Sécurité applicative : qui sont les principaux fournisseurs ?

Vous recherchez une solution de sécurité applicative (AST) ? Préparez-vous à négocier. La mise en garde est signée Gartner. Elle part d'un constat : les prix sont globalement élevés. En tout chez les fournisseurs classés au Magic Quadrant.

Le Quadrant à la mode Dev(Sec)Ops

Traditionnellement, Gartner distingue trois types de solutions : les SAST (analyse statique, portant sur le code), les DAST (dynamique, à l'exécution) et les IAST (« interactif », qui combinent les deux approches). Il y ajoute le SCA (analyse de composition logicielle).
Cette année, le périmètre d'étude s'est nettement étendue, pour inclure notamment l'IaC, les conteneurs, le fuzzing, les API et les clouds publics. La conséquence d'une augmentation de la demande dans ce sens. et de l'implication croissante des développeurs dans la sécurisation des applications.

Pour figurer au Magic Quadrant de l'AST, il fallait respecter un certain nombre de critères, en date du 21 décembre 2020. Parmi eux :

• Disposer d'une solution dédiée qui couvre au moins deux segments parmi le SAST, le DAST, le IAST et le SCA
• Proposer au moins une capacité supplémentaire parmi celles auxquelles le périmètre d'étude s'est étendu
• Avoir réalisé, sur 12 mois glissants, au moins 25 M$ de C. A. sur l'AST ; dont 20 millions en Amérique du Nord et/ou EMEA

Il y a aussi des critères propres aux différents compartiments de la protection. Entre autres :

• SAST : prise en charge des principaux langages de programmation et plug-in pour Eclipse, IntelliJ IDEA ou Visual Studio
• DAST : prise en charge des outils de scriptage et d'automatisation
• IAST : prise en charge de Java et .NET
• SCA : analyse des bibliothèques obsolètes
• Conteneurs : intégration avec les registres
• IaC : tests statiques et dynamiques
• Fuzzing : prise en charge de C, C#, Java et Golang

AST : l'offre en avance sur la demande ?

Hormis l'invitation à négocier les prix, Gartner conseille aux entreprises d'élargir leur champ d'observation. En cause, la montée en puissance d'entreprises non spécialistes de l'AST. En partie grâce à des acquisitions. Par exemple :

• GitHub avec Semmle (SAST) et Dependabot (SCA), achetés en 2019
• GitLab avec Peach Tech (instrumentation) et Fuzzit (fuzzing), achetés en 2020
• Cisco avec Portshift (sécurité des conteneurs ; 2020) et Palo Alto avec BridgeCrew (sécurité IaC ; 2021)

Chez les pure players aussi, on recourt à la croissance externe. Témoin Rapid7 avec Alcide et DivvyCloud (sécurité des conteneurs). Ou Snyk avec DeepCode (sécurité des applications cloud).

Comment se présente actuellement la demande ? Gartner la segmente en trois niveaux de maturité :

• L'essentiel des utilisateurs d'AST en sont à la « phase initiale ». Ils s'orientent généralement d'abord vers le SAST et le SCA.
• La phase « intermédiaire », marquée par l'adoption de métriques basées non plus sur la criticité, mais sur le niveau de risque. À ce stade, on tend à toucher au fuzzing, à la signature de code, au test des API et à l'orchestration de l'AST.
• La phase « avancée », où on embraye sur l'IaC, les SPA (applications web monopages) et les CWPP (plates-formes de protection des workloads cloud)

Illustration principale © Shahadat Rahman - Unsplash