FortiGate UTM, Pare-feu de nouvelle génération, Pare-feu, Anti-virus, Système de prévention d’intrusion, Anti-spyware, Anti-spam, VPN, Sécurité sans fil, Contrôle applicatif, Filtrage web
Fortinet a été créée en 2000 par les frères Ken et Michael Xie. Elle a levé environ 93 millions US$ de fonds sur la période allant jusqu’à 2004, et lancé dix appliances FortiGate. 2004 a également marqué le début d’un litige récurrent entre Fortinet et Trend Micro, portant sur un brevet. L’entreprise est entrée en bourse en 2009 et a levé 156 millions US$ lors de cette opération. Tout au long des années 2000, Fortinet a diversifié sa gamme de produits en y intégrant des points d’accès Wi-Fi, une technologie de sandbox et des solutions de sécurité de la messagerie électronique notamment.
Historique
Création et débuts de l’entreprise
Fortinet a été créée à Sunnyvale (Californie) en 2000 par les frères Ken et Michael Xie[2]. Les fondateurs avaient précédemment évolué dans des rôles de management chez NetScreen et ServGate respectivement[3]. Initialement baptisée Appligation Inc., la société fut renommée Appsecure en décembre 2000 puis, plus tard, Fortinet, un nom inspiré de l’expression « Fortified Networks » signifiant réseaux fortifiés[3]. Après deux années consacrées à la recherche et le développement[4], l’entreprise a commercialisé son premier produit en 2002[2].
Fortinet a levé 13 millions US$ de fonds privés entre 2000 et début 2003[2]. Elle a bouclé un tour de table de 30 millions US$ supplémentaires en août 2003, puis de 50 millions US$ en mars 2004, ce qui porte le financement total à 93 millions US$[5]. Selon Fortinet, son chiffre d’affaires a été décuplé entre 2002 et 2003[6]. Son premier programme à l’intention du réseau de distribution a vu le jour en octobre 2003[7]. Westcon Canada a commencé à distribuer les produits FortiGate au Canada en décembre 2003, suivie par Norwood Adam au Royaume-Uni en février 2004[2]. Le programme revendeurs a été réorganisé en janvier 2006 sous le nom de « SOC in a BOX »[2]. En 2004, Fortinet était déjà présente, via ses bureaux, en Asie, en Europe et en Amérique du Nord[4].
En octobre 2005, une étude réalisée par OpenNet a révélé que les appliances Fortinet étaient utilisées pour censurer Internet au Myanmar. Fortinet a déclaré que ses produits étaient vendus par des revendeurs tiers et qu’elle respectait les embargos américains, mais il existe des photos montrant un représentant commercial de Fortinet en compagnie du Premier Ministre birman[8],[9].
Contentieux juridiques
Un programmeur Linux allemand de l’organisation GPL-violations.org a obtenu une injonction préliminaire à l’encontre de la filiale britannique de Fortinet en avril 2005, en raison d’allégations selon lesquelles l’entreprise aurait eu recours au chiffrement pour masquer l’utilisation de noyaux Linux relevant d’une licence GPL (Licence publique générale). Or les termes d’utilisation de la licence exigeaient la divulgation du code source[10],[11]. Le mois suivant, Fortinet a accepté de rendre disponible le code source des modules sous licence, sur demande. L’entreprise a également modifié ses conditions de licence et apporté d’autres changements, mettant ainsi un terme au litige[12].
En mai 2004, Trend Micro a porté plainte contre Fortinet, alléguant que sa technologie anti-virus enfreignait des brevets de Trend Micro destinés à l’analyse de messages électroniques et du trafic Internet[13]. En août de la même année, la Commission du commerce international des États-Unis a donné tort à Fortinet, interdisant la vente des produits incriminés. Fortinet a déclaré que le périmètre des brevets de Trend Micro était trop large, mais s’est néanmoins conformée à la décision[14]. Fortinet et Trend Micro sont parvenues en janvier 2006 à un accord dont les termes n’ont pas été divulgués. Fortinet a modifié ses produits anti-virus pour éviter toute éventuelle contrefaçon des brevets de Trend Micro[15],[16].
