Le Magic Quadrant du WAAP (protection des applications web et des API) a mis en lumière l’émergence de nouvelles typologies de déployées.
Finies les appareils électroménagers, place aux offres cloud ? Gartner n’est pas si catégorique dans son Magic Quadrant du WAAP (protection des applications web et des API). Le cabinet américain a néanmoins exclu les premières de son évaluation, pour ne prendre encore que les secondes. Qui, constate-t-il, domine désormais pour les nouveaux déployés en Europe et en Amérique du Nord.
Une prévision vient compléter ce tableau : d’ici à 2024, 70 % des organisations qui exploitent des applications Web en multicloud préféreront les WAAP cloud aux appareils électroménagers (et aux WAAP IaaS natifs).
La hiérarchie des offres n’évolue pas démesurément : les principaux fournisseurs d’appliances ont établi une « présence cloud » en s’appuyant sur les IaaS et les CDN. Aussi, le marché est globalement mature. Avec toutefois deux segments particulièrement dynamiques : la détection des bots et la protection des API. L’un et l’autre se caractérisent par une concurrence croissante de fournisseurs spécialisés.
Le apprentissage automatiqueun levier à saturation ?
De manière générale, chez les acteurs du WAAP, la protection des API manque encore de profondeur, constate Gartner. En particulier pour ce qui est de contextualiser les alertes. Quant au apprentissage automatiqueune certaine « lassitude » se dessine : pas d’améliorations notables d’une édition à l’autre du Magic Quadrant… et une certaine réponse dans la communication des offres.
Autre tendance émergente : le WAAP diffusé. On commence à voir apparaître – et pas forcément chez les leaders du marché – des options de déploiement sous forme d’agents, de conteneurs ou de side-cars Kubernetes. Autant d’architectures qui permettent de se rapprocher des applications. Le tout au prix d’un défi : centraliser la gestion. Et décider quelles fonctionnalités mettre en œuvre sur quelle couche.
Qu’attendre d’une offre WAAP en 2022 ? Pour Gartner, le cœur fonctionnel d’une solution doit comprendre au moins WAF (pare-feu applicatif), protection DDoS, gestion des bots et protection des API. Il a considéré le reste comme « optionnel » : sécurité DNS, CDN, gestion des accès, analyse de vulnérabilités…
Photo d’illustration © Andrea Danti – Shutterstock
