Recherche

Sécurité applicative : qui sont les principaux fournisseurs ?

Qui sont les têtes d'affiche de la sécurité applicative (AST) et comment se présente le marché ? Éléments de réponse sur la base du Magic Quadrant.

Publié par Clément Bohic le | Mis à jour le
Lecture
3 min
  • Imprimer
Sécurité applicative : qui sont les principaux fournisseurs ?

Vous recherchez une solution de sécurité applicative (AST) ? Préparez-vous à négocier. La mise en garde est signée Gartner. Elle part d'un constat : les prix sont globalement élevés. En tout chez les fournisseurs classés au Magic Quadrant.

  Fournisseur Date de création Siège social
1 Synopsys 1986 États-Unis
2 Veracode 2006 États-Unis
3 Checkmarx 2006 Israël
4 HCL Software 1991 Inde
5 Micro Focus 1976 Royaume-Uni
6 WhiteHat Security 2001 États-Unis
7 Contrast Security 2014 États-Unis
8 GitLab 2014 États-Unis
9 Snyk 2015 Royaume-Uni
10 Rapid7 2000 États-Unis
11 Data Theorem 2013 États-Unis
12 Onapsis 2009 États-Unis
13 Invicti 2018 États-Unis
14 GitHub 2008 États-Unis

 

Le Quadrant à la mode Dev(Sec)Ops

Traditionnellement, Gartner distingue trois types de solutions : les SAST (analyse statique, portant sur le code), les DAST (dynamique, à l'exécution) et les IAST (« interactif », qui combinent les deux approches). Il y ajoute le SCA (analyse de composition logicielle).
Cette année, le périmètre d'étude s'est nettement étendue, pour inclure notamment l'IaC, les conteneurs, le fuzzing, les API et les clouds publics. La conséquence d'une augmentation de la demande dans ce sens. et de l'implication croissante des développeurs dans la sécurisation des applications.

Pour figurer au Magic Quadrant de l'AST, il fallait respecter un certain nombre de critères, en date du 21 décembre 2020. Parmi eux :

  • Disposer d'une solution dédiée qui couvre au moins deux segments parmi le SAST, le DAST, le IAST et le SCA
  • Proposer au moins une capacité supplémentaire parmi celles auxquelles le périmètre d'étude s'est étendu
  • Avoir réalisé, sur 12 mois glissants, au moins 25 M$ de C. A. sur l'AST ; dont 20 millions en Amérique du Nord et/ou EMEA

Il y a aussi des critères propres aux différents compartiments de la protection. Entre autres :

  • SAST : prise en charge des principaux langages de programmation et plug-in pour Eclipse, IntelliJ IDEA ou Visual Studio
  • DAST : prise en charge des outils de scriptage et d'automatisation
  • IAST : prise en charge de Java et .NET
  • SCA : analyse des bibliothèques obsolètes
  • Conteneurs : intégration avec les registres
  • IaC : tests statiques et dynamiques
  • Fuzzing : prise en charge de C, C#, Java et Golang

AST : l'offre en avance sur la demande ?

Hormis l'invitation à négocier les prix, Gartner conseille aux entreprises d'élargir leur champ d'observation. En cause, la montée en puissance d'entreprises non spécialistes de l'AST. En partie grâce à des acquisitions. Par exemple :

  • GitHub avec Semmle (SAST) et Dependabot (SCA), achetés en 2019
  • GitLab avec Peach Tech (instrumentation) et Fuzzit (fuzzing), achetés en 2020
  • Cisco avec Portshift (sécurité des conteneurs ; 2020) et Palo Alto avec BridgeCrew (sécurité IaC ; 2021)

Chez les pure players aussi, on recourt à la croissance externe. Témoin Rapid7 avec Alcide et DivvyCloud (sécurité des conteneurs). Ou Snyk avec DeepCode (sécurité des applications cloud).

Comment se présente actuellement la demande ? Gartner la segmente en trois niveaux de maturité :

  • L'essentiel des utilisateurs d'AST en sont à la « phase initiale ». Ils s'orientent généralement d'abord vers le SAST et le SCA.
  • La phase « intermédiaire », marquée par l'adoption de métriques basées non plus sur la criticité, mais sur le niveau de risque. À ce stade, on tend à toucher au fuzzing, à la signature de code, au test des API et à l'orchestration de l'AST.
  • La phase « avancée », où on embraye sur l'IaC, les SPA (applications web monopages) et les CWPP (plates-formes de protection des workloads cloud)

Illustration principale © Shahadat Rahman - Unsplash

Livres Blancs

Voir tous les livres blancs
S'abonner
au magazine
Se connecter
Retour haut de page