TheGreenBow, premier VPN au monde certifié EAL3+

DSILogicielsPCPolitique de sécuritéPoste de travailProjetsSécurité

La certification Critères communs EAL3+ de l’Anssi va ouvrir au VPN de l’éditeur français TheGreenBow les portes des OIV.

Editeur français de solutions de sécurité depuis 1998, TheGreenBow a reçu la certification Critères Communs EAL3+ fin 2014 pour son client VPN IPSec pour poste Windows. « Le seul client VPN au monde certifié EAL3+ à ma connaissance », se félicite Roger Simon, PDG de la société. Une précieuse certification qui vient accompagner la Qualification Niveau Standard DR (Diffusion Restreinte) sur la gestion des aspects de chiffrements particulièrement regardés par l’Otan et l’Union européenne.

Sans garantir une sécurité infaillible du produit, la certification EAL3+ commune à l’échelle internationale assure que la solution a passé un certain nombre de tests visant à valider la pertinence de l’offre à travers la vérification de l’absence de vulnérabilités visibles en l’état et une gestion adéquate de la cryptographie. De plus, le sésame n’a été délivré qu’après audit de la société pour vérifier sa crédibilité tant dans sa structure, que sa capacité à supporter le logiciel et à lui assurer un cycle de vie pertinent face aux évolutions technologiques. Une certification délivrée par l’Anssi (Agence nationale de la sécurité des systèmes d’information) qui a nécessité un an et demi de travail (effectué par un Centre d’évaluation de la sécurité des technologies de l’Information (Cesti) agréé par l’Anssi).

Une certification à 300 000 euros

Et un gros investissement de l’ordre de 300 000 euros tout confondu. « Ce n’est pas pour la gloire que nous avons investi cette somme, explique Jérôme Chappe, directeur général et également cofondeur de TheGreenBow. L’Anssi nous le demandait et, pour se lancer, nous avons attendu l’assurance d’avoir un retour sur investissement. » Lequel est garanti par la demande de deux clients que les responsables de l’entreprise ne peuvent pas citer pour l’heure. D’autre part, la certification « fait pleuvoir les commandes, les clients piaffaient d’impatience et le ROI sera là en 2015 », assure le dirigeant.

Capture d'écran du VPN de TheGreenBow
Capture d’écran du VPN de TheGreenBow

Un précieux sésame qui va élargir le portefeuille clients de TheGreenBow à de nouveaux profils. « L’Anssi pousse les organismes de type OIV (opérateurs d’importance vitale propres aux secteur de la sécurité nationale, l’énergie, l’Etat, NDLR), et les grands ministères à utiliser des solutions certifiées », explique Roger Simon. Une volonté formulée à travers l’article 22 de la LPM (Loi de programmation militaire) adoptée en décembre 2013 et dont le décret reste à publier. Une obligation qui ouvre déjà un boulevard à l’éditeur français à l’échelle nationale même si les retombées de la certification AEL3+ à l’international restent encore à vérifier pour l’heure.

70% à l’international

C’est pourtant en dehors des frontières françaises que TheGreenBow, qui ne communique pas sur ses résultats, tire l’essentiel de ses revenus. Son produit phare, le client VPN en question, réalise 70% du chiffre d’affaires à l’export. Plus d’un million de licences, autrement dit de postes clients équipés, ont été distribuées dans plus de 90 pays. D’abord en direction du marché des TPE-PME avant de s’étendre, depuis 4 ans, aux grandes organisations (industries aéronautique, aérospatiale, automobile, télécoms…), et administrations. TheGreenBow distribue sa solution en marque blanche via les constructeurs d’équipements (Netgear, Zyxel, StormShield, DLink, Cyberoam…) et les gros intégrateurs (Thales, Airbus Defense and Space/Cassidian). Des opérateurs télécoms (dont Orange avec une version personnalisée), la plupart des ministères régaliens en France et des grandes administrations comme l’Union européenne figurent parmi ses clients grands comptes que l’éditeur adresse en direct. Un exploit pour une entreprise aujourd’hui constituée d’une vingtaine de personnes.

La certification EAL3+ n’a pas eu pour seul objet d’ouvrir les portes des OIV à TheGreenBow. Elle a également permis d’améliorer la solution. « Si notre client VPN était déjà largement opérationnel en regard de la certification, celle-ci a permis de constater qu’il restait 10-15% d’améliorations à réaliser sur des vulnérabilités », commente Jérôme Chappe. Les améliorations ont notamment porté sur certain mécanisme de sécurité face aux attaques par déni de service, de débordement de mémoire tampon (buffer overflow) ou encore sur le contrôle d’accès du logiciel.

Les grands éditeurs de sécurités, futurs clients ?

TheGreenBow entend donc profiter de sa certification unique pour se distinguer sur le marché. « Certains de nos concurrents n’ont pas les reins assez solides pour obtenir la certification et, ceux qui en auraient les moyens, les éditeurs plus gros, ont d’autres sujets à traiter et considèrent peut-être que le jeu n’en vaut pas la chandelle. Potentiellement, ce sont de futurs clients à fournir en marque blanche », anticipe le directeur général de l’éditeur qui ne met néanmoins pas tous ses œufs dans le même panier. A l’heure où la société recevait le précieux certificat des mains de l’Anssi, l’éditeur lançait un nouveau produit : CryptoMail, une solution de chiffrement des emails pour clients de messagerie comme Outlook ou Thunderbird et webmail (Gmail, Outlook.com, YahooMail…) sous WIndows, Mac, iOS, Android et Linux.

Comme son client VPN (également décliné pour Android), CryptoMail est vendu sous forme de licence avec support annuel. Mais TheGreenBow est en train d’opérer un changement de modèle économique en basculant vers l’abonnement mensuel. « C’est une nécessité de fournisseur, explique Jérôme Chappe. On entre dans les habitudes des entreprises avec, derrière, une logique très compréhensible qui nécessite de maintenir les évaluations régulières de certification critères communs. » Un modèle économique propre au SaaS mais sans l’infrastructure Cloud « qui ne se prête pas facilement aux technologie VPN pour le moment, souligne Roger Simon. Mais on peut réfléchir à de nouvelles architectures qui le permettront. » A un horizon que ne s’est pas encore fixé l’éditeur.


Lire également
Europe : tous les acteurs de l’IT vont-ils devenir des opérateurs d’infrastructures critiques ?
Chiffrement : comment échapper à la curiosité de la NSA
La faille Heartbleed exploitée pour attaquer les VPN d’entreprise

Crédit Photo : SergeyNivens-Shutterstock

Lire la biographie de l´auteur  Masquer la biographie de l´auteur