Les services cloud et rien d’autre ? Gartner en a décidé ainsi pour évaluer les solutions WAAP (protection des applications web et des API). Dans son dernier Magic Quadrant dédié à ce segment de marché, il n’a effectivement pas tenu compte des offres délivrées sous la forme d’appliances. Le reflet du basculement des tendances d’achat.
Dans ce contexte, la hiérarchie des fournisseurs évolue sensiblement d’une année sur l’autre. On y retrouve les onze mêmes, mais, pour quatre d’entre, dans une autre case. Classé « visionnaire », ThreatX rétrograde en « acteur de niche ». Même destination pour F5 et Barracuda, qui étaient dans la catégorie « challengers ». Cloudflare, au contraire, progresse, de « challenger » à « leader ».
Les offreurs sont jugés sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre centré sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).
Sur l’axe « vision », les sociétés classées au Quadrant WAAP se placent dans cet ordre :
| Fournisseur | Date de création | |
| 1 | Akamai | 2015 |
| 2 | Imperva | 2002 |
| 3 | Radware | 1997 |
| 4 | Cloudflare | 2009 |
| 5 | Fastly | 2011 |
| 6 | ThreatX | 2014 |
| 7 | F5 | 1996 |
| 8 | Barracuda | 2003 |
| 9 | Fortinet | 2000 |
| 10 | Amazon Web Services | 2012 |
| 11 | Microsoft | 1975 |
Sur l’axe « exécution » :
| Fournisseur | |
| 1 | Akamai |
| 2 | Cloudflare |
| 3 | Imperva |
| 4 | Amazon Web Services |
| 5 | Fastly |
| 6 | Microsoft |
| 7 | Radware |
| 8 | F5 |
| 9 | Fortinet |
| 10 | Barracuda |
| 11 | ThreatX |
Du côté d’Akamai, on a fusionné, fin 2021, les briques Web Application protection et Kona Site Defender. Il en a résulté l’offre App & API Protector. C’est là, affirme Gartner, le principal changement, depuis le Quadrant 2021, chez le fournisseur américain. Ce dernier a aussi ajouté une composante de protection contre la compromission de comptes, a mis à jour son moteur de sécurité et a inclus la prise en charge des déploiements Terraform.
Akamai a droit à un bon point sur l’exhaustivité de sa plate-forme. En particulier concernant le renseignement sur les menaces et son avance sur la concurrence dans le domaine de la protection des API. Appréciations favorables également sur le support et la protection DDoS.
On ne peut pas en dire autant sur les prix, qui ont tendance à détourner les prospects. Idem pour l’UI, jugée complexe, et le taux de faux positifs, qui reste élevé, notamment sur la détection des bots. Akamai ne se montre par ailleurs « pas toujours clair » sur la transition vers App & API Protector.
Chez Cloudflare, l’offre WAAP cloud s’appelle Cloudflare WAP. Page Shield y ajoute la protection DDoS et côté client. La découverte d’API a récemment fait son entrée, tout comme une fonctionnalité semi-automatique de rate limiting (contrôle du trafic réseau).
Comme Akamai, Cloudflare a droit à un bon point en matière de renseignement sur les menaces ; un volet renforcé par l’acquisition d’Area1 Security. Gartner salue aussi ses écosystèmes de partenaires distributeurs et technologiques. Ainsi que la disponibilité de fonctionnalités SSE (Secure Service Edge).
Moins positif est le service après-vente. Même chose pour l’UI et pour les options de déploiement, limitées à du « pur cloud » : pas d’agent, de sidecar Kubernetes ou de WAAP conteneurisé. Gartner constate en outre la tendance des clients à déplorer des outils de reporting « basiques » et le manque de fonctions natives de réponse aux incidents.
Chez Imperva, le WAAP cloud se trouve dans un portefeuille « Anywhere » qui inclut aussi une passerelle WAAP, une brique de protection des bases de données (Data Security) et d’autres services dont de la sécurité DNS. Parmi les derniers ajouts : une amélioration du CDN et des fonctions de cache, ainsi que la prise en charge des HSM externes.
La protection des bases de données, additionnée aux capacités d’autoprotection des apps à l’exécution, vaut un bon point à Imperva. Le fournisseur californien se distingue aussi sur la détection des compromissions de comptes et l’analyse d’événements, fondée sur de multiples approches d’apprentissage automatique. Plus globalement, Gartner salue la maturité de ses solutions, qui « offrent, d’origine, une bonne protection ».
Il y a, en revanche, des pistes d’amélioration de l’expérience client : prise en charge tardive de TLS 1.3, pas de SSO pour les apps en back-end, gestion des certificats à parfaire, etc. Idem sur la partie infrastructure : les points de présence sont parfois limités face à la concurrence. À noter aussi l’absence d’option WAAP conteneurisé, même s’il est possible de déployer en sidecar.
Photo d’illustration © valerybrozhinsky – Adobe Stock
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…