Cybersécurité Data

Synthèse Etude FORRESTER Firewalls – Q1 2020

La recherche de Forrester a identifié les dix principaux pare-feu web ou Web Application Firewall (WAF), pour aider les professionnels de la sécurité à choisir celui qui répond le mieux à leurs besoins en sécurité IT.

L’évaluation Forrester Wave met en évidence :

  • Les leaders du marché
  • Les plus performants
  • Les concurrents
  • Les Challengers

Les challengers. Il s’agit d’une évaluation des meilleurs vendeurs du marché et ne représente pas l’ensemble du landscape des vendeurs. Les fournisseurs inclus à cette étude ont un outil WAF complet, pouvant répondre a des niveau de sécurité dont ont besoin les compte de type « Enterprise » donc au delà des besoins de PME ou TPE,  avec des revenues >10 millions de dollars.

Les fournisseurs sont évalués en fonction de 33 critères, que Forrester regroupe ainsi :

  • Offre actuelle. La position de chaque fournisseur sur l’axe vertical du graphique Forrester Wave indique la puissance de son offre actuelle. Les critères clés de ces solutions comprennent :
    • l’attaque
    • détection
    • réponse aux attaques
    • interface de gestion
    • protection contre les attaques « zero-day »
    • les rapports
    • analyse des indicateurs  ; et des
    • boucles de rétroaction avec le développeur,
    • SecOps, et des
    • outils d’analyse de pré-lancement.

 

  • Stratégie. Le placement sur l’axe horizontal indique la puissance des stratégies des fournisseurs. Forrester à évalué :
    • La stratégie de produit
    • L’approche du marché
    • La feuille de route d’exécution
    • La formation
    • La communauté
    • Les performances

Les Présence sur le marché. Représentée par la taille des marqueurs sur le graphique, notre présence sur le marché. Les scores reflètent la base installée et les revenus de chaque fournisseur.

Le graphique suivant montre les résultats :

Forrester - WAF - 2020
Forrester – WAF – 2020

 

  • On peut voir que Akamai Technologies et Imperva Cloud WAF sont en tête du peloton,
  • Radware, Barracuda Networks, et F5 Advanced WAF sont très performants ;
  • Imperva WAF Gateway, F5 Silverline, Amazon Web Services et Alibaba Cloud sont de gros challengers ;
  • Quand Microsoft, Cloudflare et Rohde & Schwarz Cybersecurity sont des challengers.

Les WAF restent une technologie fondamentale pour la protection de la sécurité des applications, mais les exigences des clients ont changé. Les clients s’attendent à ce que les WAF offrent une protection contre un spectre toujours plus large d’attaques d’applications, y compris les attaques basées sur les API, les attaques côté client et même les bots. En outre, l’adoption de la technologie DevSecOps (Development, Security and Operations) signifie que les WAF doivent s’intégrer au reste de l’infrastructure de développement et de sécurité des applications et aider les responsables de la sécurité à identifier rapidement les menaces pesant sur les applications et à y répondre. Les organisations attendent davantage de leurs fournisseurs de WAF – et le degré de retour négatif des références fournies par les fournisseurs dans cette Forrester Wave nous avertit que, à moins que les fournisseurs ne s’adaptent, le marché des WAF est mûr pour une perturbation.

Les clients du WAF devraient rechercher des fournisseurs qui :

  • Vont au-delà des protections traditionnelles du WAF.
  • Offrent des renseignements enrichis sur les menaces.
  • S’intègrent nativement au cycle de développement des logiciels (Devops Security ).

Concernant les grands challengers Baracuda et Alibaba Cloud Waf nous paraissent être les meilleurs challengers pour entrer dans le duo de têter cette année.

 

Alibaba Cloud WAF

Alibaba Cloud WAF tire parti de la présence d’Alibaba Cloud sur les marchés chinois et asiatique. Alors que
Alibaba Cloud WAF a été principalement une offre Cloud en Chine et disponible à Alibaba Cloud
l’entreprise se développe en Asie du Sud-Est et prévoit de s’attaquer au problème du cloud hybride
par le biais d’options de déploiement avec d’autres Cloud publics ou on-prem. Alibaba Cloud offre une assitance 24Hx7J/7
aux clients sur la plate-forme de communication et de collaboration Dingtalk.

La Roadmap d’Alibaba Cloud souligne que la sécurité de l’API est une priorité absolue, s’alignant ainsi sur la stratégie de de cette étude Forrester. Les API ont également été un thèmatique très abordé par les clients qui ont demandé de la protection sur les API et des SDK mobiles. Alibaba Cloud WAF a fait l’objet de peu de plaintes de la part de ses clients , et
a donné de bons résultats quant à la détection des attaques et à la défense contre les attaques de type « zero-day ».
Alibaba Cloud WAF est une bonne option pour les clients qui veulent un acteur de premier plan en Chine et en Asie, pour les clients qui mettent la priorité à une équipe de service réactive.

Barracuda Networks

Barracuda Networks offre une gamme d’options de déploiement. Barracuda WAF est disponible sous forme d’une appliance virtuelle ou un pare-feu CloudGen pour AWS, Azure et Google.

Cloud Barracuda utilise le même moteur WAF, avec une UI intégrée, comme base de son WAF-as-service
Barracuda WAF s’intègre pleinement avec le service de remédiation de la vulnérabilité de Barracuda, qui scanne la demande et alimente les règles des modifications apportées au WAF sur la base des données de vulnérabilité qui en résultent.
Barracuda a investi dans la sécurité des API, y compris les playload JSON et l’importation de fichiers via YAML. Les clients de référence de Barracuda ont fait l’éloge du WAF est une très belle offre avec un bon rapport qualité-prix, ils ont apprécié la facilité d’utilisation. Les principales critiques ont porté sur les renseignements sur les menaces internes et les boucles de rétroaction. Les clients ont aussi souhaité « une meilleure centralisation de l’enregistrement ». Étant donné que l’entreprise se concentre sur les produits CloudGen et SaaS WAF, les clients à la recherche d’une option de déploiement de cloud public
devrait privilégier la solution Barracuda.

 

Ecrire un commentaire