L’opération de « croissance externe » qui a placé Sourcefire dans le giron de Cisco était observée avec attention par la communauté Snort. En général, ce genre de transaction se traduit par une absorption de la propriété intellectuelle, une récupération partielle du parc client. Les échanges permanents entre Sourcefire et la communauté Snort allait-elle disparaître avec ce mariage ?
Manifestement, Martin Roesch, père de Snort, est encore bien vivant et toujours autant attaché à la communauté Open Source qui a contribué à son succès. Les annonces émises à l’occasion de la RSA Conf 2014 le prouvent. En premier lieu, Snort (la version « libre » du Firewall) intègrera le préprocesseur OpenAppID. Cette fonction de Sourcefire est un élément important des firewall de nouvelle génération, puisqu’il prend en charge la détection, l’identification et le « reporting » d’activité des applications (ce que l’on nomme généralement par l’analyse et la remédiation de niveau 7). Avec cette « mise dans le domaine public », la communauté des développeurs Snort va pouvoir travailler à la constitution d’une panoplie de sondes et détecteurs d’applications, tout comme cette même communauté avait, jusqu’à présent, donné naissance à des quantités impressionnantes de « signatures » Snort que pouvaient exploiter les usagers tant de la version open source Snort que de l’édition commerciale Sourcefire. Outre cet enrichissement de la base « code libre », Sourcefire donne accès à une base de près de 1000 détecteurs OpenAppID déjà développés. Jusqu’à présent donc, la fusion Cisco-Sourcefire n’a pas coupé le lien entre les Ham-ateurs et les professionnels du NGFW. L’annonce officielle de l’intégration d’OpenAppID dans Snort 2.9.7.0 Alpha fait l’objet d’un billet en date du 27 février sur le blog Snort.
Le volet commercial de l’opération, lui aussi, se porte comme un charme, puisque tout le catalogue «sécurité des contenus » de Cisco va progressivement inclure la technologie Advanced Malware Protection de Sourcefire. Les différents boîtiers de sécurité dédiés (services de messagerie, Web, accès Cloud) ne fonctionneront dont plus nécessairement en « silos », mais pourront alimenter par un monitoring permanent les plateformes de supervision grâce à AMP, et ainsi fournir les métriques et éléments d’analyse avant, pendant et surtout après sinistre et/ou menace. Cela ne veut pas dire pour autant que du jour au lendemain tous les clients Cisco seront des clients Cisco/Sourcefire. Ils ne le seront que potentiellement, AMP étant disponible sous forme de licence optionnelle.
