Sécurité applicative : qui sont les principaux fournisseurs ?

Vous recherchez une solution de sécurité applicative (AST) ? Préparez-vous à négocier. La mise en garde est signée Gartner. Elle part d’un constat : les prix sont globalement élevés. En tout chez les fournisseurs classés au Magic Quadrant.

	Fournisseur	Date de création	Siège social
1	Synopsys	1986	États-Unis
2	Veracode	2006	États-Unis
3	Checkmarx	2006	Israël
4	HCL Software	1991	Inde
5	Micro Focus	1976	Royaume-Uni
6	WhiteHat Security	2001	États-Unis
7	Contrast Security	2014	États-Unis
8	GitLab	2014	États-Unis
9	Snyk	2015	Royaume-Uni
10	Rapid7	2000	États-Unis
11	Data Theorem	2013	États-Unis
12	Onapsis	2009	États-Unis
13	Invicti	2018	États-Unis
14	GitHub	2008	États-Unis

Le Quadrant à la mode Dev(Sec)Ops

Traditionnellement, Gartner distingue trois types de solutions : les SAST (analyse statique, portant sur le code), les DAST (dynamique, à l’exécution) et les IAST (« interactif », qui combinent les deux approches). Il y ajoute le SCA (analyse de composition logicielle).
Cette année, le périmètre d’étude s’est nettement étendue, pour inclure notamment l’IaC, les conteneurs, le fuzzing, les API et les clouds publics. La conséquence d’une augmentation de la demande dans ce sens… et de l’implication croissante des développeurs dans la sécurisation des applications.

Pour figurer au Magic Quadrant de l’AST, il fallait respecter un certain nombre de critères, en date du 21 décembre 2020. Parmi eux :

Disposer d’une solution dédiée qui couvre au moins deux segments parmi le SAST, le DAST, le IAST et le SCA
Proposer au moins une capacité supplémentaire parmi celles auxquelles le périmètre d’étude s’est étendu
Avoir réalisé, sur 12 mois glissants, au moins 25 M$ de C. A. sur l’AST ; dont 20 millions en Amérique du Nord et/ou EMEA

Il y a aussi des critères propres aux différents compartiments de la protection. Entre autres :

SAST : prise en charge des principaux langages de programmation et plug-in pour Eclipse, IntelliJ IDEA ou Visual Studio
DAST : prise en charge des outils de scriptage et d’automatisation
IAST : prise en charge de Java et .NET
SCA : analyse des bibliothèques obsolètes
Conteneurs : intégration avec les registres
IaC : tests statiques et dynamiques
Fuzzing : prise en charge de C, C#, Java et Golang

AST : l’offre en avance sur la demande ?

Hormis l’invitation à négocier les prix, Gartner conseille aux entreprises d’élargir leur champ d’observation. En cause, la montée en puissance d’entreprises non spécialistes de l’AST. En partie grâce à des acquisitions. Par exemple :

GitHub avec Semmle (SAST) et Dependabot (SCA), achetés en 2019
GitLab avec Peach Tech (instrumentation) et Fuzzit (fuzzing), achetés en 2020
Cisco avec Portshift (sécurité des conteneurs ; 2020) et Palo Alto avec BridgeCrew (sécurité IaC ; 2021)

Chez les pure players aussi, on recourt à la croissance externe. Témoin Rapid7 avec Alcide et DivvyCloud (sécurité des conteneurs). Ou Snyk avec DeepCode (sécurité des applications cloud).

Comment se présente actuellement la demande ? Gartner la segmente en trois niveaux de maturité :

L’essentiel des utilisateurs d’AST en sont à la « phase initiale ». Ils s’orientent généralement d’abord vers le SAST et le SCA.
La phase « intermédiaire », marquée par l’adoption de métriques basées non plus sur la criticité, mais sur le niveau de risque. À ce stade, on tend à toucher au fuzzing, à la signature de code, au test des API et à l’orchestration de l’AST.
La phase « avancée », où on embraye sur l’IaC, les SPA (applications web monopages) et les CWPP (plates-formes de protection des workloads cloud)

Illustration principale © Shahadat Rahman – Unsplash