maxkabakov - Fotolia

Le pare-feu applicatif Web, un marché en pleine évolution

Aujourd’hui largement dominé par les appliances déployées en local, le marché du WAF suit la tendance plus générale de l’adoption du cloud, étendant au passage son périmètre fonctionnel pour s’adapter à l’évolution des besoins.

Cet article se trouve également dans ce contenu premium en téléchargement : Information Sécurité: Information sécurité 10 : Le WAF à l’heure des DevOps

Le marché des pare-feux d’applications Web (WAF) change. Quatre analystes du cabinet Gartner le soulignaient début septembre 2018 : ce marché croît, mais c’est moins le fait de nouveaux déploiements en local que celui de l’adoption des services de WAF en mode cloud.

Selon le cabinet, l’an prochain, les appliances en local devraient représenter moins de 20 % des nouveaux déploiements, contre 35 % l’an dernier. L’adoption croissante de l’IaaS pour la production de services et applications Web – ou de micro-services – n’y est pas pour rien comme le traduit une autre perspective : à l’horizon 2023, plus de 30 % des applications Web ouvertes publiquement seront protégées par des services de protection d’applications Web et d’API (contre 10 % aujourd’hui).

Selon Gartner on peut regrouper ces services sous l’acronyme WAAP, pour Web Application and API Protection.

Ces services doivent recouvrir la protection contre les attaques en déni de service distribué (DDoS), la lutte contre les automates (bots) malicieux, la protection des API et le WAF traditionnel.

En route vers le cloud

Le virage vers le cloud est bien engagé, même si tous les acteurs du secteur ne présentent pas le même niveau d’avancement en la matière. Naturellement, Amazon, Microsoft et Oracle – avec le rachat de Zenedge en février 2018 – proposent leur solution de WAF pour leurs IaaS respectifs. Mais ils sont loin d’être les seuls et leurs places de marché fourmillent d’offres.

Ainsi, pour les déploiements sur Azure, AWS ou Google Cloud Platform, il est possible de choisir entre A10 Networks, Avi Networks, Barracuda Networks, Check Point, F5, Fortinet, Imperva, Nginx – récemment racheté par F5 –, ou encore Qualys. Certains vont plus loin, Check Point et Fortinet supportant en prime les déploiements sur l’IaaS d’Oracle, OCI.

Mais d’autres sont moins avancés, comme Radware, qui se contente d’Azure, ou Rohde & Schwarz (anciennement DenyAll), qui se limite à AWS et Azure. Citrix, dont le WAF est un composant de Netscaler ADC, est déployable sur Azure, AWS et Softlayer.

Et puis il faut compter avec ceux qui jouent la carte du WAF en mode service, en plus pour certains de services historiques de fourniture de contenus, comme Akamai, Cloudflare, Cloudfront, Instart Logic, ou encore Limelight Networks. Mais à ces ceux-ci, il faut ajouter Fortinet, Imperva avec Incapsula, Rohde & Schwarz, ou encore Sucuri.

Radware joue la carte de l’approche hybride plus que du pur service et F5 prépare son offre.

Un périmètre fonctionnel en mutation

Dans l’édition 2018 de son quadrant magique consacré au WAF, Gartner soulignait l’effervescence de marchés « adjacents », traitant la sécurité applicative sous un angle différent. La complémentarité des approches n’a d’ailleurs pas échappé à certains.

Ainsi, Imperva s’est offert Prevoty, en juillet 2018. Cette jeune pousse avait développé une technologie visant à bloquer les injections SQL en interceptant les requêtes au niveau de connecteur de base de données et appliquant la théorie des langages à leur analyse.

A l’automne dernier, Rapid7, spécialiste de la gestion des vulnérabilités, a annoncé le rachat de tCell, un spécialiste de la gestion des menaces visant les applications et dont l’approche peut rappeler celle de Prevoty, mais également celle du Français Sqreen. Ce dernier a d’ailleurs tout récemment levé 14 M$ pour accélérer son développement outre-Atlantique.

Distil Networks et PerimeterX se spécialisent quant à eux dans la lutte contre les bots malicieux quand Signal Sciences combine WAF et auto-protection applicative à l’exécution (RASP). Dans ce dernier domaine, on relèvera d’ailleurs également l’entrée de VMware, début mars, avec son pare-feu applicatif visant à limiter la surface d’attaque exposée en interne par les micro-services applicatifs.

Pour approfondir sur Gestion de la sécurité

- ANNONCES GOOGLE

Close