Pour la première fois, le Magic Quadrant du WAAP (protection des applications web et des API) ne tient compte que des offres cloud. Quels fournisseurs se détachent ?
Les services cloud et rien d’autre ? Gartner en a décidé ainsi pour évaluer les solutions WAAP (protection des applications web et des API). Dans son dernier Magic Quadrant dédié à ce segment de marché, il n’a effectivement pas tenu compte des offres délivrées sous la forme d’appareils électroménagers. Le reflet du basculement des tendances d’achat.
Dans ce contexte, la hiérarchie des fournisseurs correspond à une année sur l’autre. On y retrouve les onze mêmes, mais, pour quatre d’entre, dans une autre case. Classé « visionnaire », ThreatX rétrograde en « acteur de niche ». Même destination pour F5 et Barracuda, qui étaient dans la catégorie « challengers ». Cloudflare, au contraire, progresse, de « challenger » à « leader ».
Les offreurs sont jugés sur deux axes. L’un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre centrée sur la capacité à répondre efficacement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services…).
Sur l’axe « vision », les sociétés classées au Quadrant WAAP se placent dans cet ordre :
Fournisseur | Date de création | |
1 | Akamaï | 2015 |
2 | Imperva | 2002 |
3 | Radware | 1997 |
4 | Nuageux | 2009 |
5 | Rapidement | 2011 |
6 | MenaceX | 2014 |
sept | F5 | 1996 |
8 | Barracuda | 2003 |
9 | Fortinet | 2000 |
dix | Services Web Amazon | 2012 |
11 | Microsoft | 1975 |
Sur l’axe « exécution » :
Fournisseur | |
1 | Akamaï |
2 | Nuageux |
3 | Imperva |
4 | Services Web Amazon |
5 | Rapidement |
6 | Microsoft |
sept | Radware |
8 | F5 |
9 | Fortinet |
dix | Barracuda |
11 | MenaceX |
Akamai tancé sur le tarification
Du côté d’Akamaï, sur une fusionné, fin 2021, les briques Web Application protection et Kona Site Defender. Il en a résulté l’offre App & API Protector. C’est là, affirme Gartner, le principal changement, depuis le Quadrant 2021, chez le fournisseur américain. Ce dernier a également ajouté une composante de protection contre la compromission de comptes, mis à jour son moteur de sécurité et inclus la prise en charge des déploiements Terraform.
Akamai a droit à un bon point sur l’exhaustivité de sa plate-forme. En particulier concernant le renseignement sur les menaces et son avance sur la concurrence dans le domaine de la protection des API. Appréciations favorables également sur le support et la protection DDoS.
On ne peut pas en dire autant sur les prix, qui ont tendance à détourner les prospects. Idem pour l’UI, jugé complexe, et le taux de faux positifs, qui reste élevé, notamment sur la détection des bots. Akamai ne se montre par ailleurs « pas toujours clair » sur la transition vers App & API Protector.
WAAP distribué : pas encore chez Cloudflare
Chez Nuageux, l’offre WAAP cloud s’appelle Cloudflare WAP. Page Shield y ajoute la protection DDoS et côté client. La découverte d’API a récemment fait son entrée, tout comme une fonctionnalité semi-automatique de limitation de débit (contrôle du trafic réseau).
Comme Akamai, Cloudflare a droit à un bon point en matière de renseignement sur les menaces ; un volet renforcé par l’acquisition d’Area1 Security. Gartner salue aussi ses écosystèmes de partenaires distributeurs et technologiques. Ainsi que la disponibilité des fonctionnalités SSE (Secure Service Edge).
Moins positif est le service après-vente. Même chose pour l’UI et pour les options de déploiement, limitées à du « pur cloud » : pas d’agent, de side-car Kubernetes ou de WAAP conteneurisé. Gartner constate en outre la tendance des clients à déplorer des outils de reporting « basiques » et le manque de fonctions natives de réponse aux incidents.
Imperva : du retard sur l’infrastructure
Chez Imperva, le cloud WAAP se trouve dans un portefeuille « Anywhere » qui inclut aussi une passerelle WAAP, une brique de protection des bases de données (Data Security) et d’autres services dont de la sécurité DNS. Parmi les derniers ajouts : une amélioration du CDN et des fonctions de cache, ainsi que la prise en charge des HSM externes.
La protection des bases de données, ajoutée aux capacités d’autoprotection des applications à l’exécution, vaut un bon point à Imperva. Le fournisseur californien se distingue également sur la détection des compromissions de comptes et l’analyse d’événements, fondée sur de multiples approches d’apprentissage automatique. Plus globalement, Gartner salue la maturité de ses solutions, qui « permet, d’origine, une bonne protection ».
Il y a, en revanche, des pistes d’amélioration de l’expérience client : prise en charge tardive de TLS 1.3, pas de SSO pour les apps en back-endgestion des certificats à parfaire, etc. Idem sur la partie infrastructure : les points de présence sont parfois limités face à la concurrence. À noter aussi l’absence d’option WAAP conteneurisé, même s’il est possible de répondre en side-car.
Photo d’illustration © valerybrozhinsky – Adobe Stock