Sécurité applicative : qui sont les principaux fournisseurs ?
Publié par Clément Bohic le | Mis à jour le
Qui sont les têtes d'affiche de la sécurité applicative (AST) et comment se présente le marché ? Éléments de réponse sur la base du Magic Quadrant.
Vous recherchez une solution de sécurité applicative (AST) ? Préparez-vous à négocier. La mise en garde est signée Gartner. Elle part d'un constat : les prix sont globalement élevés. En tout chez les fournisseurs classés au Magic Quadrant.
Fournisseur | Date de création | Siège social | |
1 | Synopsys | 1986 | États-Unis |
2 | Veracode | 2006 | États-Unis |
3 | Checkmarx | 2006 | Israël |
4 | HCL Software | 1991 | Inde |
5 | Micro Focus | 1976 | Royaume-Uni |
6 | WhiteHat Security | 2001 | États-Unis |
7 | Contrast Security | 2014 | États-Unis |
8 | GitLab | 2014 | États-Unis |
9 | Snyk | 2015 | Royaume-Uni |
10 | Rapid7 | 2000 | États-Unis |
11 | Data Theorem | 2013 | États-Unis |
12 | Onapsis | 2009 | États-Unis |
13 | Invicti | 2018 | États-Unis |
14 | GitHub | 2008 | États-Unis |
Le Quadrant à la mode Dev(Sec)Ops
Traditionnellement, Gartner distingue trois types de solutions : les SAST (analyse statique, portant sur le code), les DAST (dynamique, à l'exécution) et les IAST (« interactif », qui combinent les deux approches). Il y ajoute le SCA (analyse de composition logicielle).
Cette année, le périmètre d'étude s'est nettement étendue, pour inclure notamment l'IaC, les conteneurs, le fuzzing, les API et les clouds publics. La conséquence d'une augmentation de la demande dans ce sens. et de l'implication croissante des développeurs dans la sécurisation des applications.
Pour figurer au Magic Quadrant de l'AST, il fallait respecter un certain nombre de critères, en date du 21 décembre 2020. Parmi eux :
Il y a aussi des critères propres aux différents compartiments de la protection. Entre autres :
AST : l'offre en avance sur la demande ?
Hormis l'invitation à négocier les prix, Gartner conseille aux entreprises d'élargir leur champ d'observation. En cause, la montée en puissance d'entreprises non spécialistes de l'AST. En partie grâce à des acquisitions. Par exemple :
Chez les pure players aussi, on recourt à la croissance externe. Témoin Rapid7 avec Alcide et DivvyCloud (sécurité des conteneurs). Ou Snyk avec DeepCode (sécurité des applications cloud).
Comment se présente actuellement la demande ? Gartner la segmente en trois niveaux de maturité :
Illustration principale © Shahadat Rahman - Unsplash