WAAP : qui se distingue dans la « cloudification » du marché ?

Magic Quadrant WAAP 2022

Pour la première fois, le Magic Quadrant du WAAP (protection des applications web et des API) ne tient compte que des offres cloud. Quels fournisseurs se détachent ?

Les services cloud et rien d’autre ? Gartner en a décidé ainsi pour évaluer les solutions WAAP (protection des applications web et des API). Dans son dernier Magic Quadrant dédié à ce segment de marché, il n’a effectivement pas tenu compte des offres délivrées sous la forme d’appliances. Le reflet du basculement des tendances d’achat.

Dans ce contexte, la hiérarchie des fournisseurs évolue sensiblement d’une année sur l’autre. On y retrouve les onze mêmes, mais, pour quatre d’entre, dans une autre case. Classé « visionnaire », ThreatX rétrograde en « acteur de niche ». Même destination pour F5 et Barracuda, qui étaient dans la catégorie « challengers ». Cloudflare, au contraire, progresse, de « challenger » à « leader ».

Les offreurs sont jugés sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre centré sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).

Sur l’axe « vision », les sociétés classées au Quadrant WAAP se placent dans cet ordre :

  Fournisseur Date de création
1 Akamai 2015
2 Imperva 2002
3 Radware 1997
4 Cloudflare 2009
5 Fastly 2011
6 ThreatX 2014
7 F5 1996
8 Barracuda 2003
9 Fortinet 2000
10 Amazon Web Services 2012
11 Microsoft 1975

Sur l’axe « exécution » :

  Fournisseur
1 Akamai
2 Cloudflare
3 Imperva
4 Amazon Web Services
5 Fastly
6 Microsoft
7 Radware
8 F5
9 Fortinet
10 Barracuda
11 ThreatX

Akamai tancé sur le pricing

Du côté d’Akamai, on a fusionné, fin 2021, les briques Web Application protection et Kona Site Defender. Il en a résulté l’offre App & API Protector. C’est là, affirme Gartner, le principal changement, depuis le Quadrant 2021, chez le fournisseur américain. Ce dernier a aussi ajouté une composante de protection contre la compromission de comptes, a mis à jour son moteur de sécurité et a inclus la prise en charge des déploiements Terraform.

Akamai a droit à un bon point sur l’exhaustivité de sa plate-forme. En particulier concernant le renseignement sur les menaces et son avance sur la concurrence dans le domaine de la protection des API. Appréciations favorables également sur le support et la protection DDoS.

On ne peut pas en dire autant sur les prix, qui ont tendance à détourner les prospects. Idem pour l’UI, jugée complexe, et le taux de faux positifs, qui reste élevé, notamment sur la détection des bots. Akamai ne se montre par ailleurs « pas toujours clair » sur la transition vers App & API Protector.

WAAP distribué : pas encore chez Cloudflare

Chez Cloudflare, l’offre WAAP cloud s’appelle Cloudflare WAP. Page Shield y ajoute la protection DDoS et côté client. La découverte d’API a récemment fait son entrée, tout comme une fonctionnalité semi-automatique de rate limiting (contrôle du trafic réseau).

Comme Akamai, Cloudflare a droit à un bon point en matière de renseignement sur les menaces ; un volet renforcé par l’acquisition d’Area1 Security. Gartner salue aussi ses écosystèmes de partenaires distributeurs et technologiques. Ainsi que la disponibilité de fonctionnalités SSE (Secure Service Edge).

Moins positif est le service après-vente. Même chose pour l’UI et pour les options de déploiement, limitées à du « pur cloud » : pas d’agent, de sidecar Kubernetes ou de WAAP conteneurisé. Gartner constate en outre la tendance des clients à déplorer des outils de reporting « basiques » et le manque de fonctions natives de réponse aux incidents.

Imperva : du retard sur l’infrastructure

Chez Imperva, le WAAP cloud se trouve dans un portefeuille « Anywhere » qui inclut aussi une passerelle WAAP, une brique de protection des bases de données (Data Security) et d’autres services dont de la sécurité DNS. Parmi les derniers ajouts : une amélioration du CDN et des fonctions de cache, ainsi que la prise en charge des HSM externes.

La protection des bases de données, additionnée aux capacités d’autoprotection des apps à l’exécution, vaut un bon point à Imperva. Le fournisseur californien se distingue aussi sur la détection des compromissions de comptes et l’analyse d’événements, fondée sur de multiples approches d’apprentissage automatique. Plus globalement, Gartner salue la maturité de ses solutions, qui « offrent, d’origine, une bonne protection ».

Il y a, en revanche, des pistes d’amélioration de l’expérience client : prise en charge tardive de TLS 1.3, pas de SSO pour les apps en back-end, gestion des certificats à parfaire, etc. Idem sur la partie infrastructure : les points de présence sont parfois limités face à la concurrence. À noter aussi l’absence d’option WAAP conteneurisé, même s’il est possible de déployer en sidecar.

Photo d’illustration © valerybrozhinsky – Adobe Stock