Quelques années plus tard, un avocat de l’International Trade Commission rendait un avis sur un autre dossier déclarant qu’il estimait que les brevets concernés de Trend Micro n’étaient pas légitimes. Fortinet a déposé un nouveau recours et, en décembre 2010, l’office des brevets américains se prononçait en faveur de la non-validité de ces brevets[2],[17].
En décembre 2013, Fortinet a poursuivi Sophos en justice, lui reprochant de débaucher des collaborateurs de Fortinet et d’enfreindre certains de ses brevets[18],[19]. Le différend s’est réglé deux ans plus tard par médiation, et selon des termes qui n’ont pas été rendus publics[20].
Autres faits notables
En 2008, des chercheurs Fortinet ont révélé qu’un widget Facebook de Zango avait incité plus de trois millions d’utilisateurs à télécharger par tromperie un logiciel espion malveillant sous le couvert qu’il révélerait à ces utilisateurs leur coup de foudre secret[21]. Zango a nié les accusations, déclarant que leur logiciel n’était distribué qu'à la suite d'un processus d’opt-in par les utilisateurs[22].
À la fin de 2008, Fortinet a racheté les éléments de propriété intellectuelle d’IPLocks, spécialisé dans l’audit et la sécurité des bases de données, en proposant d’intégrer les 28 collaborateurs de l’entreprise[23]. En août 2009, Fortinet a acquis les actifs de Woven Systems, un spécialiste de la commutation sur Ethernet[24]. Selon IDC, à cette date, Fortinet était le plus important fournisseur de solutions de systèmes de gestion unifiée UTM (Unified Threat Management), avec 15,4 % de part de marché. La société avait bénéficié d’une croissance régulière et franchi le seuil de rentabilité après avoir perdu de l’argent entre 2004 et 2007[25]. Fortinet a également progressé au classement Annual Report Card de CRN Magazine, jusqu’à atteindre la première place en 2009[26].
En novembre 2009, Fortinet a été introduite en bourse, avec pour objectif de lever 52,4 millions US$ en cédant 5,8 millions d’actions[27]. De nombreux actionnaires ont également revendu leurs actions simultanément[28]. Juste avant la première journée de cotation, le cours d’introduction de Fortinet s’est apprécié de 9 US$ à 12,50 US$$. Au terme de cette première journée, l’action était valorisée à 16,62 US$. Cette opération a permis au constructeur de lever 156 millions US$ en bourse[29].
Histoire récente
En 2010, le chiffre d’affaires annuel de Fortinet s’élevait à 324 millions US$[2]. En novembre de la même année, Bloomberg faisait état de rumeurs sur un éventuel rachat de l’entreprise par IBM[30], une allégation réfutée par Fortinet[31],[32]. En décembre 2012, Fortinet a fait l’acquisition de XDN (anciennement 3Crowd), le fournisseur du service d’hébergement d’applications CrowdDirector[33]. En 2013, Fortinet a racheté Coyote Point, un spécialiste de la fourniture applicative, pour un montant non communiqué[34],[35].
Fortinet a procédé à une refonte de son programme revendeurs en juillet 2013, en y intégrant des offres de financement et d’autres services à l’intention des petits fournisseurs de services de sécurité managés[36]. Récemment, certains revendeurs se sont plaints que Fortinet était en concurrence avec ses propres revendeurs, alors que l’entreprise affirme ne procéder à aucune vente directe[37].
Fortinet a créé la Cyber Threat Alliance avec Palo Alto Networks en 2014 pour permettre aux fournisseurs de partager et mettre en commun leurs données sur les menaces de sécurité. McAfee et Symantec ont rejoint l’alliance cette même année[38],[39]. En mai 2015, Fortinet a racheté l’équipementier WiFi Meru Networks, basé dans la Silicon Valley, pour 44 millions US$[40],[41]. Fin 2015, des chercheurs en sécurité Fortinet ont démontré l’existence d’un piratage de Fitbit via Bluetooth permettant à l’assaillant d’accéder aux dispositifs synchronisés avec les produits de la marque[42],[43].
