En décembre dernier, le client VPN TheGreenBow a obtenu la Certification Critères Communs EAL3+, la qualification niveau standard et l’agrément Diffusion Restreinte OTAN et UE. Unique au monde, la certification de ce client VPN n’est pas la seule raison du succès international de cet éditeur français. Explications avec Jérôme Chappe, son Directeur général. Un cas d’école.
Le gouvernement français souhaite que les start-ups exportent leurs solutions à l’étranger. Les ministères concernés et les entreprises peuvent s’inspirer du succès de TheGreenBow. En une dizaine d’années, cet éditeur parisien a réussi à faire jeu égal avec de puissants concurrents. Spécialisée dans la protection des flux confidentiels, l’entreprise bénéficie même d’un argument déterminant pour séduire de nouveaux clients en France et surtout à l’étranger.
Fin décembre 2014, son client VPN a décroché la certification EAL3+ ce qui garantit un très haut niveau de sécurité d’un bout à l’autre de l’infrastructure. Il convient donc parfaitement pour la sécurité des communications des OIVs et des infrastructures sensibles comme la finance, l’administration ou la défense.
L’ergonomie est décisive
En plus de la robustesse et de la confiance, le client VPN TheGreenBow présente d’autres atouts majeurs par rapport à la concurrence. Citons en particulier une compatibilité avec plus de 120 passerelles VPN, l’authentification utilisateur via X-Auth, Certificat, Clé partagée, carte à puce ou tokens, une cryptographie exhaustive (DH Group1-14, 3DES, AES, SHA2…)…
« Nous avons beaucoup travaillé sur la continuité de services, c’est-à-dire sur la robustesse du tunnel en quelque sorte. Toutes les demandes particulières ont profité ensuite à nos clients. Par exemple, nous sommes capables d’ouvrir des tunnels dans des environnements très difficiles en termes de communication (accès par satellite notamment). Cet exemple témoigne de notre volonté farouche de faciliter le déploiement et la préconfiguration de notre solution », explique Jérôme Chappe, Directeur général de TheGreenBow.
Que ce soit pour l’utilisateur final ou l’administrateur, l’ergonomie est toujours le fil conducteur des développements de l’éditeur. Ce souci passe entre autres par la simplification d’un certain nombre d’options, le masquage de certains mécanismes très techniques (avec toutefois la possibilité de les rendre disponibles à ceux qui souhaitent y accéder). « Nous avons même développé des automatismes qui, lorsque le logiciel s’installe, prennent en compte la configuration du poste de travail pour détecter la présence de lecteurs de cartes à puce et de certificats », précise Jérôme Chappe.
Le client est roi
Un éditeur doit être capable de répondre aux besoins spécifiques de chacun de ses clients. « Si l’on prend l’exemple d’une PME qui a une flotte de commerciaux dans le monde, son principal souci est qu’ils puissent se connecter facilement depuis n’importe où. Pour ces entreprises, il était essentiel que notre logiciel soit disponible et opérationnel, quelles que soient les conditions. D’où notre travail sur la robustesse et la continuité de service. Par contre, très peu d’entre elles utilisent des certificats.
Avec les grands comptes et les ministères, les exigences ne sont pas les mêmes. Les notions de confidentialité, d’intégrité, authentification prennent une toute autre valeur », indique-t-il.
Il ne s’agit ni plus moins que de respecter une règle essentielle en commerce : le client est roi ! Hélas, ce précepte n’est pas appliqué par tout le monde…
Pour TheGreenBow, ce souci du détail et de la parfaite ergonomie est décisif pour être compétitif et persuader à la fois des clients et des intégrateurs. « Cela peut paraître plus ou moins anecdotique, mais notre marché est constitué d’une multitude d’intégrateurs pour qui ces atouts d’intégration chez le client sont décisifs », rappelle le directeur général.
Mais ils ne constituent pas des arguments suffisants pour convaincre à l’international. Selon cet expert, le premier critère n’est pas que le produit soit simple ou que son prix soit attractif. Ses caractéristiques techniques en termes de sécurité ne sont pas non plus primordiales. Quant à la nationalité de l’éditeur, elle n’est pas déterminante, sauf dans certains cas.
Le rouleau compresseur du marketing
Selon Jérôme Chappe, le critère essentiel pour décrocher des clients à l’export est que ces derniers vous connaissent ! Vient ensuite l’aspect opérationnel. Les entreprises américaines ayant très bien compris ce principe, elles déploient des efforts marketing sans commune mesure avec ce que font leurs équivalents français.
Un seul exemple : pour assurer la production et la promotion du téléphone sécurisé Blackphone, Silent Circle a réalisé une levée de fonds de 30 millions de dollars en mai 2014. En France, le projet DAVFI (qui comprend notamment un smartphone sécurisé) a obtenu en 2012 un budget de 5,5 millions d’euros dans le cadre des Investissements d’Avenir (Grand Emprunt) et l’appel à projet Sécurité et Résilience des réseaux.
Selon Jérôme Chappe, « la croissance à l’export implique également un marketing qui soit presque spécifique pour chaque pays. Pour certains, le contenu et la valeur techniques d’un produit n’ont strictement aucune importance. Il y en a d’autres où c’est l’inverse. Ainsi, nos plaquettes en français sont techniques alors que celles pour l’Inde ou l’Asie sont fonctionnelles. Par ailleurs, il est indispensable de traduire, dans chaque langue des marchés visés, les menus du logiciel, sa documentation et le site. Sans ce travail, les ventes ne décolleront pas ».
Une certification exhaustive
Pour décrocher cette certification EAL3+, TheGreenbow a été mis à rude épreuve. L’audit a en effet duré un an et demi, pour une facture tout compris de 300 000 euros !
Plusieurs éléments ont été audités, testés et validés : le logiciel en lui-même qui a été testé afin de confirmer sa robustesse, la cryptographie et l’environnement de l’entreprise afin de vérifier qu’elle maitrise la gestion des cycles des produits, le stockage du code source et le support client.
« L’audit de l’entreprise est un point extrêmement important dans les critères validés par cette certification. C’est un argument majeur auprès des clients qui peuvent ainsi être rassurés sur les capacités de notre entreprise à répondre à leurs besoins de support, de suivi de produit (historique des bugs, des modifications du code source…) et de déploiement, de documentation complète… », précise Jérôme Chappe.