Sécurite: le français Arkoon obtient la certification EAL 2+

Fait suffisamment rare pour être relevé. La petite entreprise lyonnaise, qui grandit en expertise des pare-feux, appartient désormais au cercle étroit des « certifiés sécurité ISO 15408 »

Profitant du Salon de la Sécurité informatique, Arkoon a annoncé, non sans fierté et festivité, l’obtention de la certification « critères communs ». Elle ouvre à cette jeune entreprise française prometteuse, la voie des marchés internationaux. C’est le premier fabricant français d’équipement de sécurité à l’obtenir. Cette norme, érigée en 1996 à partir du « Livre orange » (Orange book) des normes américaines et des travaux de l’ITSEC européen, est devenue internationale sous la référence ISO 15408. Elle définit les critères communs d’évaluation de la sécurité des technologies de l’information.

Commentaire de Thierry Rouquet, président d’Arkoon: « C’est une grande satisfaction pour nous (…) le résultat de deux années de travail avec l’aide d’un partenaire. C’est beaucoup d’investissements en ressources humaines, d’autant plus qu’il faut documenter avec beaucoup de détail la première génération de produits, alors que dans le même temps, il faut continuer de développer les nouveaux produits! » L’entreprise lyonnaise (6 millions d’euros cette année) ne compte pas s’arrêter en si bon chemin, et prévoit déjà de s’investir dans le niveau suivant, EAL3. « Sur plus d’une centaine de fabricants de solutions de sécurité présents sur ce marché, seule une quinzaine au niveau mondial ont réussi » à satisfaire à cette norme. Arkoon s’érige ainsi comme « la première alternative aux technologies israélo-américaines dans le domaine des appliances de sécurité réseau« , illusion, entre autres, à Check Point… En France, cette certification est délivrée par la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI, un service du Secrétariat Général de la Défense nationale, rattaché au Premier ministre). Ce sceau officiel devrait donner des points supplémentaires à Arkoon dans les appels d’offres lancés par les administrations, au moins en France. Mais tout n’est pas joué pour autant. Pour sa part, la DCSSI, dirigée par Henri Serres, reconnaît qu’elle n’a qu’un pouvoir d’information et d’incitation, notamment dans le cadre du programme Adele de l’e-administration. Des appliances VPN SSL

En parallèle, Arkoon a introduit une gamme originale: des « appliances » (boîtier logiciels), S100, capables de supporter une centaine d’utilisateurs en réseaux privés virtuels, avec un environnement de supervision centralisé, à savoir la nouvelle plate-forme de gestion de réseau AMC (

Arkoon management center). Entre autres atouts, ce nouveau système utilise le protocole de chiffrage SSL (Secure socket layer). Fidèle à son positionnement sur la complémentarité de la sécurité réseau (sur les couches 2 et 3) et de la sécurité applicative (couche 7), le constructeur a retenu SLL, et non le protocole de clé publique IPsec, car il permet la connexion directe au système d’information des entreprises (messagerie, intranet, applications?) à partir d’un navigateur Web, sans l’installation d’un logiciel sur chaque poste client, ce qui est précieux pour les utilisateurs nomades. Ce boîtier s’installe en aval du pare-feu (firewall). « L’accès sécurisé VPN SSL devient ainsi un service applicatif assimilable à un serveur Web« .