En juin 2016, Fortinet a pris le contrôle d’AccelOps, un éditeur de logiciels de sécurité, de surveillance et de traitement analytique, pour environ 28 millions US$[44]. Selon ZDNet, la société était avant tout connue pour ses produits SIEM (Security Information and Event Management), des produits qui analysent les alertes et logs de sécurité provenant d’équipements et de logiciels[45].
Fortinet développe et commercialise des équipements et logiciels de gestion réseau et de sécurité informatique[47]. L’entreprise est avant tout connue pour sa gamme d’appliances de sécurité FortiGate qui consolident de nombreuses fonctions de sécurité Internet[48]. Selon un rapport publié en 2015 par le cabinet d’analyse The Dell'Oro Group, la part en valeur de Fortinet sur le marché des appliances de sécurité informatique ressortait à 8 %, contre 2,9 % en 2012[49]. Ce chiffre en fait le quatrième acteur le plus important du secteur[49]. Selon Fortinet, ses utilisateurs se ventilent comme suit : 35 % de petites entreprises, 28 % d’entreprises de taille intermédiaire et 37 % de grandes entreprises[50],[47].
FortiGate
La gamme FortiGate d’appliances physiques et virtuelles destinées à la gestion unifiée des menaces consolide plusieurs fonctions de sécurité telles que pare-feu, la prévention d’intrusion, le filtrage web, ainsi que la protection anti-malware et anti-spam. Cette gamme propose des produits pour petites entreprises et sites distants, ainsi que des plateformes pour grandes entreprises, centres de données et fournisseurs de services Internet[51],[52]. Fortinet commercialise également des pare-feux de nouvelle génération (Next Generation Firewall, ou NGFW) que Gartner définit comme un produit regroupant un pare-feu, un VPN et une prévention d’intrusion, entre autres fonctions de sécurité[53].
Le premier produit de Fortinet, le FortiGate 3000, sorti en octobre 2002[54], proposait des performances de 3 gigabit par seconde (Gbps)[55]. La gamme 5000 a été commercialisée deux ans plus tard[56]. Selon The International Directory of Company Histories, les premiers produits Fortinet pour petites entreprises et succursales ont été accueillies favorablement sur le marché[2],[57].
En début d’année 2013, Fortinet a ajouté une fonctionnalité de pare-feu à l’appliance FortiGate, conçue pour les réseaux internes et reposant sur des processeurs ASIC spécifiques[58]. La version virtualisée de FortiGate a ensuite été intégrée à Amazon Web Services en 2014[59]. En avril 2016, Fortinet annonçait la Fortinet Security Fabric, destinée à permettre à des dispositifs tiers de partager des informations avec les appliances et logiciels Fortinet via des API. Elle a également lancé le pare-feu FortiGate 6040E 320Gbps, équipé du nouveau processeur ASIC CP9. Ce dernier assume certaines tâches habituellement attribuées au processeur principal de traitement, et est réutilisé dans les versions ultérieures de FortiGate[60].
Autres produits
Fortinet fournit de nombreux autres produits logiciels et matériels, y compris plus d’une douzaine destinés à la commutation réseau, aux services VoIP, à la gestion des DNS ou à l’authentification des utilisateurs[51],[52]. La plateforme FortiAnalyzer offre des fonctions de reporting pour les produits Fortinet, et notamment le stockage des journaux d’événements, un reporting de sécurité et des analyses de données[61]. FortiClient est un produit de sécurité de terminal pour ordinateurs de bureau, téléphones et autres appareils[62],[63]. Le logiciel VPN FortiClient est disponible depuis avril 2004[64].
Les produits de sécurité de messagerie FortiMail et anti-spam FortiGuard ont été commercialisés pour la première fois en février 2005[2]. FortiManager, la solution de gestion centralisée, a été lancée en avril 2003[65]. Fortinet propose ses produits de sécurité de bases de données depuis 2008[51],[52],[66]. Les plateformes de commutation FortiSwitch de Fortinet existent depuis 2009[67] et ses contrôleurs de fourniture applicative depuis août 2013[68]. Depuis octobre 2010, Fortinet propose les versions logicielles virtuelles de ses appliances FortiGate, FortiManager, FortiAnalyzer et FortiMail[69]. Elle a mis à jour le système de gestion FortiCloud en août 2015[70]. Une offre destinée aux réseaux SDN a été lancée en septembre 2015[71],[72].
