Le problème du chiffrement, c’est que ça marche bien mais que ça ne sert pas à grand chose en soit : chiffrer pour chiffrer apparaît comme un besoin d’un autre âge. En cela, l’acquisition de PGP par Symantec est probablement un signe des temps : un bon outil de chiffrement, malgré le fait qu’il soit complexe et délicat à développer, devient en définitive une « commodité » comme disent les anglo-saxons. Une fonctionnalité qu’il est bon d’avoir à condition qu’elle soit intégrée à quelque chose d’utile et sache se faire oublier, notamment lorsqu’arrive le moment de l’administrer.

Et de ce point de vue, l’historique PGP n’était pas le plus doué de la classe. La PGP Corporation (venue sauver le produit d’une mort assurée chez Network Associates en 2002) a bien tenté de faire oublier les origines modestes et très « activiste geek » du produit, elle n’y ait jamais entièrement parvenue. Cela malgré de bonnes idées en matière de gestion et d’échange des clés (la partie la plus cruciale de l’exercice), et une réelle volonté d’aller vers l’entreprise, en offrant notamment une solution (contreversée) de déploiement et d’administration du produit. Mais en sept ans et beaucoup de bonne volonté, PGP Corporation n’aura jamais vraiment réussi à faire prendre de l’altitude à PGP, qui restait un très bon outil de chiffrement… et c’est tout.

Le marché étant ce qu’il est, les bonnes solutions purement techniques font généralement d’excellents candidats à l’acquisition par un généraliste moins doué mais doté d’un catalogue plus large. Et Symantec est précisément un spécialiste de l’exercice. Dont acte !

En s’offrant PGP pour 300 millions de dollars le géant récupère bien entendu en premier lieu un excellent outil de chiffrement intégral de disque (FDE). En la matière, cette acquisition arrive à temps considérant que la concurrence avait déjà fait son marché depuis longtemps (McAfee avec SafeBoot, Sophos avec Utimaco ou encore Checkpoint avec Pointsec) tandis que Symantec se contentait jusqu’ici de revendre un produit tiers en OEM. Voilà qui enlèvera certainement une aiguille dans le pied du géant.

Mais il serait naïf de ne juger cette opération qu’à l’aune de l’outil de FDE. Symantec récupère aussi – et surtout – une bonne capacité de chiffrement des emails (dont bénéficiera certainement MessageLabs, acquis en 2008), la capacité à chiffrer aussi bien les PC que les serveurs et mêmes les mainframes (ce que boude la concurrence), et surtout une très bonne solution de gestion des clés, qui est en définitive la véritable valeur ajoutée d’un outil de chiffrement.

Mais ce n’est pas tout : avec PGP, Symantec hérite également d’une offre moins connue de PKI en mode SaaS (PKI as a Service), avec ChosenSecurity / TC Trust Center, deux sociétés acquises par PGP il y tout juste deux mois. Cela peut paraître un détail dans l’immédiat, mais Symantec devient de fait un « Root CA » capable d’offrir la gestion de ses certificats sous la forme d’un service en ligne. Dans l’hypothèse d’une offre de chiffrement unique à travers toute l’entreprise (téléphones mobiles, serveurs, ordinateurs portables, applications dans le Cloud, DLP), qui nécessite de ce fait la capacité de gérer le cycle de vie des certificats de chiffrement de manière transparente tant en local que dans le Cloud, cela devient une fonctionnalité cruciale.

De son côté, Symantec apporte à PGP l’altitude qui lui a tant fait défaut : dans son annonce , le géant cite ainsi vouloir adresser les marchés de la conformité réglementaire, de la protection de l’information, des téléphones mobiles ou du Cloud Computing. Au delà de simples termes à la mode, il s’agit avant tout d’usages pour lesquels le chiffrement ne peut être qu’une composante et non une finalité, et que PGP Corporation se révélait lent à adresser. En ce sens, l’acquisition par Symantec pourra donc bien porter PGP vers des horizons nouveaux.

GuardianEdge comme un bonus

Parallèlement à son acquisition de PGP, Symantec s’est également offert GuardianEdge, un autre acteur du chiffrement. GuardianEdge développe l’outil de FDE qui était vendu jusqu’à présent par Symantec en OEM. Pour 70 millions de dollars supplémentaires, le géant fait ainsi un coup double : il renforce en premier lieu sa présence dans le domaine gouvernemental américain où GuardianEdge est bien installé, et il complète certaines faiblesses de PGP (notamment sur les téléphones mobiles).

Il est également possible que, considérant l’acquisition de PGP, les termes du contrat d’OEM avec GuardianEdge gênaient aux entournures. Un rachat pour un montant sommes toutes modeste est alors le moyen le plus rapide de régler le problème. Dans tous les cas, Symantec récupère au passage une base installée qu’il a contribué à bâtir au fil des années en revendant le produit de GuardianEdge.

Intégration : le piège à venir

Symantec est bien connu pour ses acquisitions fracassantes, mais également pour sa difficulté à les intégrer par la suite (Vontu, @Stake, Bindview, Sygate, SecurityFocus…). Le géant peut ainsi parfois ressembler à un grand revendeur spécialiste de la sécurité, capable de fournir des solutions de bonne qualité et souvent très complémentaires, mais pas de les intégrer. De ce point de vue l’exemple de McAfee, avec sa fameuse console ePolicy Orchestrator, est largement plus probant (et pourtant McAfee est un autre grand carnassier du marché, souvent sur les talons de Symantec en matière d’acquisitions).

Le défi pour Symantec sera donc dans un premier temps de parvenir à tirer quelque chose de cohérent de l’offre de PGP et de GuardianEdge, en isolant le meilleur de chaque offre et en se séparant du redondant. Et ensuite – surtout – de rendre l’ensemble utilisable dans le cadre d’une stratégie de sécurité globale (protection de l’information, conformité réglementaire…) et sur tous les fronts (du poste de travail au Cloud en passant par la donnée stockée).

Pour l’heure Symantec annonce seulement vouloir baser la gestion des clés sur l’offre existante de PGP (y compris pour les produits GuardianEdge), et intégrer ensuite le tout à son[ Symantec Protection Center | http://www.symantec.com/about/news/release/article.jsp?prid=20100413_01]. C’est peu, mais au delà de l’annonce, la volonté d’intégrer le chiffrement de manière transparente à toutes les pages du catalogue semble être au rendez-vous.