Avec le rachat de Sourcefire, Cisco se renforce dans la sécurité
Cisco a annoncé le rachat du spécialiste de lPS et de la détection intelligente des menaces. Avec une transaction évaluée à 2,7 milliards de dollars, l’équipement réseau fait bien plus que compléter son offre et investit le marché. Restera à convaincre son écosystème.
En 2013, l’un des pans de la stratégie de Cisco sera dédié à la sécurité. Le groupe dirigé par John Chambers a annoncé avoir signé le rachat de Sourcefire, un spécialiste de la protection contre les malware et de la détection d'intrusions. SourceFire a été fondé par Martin Roesch, le développeur originel de Snort, le système de détection et de prévention d'intrusion open source le plus utilisé au monde. Cisco n’a pas hésité pas à payer le prix fort pour se payer la société américaine : la transaction est en effet évaluée à quelque 2,7 milliards de dollars. Plus de douze fois le chiffre d'affaires annuel de cette société de 650 personnes basée à Columbia, dans la Maryland, dont les ventes ont atteint 223,1 millions de dollars en 2012. Mais affiche une croissance de 35% d’une année sur l’autre.
Snort et ClamV aujourd'hui chez Cisco
Avec le rachat de Sourcefire, Cisco fait ainsi un grand pas sur le marché de la sécurité. Le groupe avait déjà renforcé son portefeuille sur le segment de la détection et la prévention des menaces avec le rachat de la petite société Cognitive Security en février dernier. Mais avec Sourcefire, le groupe va bien plus loin.
Car si SourceFire s'est à l'origine fait connaitre à l'origine pour ses offres de services et ses appliances basé sur l'IDS (Intrusion Detection System - Détection d’intrusion) open source, elle a depuis considérablement transformé son offre. SourceFire a ainsi fait évoluer son offre IDS /IPS vers le pare-feu applicatif intelligent, puis vers la protection avancée contre les malwares (Advanced malware protection), notamment acquise avec le rachat d’Immunet en 2011 (sous la bannière FireAmp, dans le catalogue Sourcefire) - cela permet notamment de tracer le cheminement des menaces afin de pouvoir revenir en arrière et d’agir sur le réseau. En bref, résume Cyrille Badeau, directeur régional pour l’Europe du Sud de Sourcefire, «une vue globale de la menace et un monitoring en temps réel des risques, avant, pendant et après l’attaque». Ces technologies ont notamment permis à la société de disposer d’une forte présence dans le secteur public, mais également dans les banques et chez les grands opérateurs télécoms. Cyrille Badeau évoque également une forte croissance sur les segments des infrastructures dites critiques, liées aux secteurs de l’énergie et des transports. En 2007, la société a également racheté l’anti-virus Open Source ClamAV.
Cisco n’est pas le premier à s’être intéressé à Sourcefire. En 2005, la société israélienne Checkpoint avait tenté de racheter la société pour 225 millions de dollars mais les autorités américaines avaient bloqué la transaction en mars 2006.
C’est donc une société convoitée et en forte croissance que Cisco parvient aujourd’hui à empocher. L’équipementier ne donne que très peu de détails quant à ses intentions d’intégration. Tout juste précise-t-il dans un communiqué de presse qu’une fois la transaction finalisée, Sourcefire intégrera la division Cisco Security dirigée par Christopher Young. Ce dernier évoque dans un billet de blog un contexte sécuritaire changeant avec le cloud, la mobilité, l’Internet des objets, la progression des cyber-menaces et parle de l’expertise des équipes de Sourcefire. Mais peu d’éléments sont communiqués quant aux motivations premières du rachat.
Convaincre l'éco-système Cisco
D’un point de vue stratégique, souligne Jeremy D’Hoinne, directeur de recherche pour la sécurité réseau chez Gartner, dans un email, l’acquisition de Sourcefire devrait permettre à Cisco «d’atteindre 500 M$ de chiffre d’affaires sur ce marché où la croissance est proche de zéro». Mais tout en investissant ce secteur, le groupe de Chambers pourrait également s’ouvrir à une autre cible d’entreprises : «l’acquisition de Sourcefire par Cisco montre un engagement fort sur la sécurité, et ouvre les portes à Cisco d’entreprises très sensibles à la sécurité, alors qu’historiquement, l’offre sécurité Cisco était plutôt choisie en complément de son offre réseau», poursuit-il. Ce serait une explication du prix élevé payé par le constructeur californien. Car avec Sourcefire, Cisco passe du statut d’équipementier réseau qui propose des outils complémentaires de sécurité, à un acteur global de la sécurité et des réseaux.
S’il existe certes des chevauchements forts entre les produits IPS des deux firmes, Jeremy D’Hoinne considère que le pare-feu de Sourcefire, très récent, «ne fera pas d’ombre à la gamme ASA de Cisco». Sur la partie IPS, l’enjeu portera selon lui sur «l’unification de la console de management, mais également sur la supervision». La partie détection des menaces FireAMP de Sourcefire apparait quant à elle complémentaire de l’offre de Cisco. «Les capacités d’analyse et de surveillance de l’état d’une station de travail permettent à Sourcefire de détecter des attaques plus évoluées que les simples virus et pourraient compléter l’offre existante de Cisco.»
La principale difficulté pour John Chambers pourrait être ailleurs : fondre Sourcefire dans l’éco-système Cisco. «Même si la qualité des solutions Sourcefire est reconnue, les clients existants de Cisco sont fortement attachés à l’écosystème Cisco, et ne basculeront pas naturellement vers un nouveau système». D’autant «qu’il est très difficile d’imposer le déploiement d’un agent supplémentaire aux entreprises», explique Jeremy D’Hoinne. Cisco devra ainsi travailler à éduquer son écosystème et lui inculquer qu’il est lui-aussi un acteur à part entière de la sécurité...voire de l’Open Source avec Snort et ClamAV. «Cisco n’a pas montré par le passé un enthousiasme particulier pour l’open-source, même si leur discours se veut rassurant sur le sujet», indique enfin le directeur de recherche de Gartner.
En illustration : Christopher Young, patron de la division sécurité de Cisco, lors de Cisco Live 2013 / Copyright Cisco