Sécurité applicative : trouver le juste prix reste difficile

À la recherche d’une solution d’AST (tests de sécurité des applications) ? Vu la forte demande, préparez-vous à négocier les prix. Gartner fait la remarque dans son Magic Quadrant consacré à ce segment de marché.

Le cabinet américain avait déjà mis cet aspect en avant dans l’édition 2021 de ce même Quadrant. Que leur tarification fût complexe, élevée ou les deux, aucun des cinq fournisseurs alors positionnés comme « leaders » n’avait eu droit à un bon point.

Deux ans plus tard, trois de ces cinq fournisseurs sont encore dans le carré des « leaders ». Nommément, Synopsys, Checkmarx et Veracode. Micro Focus, HCL Software et Checkmarx. HCL a rétrogradé chez les « challengers ». Micro Focus est passé dans le giron d’OpenText (acquisition finalisée en janvier 2023).

De multiples autres rapprochements ont eu lieu dernièrement. Snyk, par exemple, a acquis Fugue (CSPM) et Topcoat (analytics). Synopsys a acheté WhiteHat Security (DAST) à NTT. Veracode s’est emparé de Jaroona (remédiation à base d’IA). Micro Focus lui-même avait, avant de se vendre à OpenText, mis la main sur Debricked (sécurité de la supply chain logicielle).

Gartner évalue le marché à 3,4 milliards de dollars en 2022 (+27 % d’une année sur l’autre). Plus des deux tiers de la valeur (68 %) sont générés aux États-Unis.

Le DAST toujours facultatif pour Gartner

Fonctionnellement parlant, les critères d’inclusion au Quadrant ont peu évolué par rapport aux éditions précédentes. Les deux seules capacités jugées indispensables sont le SAST (analyse statique) et le SCA (analyse de composition logicielle). Le DAST (analyse dynamique) et l’IAST (analyse interactive) restent facultatifs, comme, entre autres, l’analyse de l’IaC, des conteneurs, des API, ainsi que le fuzzing.

Sur la partie business, il fallait satisfaire, au 1er novembre 2022, à au moins une des trois options suivantes :

100 M$ de revenus AST sur les 12 mois écoulés
20 M$ de revenus dont au moins 20 % sur une même région géographique ET une place dans le top 20 en matière de momentum (forme d’indice de notoriété que Gartner évalue essentiellement à partir des demandes qui lui sont faites)
20 M$ de revenus et une place dans le top 10 en matière de momentum

Les fournisseurs sont évalués sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre centré sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).

La situation sur l’axe « vision » :

Sur l’axe « exécution » :

Mend.io (ex-WhiteSource) fait son entrée au Quadrant à la faveur de deux acquisitions (Xanitizer et DefenseCode) qui lui ont permis de se positionner sur le SAST. Autre nouveau venu : Sonatype. À l’inverse, Invicti, Rapid7 et Data Theorem sortent.

Checkmarx, OpenText : un pricing AST complexe

En plus de sa tarification « complexe » malgré le lancement d’une édition Developer, Checkmarx ne se distingue pas sur la qualité de son support le week-end, souligne Gartner. Ni sur la facilité de mise en place et de configuration.
L’éditeur israélien se distingue positivement sur les services apportés aux développeurs. Que ce soit avec son DevHub (qui fournit des infos sur les vulnérabilités dans les briques open source et des suggestions de remédiation) ou son niveau d’intégration des dépôts. Bon point également sur le DAST, même si fourni par un tiers (Invicti).

Même remarque sur la tarification « complexe » pour OpenText. L’UX est un autre point faible. Gartner invite aussi à surveiller la stabilité des roadmaps et du support en conséquence de l’acquisition de Micro Focus.
En fait d’acquisitions, celle de Debricked par Micro Focus, alliée à l’extension du partenariat avec Sonatype, a musclé les capacités de SCA et de gestion de la chaîne d’approvisionnement logicielle. La flexibilité du déploiement des solutions d’OpenText est un autre point fort, comme le machine learning dans le cadre de la brique Open Source Select.

Snyk et Synopsys distingués sur l’intégration aux outils de développement

Chez Snyk, pas de mauvais point sur le pricing, mais des options de personnalisation limitées pour le reporting. Gartner souligne l’absence de brique DAST en propre (partenariats avec Rapid7) et StackHawk. Idem pour l’IAST et le fuzzing.
Comme OpenText, Snyk se distingue sur l’intégration avec les outils de développement. Gartner salue aussi la qualité de la prise en charge des applications cloud et de la base de données de vulnérabiltiés – ainsi que de la remédiation automatisée.

Synopsys n’échappe pas au mauvais point sur la complexité du pricing. L’UI n’est pas non plus son fort. Certains de ses produits n’avaient par ailleurs, au moment des relevés, par encore de version SaaS (le SAST Coverity, la génération de SBOM et l’analyse de posture de sécurité applicative).
La brique orchestration, portée par l’acquisition de CodeDx en 2021, vaut au contraire un bon point à Synopsys. Même chose pour l’AST cloud Polaris (qui combine SAST et SCA). Et pour l’intégration renforcée dans les flux DevOps, avec l’extension du support de GitHub, GitLab et Artifactory.

Chez Veracode, la prise en charge de l’IaC est limitée (pas de détection des dérives de configuration, notamment). Tout comme la brique SBOM (pas d’attestation dans le cadre de décisions automatisées). L’UI peut en outre manquer de fluidité lorsqu’on uploade de gros fichiers à analyser.
Veracode a pour lui son support dédié pour la région Europe. Ainsi que la possibilité qu’il donne à ses utilisateurs de benchmarker leurs programmes AST par rapport à ceux de leurs pairs.

Photo d’illustration © Shahadat Rahman – Unsplash