Sécurité applicative : qui sont les principaux fournisseurs ?

Qui sont les têtes d'affiche de la sécurité applicative (AST) et comment se présente le marché ? Éléments de réponse sur la base du Magic Quadrant.

Vous recherchez une solution de sécurité applicative (AST) ? Préparez-vous à négocier. La mise en garde est signée Gartner. Elle part d'un constat : les prix sont globalement élevés. En tout chez les fournisseurs classés au Magic Quadrant.

	Fournisseur	Date de création	Siège social
1	Synopsys	1986	États-Unis
2	Veracode	2006	États-Unis
3	Checkmarx	2006	Israël
4	HCL Software	1991	Inde
5	Micro Focus	1976	Royaume-Uni
6	WhiteHat Security	2001	États-Unis
7	Contrast Security	2014	États-Unis
8	GitLab	2014	États-Unis
9	Snyk	2015	Royaume-Uni
10	Rapid7	2000	États-Unis
11	Data Theorem	2013	États-Unis
12	Onapsis	2009	États-Unis
13	Invicti	2018	États-Unis
14	GitHub	2008	États-Unis

 

Le Quadrant à la mode Dev(Sec)Ops

Traditionnellement, Gartner distingue trois types de solutions : les SAST (analyse statique, portant sur le code), les DAST (dynamique, à l'exécution) et les IAST (« interactif », qui combinent les deux approches). Il y ajoute le SCA (analyse de composition logicielle).
Cette année, le périmètre d'étude s'est nettement étendue, pour inclure notamment l'IaC, les conteneurs, le fuzzing, les API et les clouds publics. La conséquence d'une augmentation de la demande dans ce sens. et de l'implication croissante des développeurs dans la sécurisation des applications.

Pour figurer au Magic Quadrant de l'AST, il fallait respecter un certain nombre de critères, en date du 21 décembre 2020. Parmi eux :

Disposer d'une solution dédiée qui couvre au moins deux segments parmi le SAST, le DAST, le IAST et le SCA

Proposer au moins une capacité supplémentaire parmi celles auxquelles le périmètre d'étude s'est étendu

Avoir réalisé, sur 12 mois glissants, au moins 25 M$ de C. A. sur l'AST ; dont 20 millions en Amérique du Nord et/ou EMEA

Il y a aussi des critères propres aux différents compartiments de la protection. Entre autres :

SAST : prise en charge des principaux langages de programmation et plug-in pour Eclipse, IntelliJ IDEA ou Visual Studio

DAST : prise en charge des outils de scriptage et d'automatisation

IAST : prise en charge de Java et .NET

SCA : analyse des bibliothèques obsolètes

Conteneurs : intégration avec les registres

IaC : tests statiques et dynamiques

Fuzzing : prise en charge de C, C#, Java et Golang

AST : l'offre en avance sur la demande ?

Hormis l'invitation à négocier les prix, Gartner conseille aux entreprises d'élargir leur champ d'observation. En cause, la montée en puissance d'entreprises non spécialistes de l'AST. En partie grâce à des acquisitions. Par exemple :

GitHub avec Semmle (SAST) et Dependabot (SCA), achetés en 2019

GitLab avec Peach Tech (instrumentation) et Fuzzit (fuzzing), achetés en 2020

Cisco avec Portshift (sécurité des conteneurs ; 2020) et Palo Alto avec BridgeCrew (sécurité IaC ; 2021)

Chez les pure players aussi, on recourt à la croissance externe. Témoin Rapid7 avec Alcide et DivvyCloud (sécurité des conteneurs). Ou Snyk avec DeepCode (sécurité des applications cloud).

Comment se présente actuellement la demande ? Gartner la segmente en trois niveaux de maturité :

L'essentiel des utilisateurs d'AST en sont à la « phase initiale ». Ils s'orientent généralement d'abord vers le SAST et le SCA.

La phase « intermédiaire », marquée par l'adoption de métriques basées non plus sur la criticité, mais sur le niveau de risque. À ce stade, on tend à toucher au fuzzing, à la signature de code, au test des API et à l'orchestration de l'AST.

La phase « avancée », où on embraye sur l'IaC, les SPA (applications web monopages) et les CWPP (plates-formes de protection des workloads cloud)

Illustration principale © Shahadat Rahman - Unsplash

La rédaction vous recommande

SD-WAN : les pure players se raréfient dans le mouvement vers le SASE

Big data : stockage objet et fichier ne doivent-ils faire plus qu'un ?

Gestion des API : à architectures distribuées, sourcing multiple