Fortinet produit et commercialise une version sans fil de son produit FortiGate, appelée FortiWifi[52], sortie pour la première fois en mars 2004[73],[74]. Fortinet a lancé une nouvelle famille de points d’accès sans fil gérés à partir du cloud en août 2015[70]. La gamme des produits FortiDDoS a été lancée en mars 2014[75],[76].
Système d’exploitation
FortiOS, le système d'exploitation embarqué qui pilote les plateformes matérielles de Fortinet, utilise, en tant que noyau, une version modifiée du noyau Linux (par exemple dans fortios v.5.4.1 c'est un dérivé de la version 2.4.37) ainsi que ext2 en tant que système de fichiers. Concernant l’administration, l'interface web utilise les moteurs Jinja2 et Django avec Python en backend. En décembre 2003, Fortinet a sorti la version FortiOS 2.8 qui a intégré 50 nouvelles fonctionnalités au système d’exploitation[77].
Opérations
Fortinet dispose également de FortiGuard Labs, une équipe de recherche en sécurité Internet, active depuis 2005[78]. Quatre centres de recherche et développement sont présents en Asie et d’autres aux États-Unis, au Canada et en France[79]. Fortinet propose un programme de certification et de formation sur huit niveaux de certification NSE[80],[81]. L’entreprise dirige la Network Security Academy, fondée début 2016. Cette organisation propose des ressources à des universités qui dispensent un cursus en sécurité informatique[82].
↑ abcdefgh et i(en) Karen Hill, International Directory of Company Histories : Fortinet, vol. 128, St James Press, , 223–227 p..
↑ a et b(en) Kenneth Tam, Martín H. Hoz Salvador, Ken McAlpine, Rick Basile, Bruce Matsugu et Josh More, UTM Security with Fortinet : Mastering FortiOS, Newnes, , 16–17 p. (ISBN978-1-59749-977-4, lire en ligne).
↑ a et b(en) Beverly Natividad, « Real-time firewalls preserve performance », BusinessWorld,
↑(en) « Fortinet's Money Machine Rolls On », Network Computing, (lire en ligne, consulté le )
↑(en) Cheryl Meyer, « Fortinet raises $50M », The Deal,
↑(en) Christina Torode, « Fortinet Adds New Partner Program », CRN, (lire en ligne, consulté le )
↑(en) Tom Zeller, « Study Says Software Makers Supply Tools to Censor Web », The New York Times, (lire en ligne, consulté le )
↑(en) IBP, Inc., Myanmar Internet and E-Commerce Investment and Business Guide : Regulations and Opportunities, Lulu.com, , 57–58 p. (ISBN978-1-4387-3445-3, lire en ligne)
↑(en) Peter Galli, « Fortinet Under Fire for Allegedly Violating GPL Terms », eWeek, (lire en ligne, consulté le )
↑(en) Ingrid Marson, « Fortinet accused of GPL violation », ZDNet, (lire en ligne, consulté le )
↑(en) Ingrid Marson, « Fortinet settles GPL violation suit », CNET, (lire en ligne, consulté le )
↑(en) Grant Gross, « Judge rules for Trend Micro in Fortinet patent case », Infoworld, (lire en ligne, consulté le )
↑(en) Paul Roberts, « ITC Rules Against Fortinet in Patent Dispute », eWeek, (lire en ligne, consulté le )
↑(en) Larry Hooper, « Fortinet, Trend Micro Settle Antivirus Patent Dispute », CRN, (lire en ligne, consulté le )
↑(en) John Dunn, « Fortinet ordered to suspend U.S. sales », Computerworld, (lire en ligne, consulté le )
↑(en) Alan Shimel, « The Patent That Refuses To Die », Network World, (lire en ligne, consulté le ).
