Pour gérer vos consentements :
Categories: Sécurité

Sécurité applicative : qui sont les principaux fournisseurs ?

Vous recherchez une solution de sécurité applicative (AST) ? Préparez-vous à négocier. La mise en garde est signée Gartner. Elle part d’un constat : les prix sont globalement élevés. En tout chez les fournisseurs classés au Magic Quadrant.

Fournisseur Date de création Siège social
1 Synopsys 1986 États-Unis
2 Veracode 2006 États-Unis
3 Checkmarx 2006 Israël
4 HCL Software 1991 Inde
5 Micro Focus 1976 Royaume-Uni
6 WhiteHat Security 2001 États-Unis
7 Contrast Security 2014 États-Unis
8 GitLab 2014 États-Unis
9 Snyk 2015 Royaume-Uni
10 Rapid7 2000 États-Unis
11 Data Theorem 2013 États-Unis
12 Onapsis 2009 États-Unis
13 Invicti 2018 États-Unis
14 GitHub 2008 États-Unis

Le Quadrant à la mode Dev(Sec)Ops

Traditionnellement, Gartner distingue trois types de solutions : les SAST (analyse statique, portant sur le code), les DAST (dynamique, à l’exécution) et les IAST (« interactif », qui combinent les deux approches). Il y ajoute le SCA (analyse de composition logicielle).
Cette année, le périmètre d’étude s’est nettement étendue, pour inclure notamment l’IaC, les conteneurs, le fuzzing, les API et les clouds publics. La conséquence d’une augmentation de la demande dans ce sens… et de l’implication croissante des développeurs dans la sécurisation des applications.

Pour figurer au Magic Quadrant de l’AST, il fallait respecter un certain nombre de critères, en date du 21 décembre 2020. Parmi eux :

  • Disposer d’une solution dédiée qui couvre au moins deux segments parmi le SAST, le DAST, le IAST et le SCA
  • Proposer au moins une capacité supplémentaire parmi celles auxquelles le périmètre d’étude s’est étendu
  • Avoir réalisé, sur 12 mois glissants, au moins 25 M$ de C. A. sur l’AST ; dont 20 millions en Amérique du Nord et/ou EMEA

Il y a aussi des critères propres aux différents compartiments de la protection. Entre autres :

  • SAST : prise en charge des principaux langages de programmation et plug-in pour Eclipse, IntelliJ IDEA ou Visual Studio
  • DAST : prise en charge des outils de scriptage et d’automatisation
  • IAST : prise en charge de Java et .NET
  • SCA : analyse des bibliothèques obsolètes
  • Conteneurs : intégration avec les registres
  • IaC : tests statiques et dynamiques
  • Fuzzing : prise en charge de C, C#, Java et Golang

AST : l’offre en avance sur la demande ?

Hormis l’invitation à négocier les prix, Gartner conseille aux entreprises d’élargir leur champ d’observation. En cause, la montée en puissance d’entreprises non spécialistes de l’AST. En partie grâce à des acquisitions. Par exemple :

  • GitHub avec Semmle (SAST) et Dependabot (SCA), achetés en 2019
  • GitLab avec Peach Tech (instrumentation) et Fuzzit (fuzzing), achetés en 2020
  • Cisco avec Portshift (sécurité des conteneurs ; 2020) et Palo Alto avec BridgeCrew (sécurité IaC ; 2021)

Chez les pure players aussi, on recourt à la croissance externe. Témoin Rapid7 avec Alcide et DivvyCloud (sécurité des conteneurs). Ou Snyk avec DeepCode (sécurité des applications cloud).

Comment se présente actuellement la demande ? Gartner la segmente en trois niveaux de maturité :

  • L’essentiel des utilisateurs d’AST en sont à la « phase initiale ». Ils s’orientent généralement d’abord vers le SAST et le SCA.
  • La phase « intermédiaire », marquée par l’adoption de métriques basées non plus sur la criticité, mais sur le niveau de risque. À ce stade, on tend à toucher au fuzzing, à la signature de code, au test des API et à l’orchestration de l’AST.
  • La phase « avancée », où on embraye sur l’IaC, les SPA (applications web monopages) et les CWPP (plates-formes de protection des workloads cloud)

Illustration principale © Shahadat Rahman – Unsplash

Recent Posts

Cloud : ce que l’alliance Euclidia demande à l’Europe

Pour Euclidia, la cybersécurité ne peut être l'unique réponse aux objectifs de confiance dans le…

6 heures ago

NegaOctet se concrétise : quels seront ses premiers usages ?

Le projet « green IT » NegaOctet a officiellement produit ses premiers livrables exploitables. Que…

12 heures ago

Nobelium : un parfum de SolarWinds en France

L'ANSSI attire l'attention sur des campagnes de phishing sévissant en France. Elle les attribue à…

13 heures ago

Hyperconvergence logicielle : la question du rapport qualité-prix

Les offres d'hyperconvergence logicielle dont le Magic Quadrant distingue l'exhaustivité n'apparaissent pas forcément comme les…

15 heures ago

Cinov Numérique : Emmanuelle Roux succède à Alain Assouline

Elue présidente de Cinov Numérique, Emmanuelle Roux affirme le rôle clé des PME de l'IT…

15 heures ago

AWS : une stratégie mainframe qui passe par Micro Focus

AWS lance, en phase expérimentale, un kit de migration mainframe-cloud qui repose sur des outils…

2 jours ago