Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

DenyAll rWeb premier WAF français certifié par l’ANSSI

juillet 2013 par Marc Jacob

DenyAll annonce que l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), a
accordé la Certification de Sécurité de Premier Niveau (CSPN) à rWeb, son parefeu applicatif
de nouvelle génération. Premier produit français de sa catégorie ainsi certifié, rWeb permet de
renforcer la sécurité des organismes publics et privés dans le contexte des menaces
contemporaines. Il est particulièrement utile aux Opérateurs d’Intérêt Vital (OIV).

rWeb 4.1, WAF français certifié par l’ANSSI

Editeur français de logiciels crée en 2001, DenyAll publie le parefeu applicatif de nouvelle génération
rWeb, dédié à la sécurisation des applications Web. Ce produit est utilisé par des organismes de
toutes tailles pour protéger des sites transactionnels (de types bancaire, administration, support,
vente en ligne), des applications critiques accessibles à l’aide d’un navigateur Web (messagerie,
ressources humaines, ERP), des applications cloud (gestion financière et commerciale) et des web
services (échanges automatisés de données entre serveurs).

La version 4.1.1 de rWeb vient d’obtenir le Certificat de Sécurité de Premier Niveau délivré par
l’Agence Nationale de Sécurité des Systèmes d’Information. A l’issu d’une série de tests effectués par
Sogeti, organisme d’évaluation agréé par l’ANSSI, l’agence a estimé que le logiciel est conforme à sa
cible de sécurité, qui est consultable sur le site web de l’ANSSI (http://www.ssi.gouv.fr/fr/produits-etprestataires/
produits-certifies-cspn/certificat_cspn_2013_07.html). Elle a par ailleurs validé l’efficacité
de ses fonctions de sécurité, parmi lesquelles figurent de nouveaux moteurs de filtrage, adaptés aux
techniques d’attaques et de contournement modernes.

Cette certification vient récompenser des efforts continus d’innovation et d’amélioration de la
qualité du produit phare de DenyAll, depuis la mise à disposition de la version 4.0 fin 2010. Elle
marque la maturation de cette plateforme modulaire et évolutive, qui permet à DenyAll de faire profiter
à ses clients de son rythme soutenu d’innovation, avec notamment les technologies suivantes :

 ? Identification des requêtes SQL via analyse grammaticale des données transmises ;
_ ? Protection contre les blocs imbriqués en Java, PHP, SSI et Javascript ;
_ ? Canonisation JSON ;
_ ? Protection contre le Response Splitting HTTP ;
_ ? Possibilité de bloquer les attaques XSS utilisant les tags et attributs HTML4/5 ;
_ ? Protection avancée contre les tentatives de confusion par directory traversal ;
_ ? Détection dynamique des injections de commande ;
_ ? Identification des éléments encodés en base64.

Renforcer la cyber sécurité des Opérateurs d’Intérêt Vital

Ces innovations sont nécessaires pour faire face aux menaces modernes, tout en accompagnant les
évolutions qui visent à partager l’information via des applications de plus en plus conviviales. Dans le
contexte de recrudescence des attaques ciblant les intérêts nationaux et de cyber espionnage à
grande échelle, ces technologies innovantes sont indispensables.

« Les organismes publics et entreprises privées ne peuvent se prémunir des risques actuels avec des outils périmétriques classiques », explique Jacques Sebag, Directeur Général de DenyAll. « Seuls des outils spécifiques et innovants peuvent lutter efficacement contre les tentatives d’intrusion et de vol de données, qui ciblent en priorité les applications Web ».

Le scandale Prism s’ajoutant à la prise de conscience qu’éditeurs et acteurs américains du cloud coopèrent avec les agences de renseignement des Etats Unis, renforce la nécessité de privilégier des alternatives nationales et européennes, lorsqu’elles existent. Les initiatives gouvernementales françaises pour le renforcement de la cyber sécurité, portées par l’ANSSI, incluent notamment le recours par les administrations à des produits et services labellisés, et des partenariats renforcés avec les opérateurs d’intérêt vital.
Pour le nouveau Livre Blanc sur la défense et la sécurité nationale, une solution de sécurité performante mais également de confiance est la bienvenue : « La capacité de se protéger contre les attaques informatiques, de les détecter et d’en identifier les auteurs est devenue un des éléments de la souveraineté nationale. Pour y parvenir, l’Etat doit soutenir des compétences scientifiques et technologiques performantes. La capacité de produire en toute autonomie nos dispositifs de sécurité, notamment en matière de cryptologie et de détection d’attaque, est à cet égard une composante essentielle de la souveraineté nationale. »

Prochaines étapes

DenyAll entend faire connaitre cette étape importante de l’évolution de son offre, afin de poursuivre son développement en France comme à l’international. La société va poursuivre sa coopération avec l’ANSSI pour permettre aux services de l’Etat et aux entreprises, et en particulier aux opérateurs d’importance vitale, de mettre en place une stratégie de détection de vulnérabilités et de protection des applications web contre les attaques modernes.


Voir les articles précédents

    

Voir les articles suivants