Le premier Magic Quadrant WAF de Gartner est un bon antidote

Ce qui est le plus satisfaisant est de voir reconnue la capacité des fournisseurs WAF à délivrer une solution adaptée aux besoins actuels. Nous répétons régulièrement que nous « aidons les entreprises à tirer pleinement partie de la promesse d’un monde hyper-connecté. » Ce qui signifie concrètement que nous protégeons les entreprises de tous les types de pirates, fraudeurs et autres acteurs de la menace, afin qu’elles puissent mener à bien leur commerce en ligne, en toute sécurité. Comme toute chose, le e-business a ses avantages et ses inconvénients. Mais je crois qu’il a une influence positive dans le monde actuel.

Imperva est seul leader du Magic Quadrant.

L’une des choses les plus frustrantes, est de voir une entreprise nous appeler après avoir été compromise et comprendre après-coup qu’elle l’a été à cause de sa solution de sécurité réseau (soit un son système de prévention des intrusions, soit via son pare-feu de nouvelle génération) censée prévenir les attaques (presque toujours par injection SQL) visant les applications web. Nous avons même constaté que des entreprises nous contactaient à la suite de leur seconde violation seulement car la « solution » qu’elles avaient acquise (souvent un IPS) à la suite de leur premier incident n’avait pas résolu le problème. Dans tous les cas je peux réaffirmer que notre WAF (et probablement les produits de nos concurrents, d’ailleurs) aurait été en mesure de stopper l’attaque avec une simple politique par défaut.

Peu de temps après avoir rejoins Imperva, j’ai fait équipe avec des collègues de Teros (désormais filiale de Citrix), NetContinuum (de Barracuda), et F5 pour challenger les grands acteurs de la sécurité réseau et prouver leur responsabilité quant à la protection des applications Web contre les attaques. Nous avons travaillé avec l’ICSA sur un ensemble de critères et un dispositif de test (qui était le prototype pour la certification ICSA des WAFs). Aucun des acteurs de la sécurité du réseau n’a relevé le défi, préférant persister dans la croyance erronée que leurs clients étaient bien protégés. Pire encore, je pense que beaucoup de professionnels de la sécurité ont ignoré nos recommandations ayant été conditionnés au fil du temps à être sceptique vis a vis des affirmations des fournisseurs. Le résultat n’a été que plus frustrant… Puisque les entreprises nous contactent à la suite d’une attaque qui aurait pu être facilement évitée si le client avait compris la différence entre IPS ou pare-feu de nouvelle génération et un pare-feu applicatif web.

Je considère donc ce Quadrant comme un possible antidote. Gartner étant indépendant, il n’a aucun intérêt dans le choix d’un WAF plutôt qu’un IPS et NGFW. Son opinion est donc plus facilement acceptée par les professionnels de la sécurité. Et Gartner est plutôt clair sur ce sujet.

Dans un récent article Web Application Firewalls Are Worth the Investment for Enterprises (Jeremy D’Hoinne, Adam Hils. Gartner, Inc., 28 February 2014) on pouvait lire que « les pare-feu réseaux ainsi que les systèmes de prévention d’intrusion ne délivrent pas suffisamment de garanties pour la plupart des sites web publics ou pour les applications web critiques et personnalisés des entreprises ».

Dans le rapport Magic Quadrant for Enterprise Network Firewalls. (Greg Young, Adam Hils, and Jeremy D’Hoinne. Gartner, Inc., April 2014) on peut également noter que : « les pare-feu applicatifs Web et les pare-feu de prochaine génération sont deux technologies différentes orientées sur la résolution de deux problèmes distincts.”

J’ai beaucoup d’espoir car des rapports comme ceux-là et le Magic Quadrant, vont permettre aux professionnels de la sécurité de se rendre compte que les produits de sécurité réseau existants ne protègent pas contre les attaques d’applications web. Et qu’au lieu d’être contacté à la suite d’une violation, Imperva et d’autres fournisseurs de WAF pourront avoir une chance de protéger les entreprises plus efficacement.