction centrale de la sécurité des systèmes d'information). De niveau EAL2+, ce label spécifie les différents niveaux de protection auxquels doivent satisfaire les solutions de sécurisation.

Une nouvelle dont on ne sait s'il faut se réjouir ou s'inquiéter. L'absence de précédent révèle une grave lacune française. Qu'un élément d'une infrastructure de sécurité, aussi banalisé que le pare-feu, n'ait pas jusqu'à peu de certification nationale démontre la dépendance de la France aux fournisseurs étrangers. Et l'inexistence d'une politique de sécurité - des systèmes d'information - à l'échelle européenne. Arkoon joue de cela en se définissant comme la « première alternative européenne aux technologies israélo-américaines dans le domaine des appliances de sécurité réseau ».

Seize mois de procédures

Outre la certification, le constructeur a fait qualifier son produit par la DCSSI pour un usage classifié Défense. Là où les Critères Communs sont reconnus par vingt pays dans le monde, la qualification n'est que nationale.

Le produit d'Arkoon est le seul pare-feu de la liste des solutions qualifiées. Une exception due à la longueur de la procédure d'agrément, seize mois dans le cas présent, et par son coût, plus de 150 000 euros, de nature à décourager les bonnes volontés. Et l'on peut douter de l'intérêt commercial de la certification pour un fournisseur - cela par manque d'une volonté politique de soutenir l'industrie française de sécurité.

Si les ministères de la Défense et de l'Intérieur se sont équipés de pare-feu Arkoon, le ministère de l'Education nationale a misé sur Sonicwall, un fournisseur américain. Les responsables de sécurité des ministères sont livrés à eux-mêmes dans leur choix.

« La diversité favorise la sécurité et nous devons tenir compte du marché. Ne retenir que des solutions françaises n'a pas de sens, mais il est possible de mixer une offre française et des solutions open source », propose l'un d'entre eux sous couvert d'anonymat. Dans les faits, les déploiements de logiciels de sécurité open source prédominent. Sans qu'ils soient préalablement certifiés...

Le long chemin de la certification

Janvier 2003

Arkoon décide de soumettre son pare-feu au processus de certification. Les travaux ne commenceront qu'en mai. Dans l'intervalle, le constructeur réorganise ses équipes afin de dégager les ressources nécessaires.

Mai 2003

La première étape consiste à déterminer les menaces dont on cherche à se protéger, puis à fixer les objectifs de sécurité face à ces menaces et les moyens à mettre en place. C'est l'élaboration de la cible, définie par le candidat dans le cadre des Critères Communs.

Octobre 2003

La DCSSI accepte la cible de sécurité du pare-feu. Arkoon fait appel à un centre d'évaluation de la sécurité des technologies de l'information (Cesti) pour évaluer les divers composants de sa solution. Et fournit sa propre analyse des vulnérabilités.

Septembre 2004

Rapport de la DCSSI. Seize mois, une dizaine de personnes impliquées, le responsable de l'équipe de développement à plein temps, jusqu'à 200 000 euros de budget auront été nécessaires pour obtenir la certification.