↑(en) Ellen Messmer, « Facebook's "Secret Crush" malicious widget tricks users », Network World, (lire en ligne, consulté le )
↑(en) Matt Hines, « Facebook hack fuels Web 2.0 concerns », InfoWorld, (lire en ligne, consulté le )
↑(en) Robert McMillan, « Fortinet buys assets of security vendor IPLocks », IDG News Service, (lire en ligne, consulté le )
↑(en) Munir Kotadia, « Woven Systems technology lives on with Fortinet », IT News, (lire en ligne, consulté le )
↑(en) Lynn Cowan, « Security Security: Fortinet IPO Jumps 33% », The Wall Street Journal, , p. C6
↑(en) Robert DeMarzo, « Fortinet IPO: Love Of Services », CRN, (lire en ligne, consulté le ).
↑(en) « Computer security co. Fortinet plans IPO this week », Seattle Times, (lire en ligne, consulté le )
↑(en) Kelly Jackson, « Product Watch: Fortinet Issues An IPO », Dark Reading, (lire en ligne, consulté le ).
↑(en) Robert McMillan, « Security Vendor Fortinet Sparkles in IPO », IDG News, (lire en ligne, consulté le ).
↑(en) Peter Burrows, « Fortinet Said to Be Approached by IBM; Shares Soar », Bloomberg, (lire en ligne, consulté le )
↑(en) « Fortinet Says IBM Acquisition Talk Untrue », Reuters, (lire en ligne, consulté le )
↑(en) Brian Prince, « Fortinet Denies IBM Acquisition Rumors », eWeek, (lire en ligne, consulté le )
↑(en) Jim Davis, « Did Fortinet acquire XDN in a bid to add more cache to its portfolio? », 451 Group, (lire en ligne, consulté le )
↑(en) Stephen Lawson, « Fortinet to Buy Coyote Point to Merge Security with Application Delivery », IDG News Service, (lire en ligne, consulté le ).
↑(en) Rachel King, « Fortinet buying Coyote Point for application delivery model », ZDNet, (lire en ligne, consulté le ).
↑(en) Robert Westervelt, « Fortinet Refines MSSP Program For Broader Reach », CRN, (lire en ligne, consulté le )
↑(en) « We Are A 100 Percent Channel Company », CRN, .
↑(en) Nathan Eddy, « McAfee, Symantec Join Cyber Threat Alliance », eWeek, (lire en ligne, consulté le )
↑(en) Chloe Albanesius, « Obama Wants Tech Firms to Alert Feds to Cyber Threats », PC Magazine, (lire en ligne, consulté le )
↑(en) Jeremy Owens, « Biz Break: Fortinet steps up security challenge to Cisco with Meru acquisition », The San Jose Mercury News, (lire en ligne, consulté le )
↑(en) Sarah Kuranda, « Fortinet Dives Deep Into Enterprise Secure Wireless Market With Meru Networks Acquisition », CRN, (lire en ligne, consulté le )
↑(en) Elizabeth Weise, « Fitbit hacked from 10 feet away, security firm says », USA TODAY, (lire en ligne, consulté le )
↑ abc et d(en) K. Tam, M.H.H. Salvador, K. McAlpine, R. Basile, B. Matsugu et J. More, UTM Security with Fortinet : Mastering FortiOS, Elsevier Science, , 452 p. (ISBN978-1-59749-977-4, lire en ligne), p. 36
↑(en) Michael Cusanelli, « Fortinet Develops SDNS Framework, Expands Partner Ecosystem », Network Security and Data Protection Software Solutions content from The VAR Guy, (lire en ligne, consulté le )
(en) Martín H. Hoz Salvador, Ken McAlpine, Rick Basile, Bruce Matsugu et Josh More, UTM Security with Fortinet : Mastering FortiOS, Amsterdam/Boston/Heidelberg/London/New York/Oxford/Paris/San Diego/San Francisco/Singapore/Sydney/Tokyo, Syngress, (ISBN978-1-59749-747-3, lire en ligne)