DenyAll annonce que l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), a accordé la Certification de Sécurité de Premier Niveau (CSPN) à rWeb, son parefeu applicatif de nouvelle génération. Premier produit français de sa catégorie ainsi certifié, rWeb permet de renforcer la sécurité des organismes publics et privés dans le contexte des menaces contemporaines. Il est particulièrement utile aux Opérateurs d’Intérêt Vital (OIV).
Editeur français de logiciels crée en 2001, DenyAll publie le parefeu applicatif de nouvelle génération rWeb, dédié à la sécurisation des applications Web. Ce produit est utilisé par des organismes de toutes tailles pour protéger des sites transactionnels (de types bancaire, administration, support, vente en ligne), des applications critiques accessibles à l’aide d’un navigateur Web (messagerie, ressources humaines, ERP), des applications cloud (gestion financière et commerciale) et des web services (échanges automatisés de données entre serveurs).
La version 4.1.1 de rWeb vient d’obtenir le Certificat de Sécurité de Premier Niveau délivré par l’Agence Nationale de Sécurité des Systèmes d’Information. A l’issu d’une série de tests effectués par Sogeti, organisme d’évaluation agréé par l’ANSSI, l’agence a estimé que le logiciel est conforme à sa cible de sécurité, qui est consultable sur le site web de l’ANSSI (http://www.ssi.gouv.fr/fr/produits-etprestataires/produits-certifies-cspn/certificat_cspn_2013_07.html). Elle a par ailleurs validé l’efficacité de ses fonctions de sécurité, parmi lesquelles figurent de nouveaux moteurs de filtrage, adaptés aux techniques d’attaques et de contournement modernes.
Cette certification vient récompenser des efforts continus d’innovation et d’amélioration de la qualité du produit phare de DenyAll, depuis la mise à disposition de la version 4.0 fin 2010. Elle marque la maturation de cette plateforme modulaire et évolutive, qui permet à DenyAll de faire profiter à ses clients de son rythme soutenu d’innovation, avec notamment les technologies suivantes :
- Identification des requêtes SQL via analyse grammaticale des données transmises ;
- Protection contre les blocs imbriqués en Java, PHP, SSI et Javascript ;
- Canonisation JSON ;
- Protection contre le Response Splitting HTTP ;
- Possibilité de bloquer les attaques XSS utilisant les tags et attributs HTML4/5 ;
- Protection avancée contre les tentatives de confusion par directory traversal ;
- Détection dynamique des injections de commande ;
- Identification des éléments encodés en base64.
Renforcer la cyber sécurité des Opérateurs d’Intérêt Vital
Ces innovations sont nécessaires pour faire face aux menaces modernes, tout en accompagnant les évolutions qui visent à partager l’information via des applications de plus en plus conviviales. Dans le contexte de recrudescence des attaques ciblant les intérêts nationaux et de cyber espionnage à grande échelle, ces technologies innovantes sont indispensables.« Les organismes publics et entreprises privées ne peuvent se prémunir des risques actuels avec des outils périmétriques classiques », explique Jacques Sebag, Directeur Général de DenyAll. « Seuls des outils spécifiques et innovants peuvent lutter efficacement contre les tentatives d’intrusion et de vol de données, qui ciblent en priorité les applications Web ».
Le scandale Prism s’ajoutant à la prise de conscience qu’éditeurs et acteurs américains du cloud coopèrent avec les agences de renseignement des Etats Unis, renforce la nécessité de privilégier des alternatives nationales et européennes, lorsqu’elles existent. Les initiatives gouvernementales françaises pour le renforcement de la cyber sécurité, portées par l’ANSSI, incluent notamment le recours par les administrations à des produits et services labellisés, et des partenariats renforcés avec les opérateurs d’intérêt vital.
Pour le nouveau Livre Blanc sur la défense et la sécurité nationale, une solution de sécurité performante mais également de confiance est la bienvenue : « La capacité de se protéger contre les attaques informatiques, de les détecter et d’en identifier les auteurs est devenue un des éléments de la souveraineté nationale. Pour y parvenir, l’Etat doit soutenir des compétences scientifiques et technologiques performantes. La capacité de produire en toute autonomie nos dispositifs de sécurité, notamment en matière de cryptologie et de détection d’attaque, est à cet égard une composante essentielle de la souveraineté nationale. »
Prochaines étapes
DenyAll entend faire connaitre cette étape importante de l’évolution de son offre, afin de poursuivre son développement en France comme à l’international. La société va poursuivre sa coopération avec l’ANSSI pour permettre aux services de l’Etat et aux entreprises, et en particulier aux opérateurs d’importance vitale, de mettre en place une stratégie de détection de vulnérabilités et de protection des applications web contre les attaques modernes.
A propos de DenyAll
DenyAll est un éditeur de logiciel français spécialisé en sécurité applicative. La société fut l'un des pionniers du Web Application Firewall en Europe. S'appuyant sur 15 années d'expérience dans la sécurisation et l’accélération des applications et services web, DenyAll innove pour répondre aux besoins des entreprises de toutes tailles. Ses produits détectent les vulnérabilités informatiques et protègent les infrastructures contre les attaques ciblant la couche applicative. La société construit un écosystème de partenaires experts en sécurité, d’infogérants et d’hébergeurs Cloud, et travaille avec d'autres éditeurs pour proposer des solutions dédiées à la sécurisation et à l'accélération des applications. Plus d’informations sur www.denyall.com