Très bonne nouvelle pour les pentesters et sociétés de services qui proposent ce type de services : le marché global des tests d’intrusion se porte très bien ! Bien que les tests d’intrusion soient un marché de niche, la croissance est au rendez-vous du fait des nombreuses attaques et de la sophistication de ces dernières.
Valorisation et croissance prévue
Les chiffres varient suivant les cabinets d’analystes, mais tous vont dans le même sens : le marché globale du test d’intrusion est en croissance et va le rester ces prochaines années. Nous avons compilé les prévisions de plusieurs cabinets spécialisés afin d’avoir la vision la plus exhaustive possible, et les résultats sont les suivants :
| Analyste | Valorisation (milliards de $ USD) | Taux de croissance annuelle prévu | Commentaire |
|---|---|---|---|
| Verified Market Research | 1.39 (2020) | 24% | Valorisation prévue à 7.79 milliards en 2028 |
| QuadIntel | 1.51 (2021) | 12.1% | Valorisation prévue à 4.1 milliards en 2030 |
| ResearchAndMarkets | 1.1 (2020) | 20.7% | Valorisation prévue à 4.1 milliards en 2027 |
| Market Research Future | ? | 13.5% | Valorisation prévue à 8.13 milliards en 2030 |
| Mordor Intelligence | 0.58 (2020) | 24.3% | |
| Polaris Market Research | 1.62 (2021) | 13.9% | Valorisation prévue à 4.84 milliards en 2030 |
Certes, il y a des divergences. Cependant, la croissance est importante dans toutes les études menées par ces cabinets.
En moyenne, la valorisation estimée en 2020/2021 est de 1.24 milliards de dollars, et la croissance prévue pour ces prochaines années est de 18% par an. Le marché du test d’intrusion est donc dans un bon “trend” haussier, avec une croissance régulière au fil des années.
Les raisons invoquées de cette croissance sont diverses. Les plus citées par les analystes sont les suivantes :
- La croissance des cyber-attaques et l’émergence de nouvelles menaces ;
- Les aspects juridiques (SOX, SOC2, PCI-DSS, GDPR, etc.) qui responsabilisent les entreprises de façon croissante ;
- La croissance des applications mobiles et web, ainsi que les applications cloud ;
- La digitalisation progressive des pays émergents ;
- L’IoT ou les objets connectés.
Segmentation géographique du marché
Du point de vue géographique, cette croissance est tirée essentiellement par les États-Unis, pays qui possède la plus forte valorisation du marché du pentest.
Pour chaque zone géographique, les prévisions de croissance sont positives, y compris en Europe.
Les analystes s’accordent pour dire que l’Asie-Pacifique aura probablement le taux de croissance le plus élevé ces prochaines années, du fait de la croissance du secteur informatique (IT) et des législations associées. En Inde par exemple, étant donné que le gouvernement supporte officiellement les entreprises du secteur informatique, la demande pour les tests d’intrusion augmenteront inévitablement.
En Europe, la demande est notamment tirée par la réglementation et les standards associés. A tire d’exemple, la GDPR (General Data Protection Regulation) ne mentionne pas directement la nécessité de réaliser des tests d’intrusion, mais elle impose la mise-en-place d’un processus d’évaluation de la sécurité, que ce soit au niveau technique ou organisationnel. L’article 32 mentionne en effet que le responsable du traitement doit mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris un processus de “test” :
d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Alinéa (d) de l’article 32 de la GDPR
Par ailleurs, étant donné que les manquements à la sécurité peuvent faire l’objet de fortes amendes, il est évident que la GDPR contribue à la croissance des tests d’intrusion en Europe.
D’un point de vue des secteurs d’activité, la demande émane principalement du secteur de la Finance (Banque, services financiers et Assurances, en anglais BFSI pour Banking, Financial Services and Insurances) et du secteur Telecom.
Tendances et opportunités du marché du pentest
Les tendances présentes et futures du marché du test d’intrusion sont nombreuses. La plupart des études citent les tendances suivantes.
Le test d’intrusion « as-a-service » (PTaaS)
Un des problèmes des tests d’intrusion traditionnels est de ne pas pouvoir être effectués en “continue”. Ils ont lieu une ou deux fois par an sur une infrastructure donnée, du fait de leur coût. Afin de pallier à ce problème, de nouvelles offres sont commercialisées visant à détecter rapidement (voire en temps réel) toute vulnérabilité. C’est ce qu’on appelle les PTaaS (Penetration Testing as a Service), c’est-à-dire des platformes cloud qui peuvent “scanner” une infrastructure en permanence pour y détecter les vulnérabilités.
Bien entendu, les puristes diront avec raison qu’il ne s’agit pas vraiment d’un test d’intrusion, mais plutôt d’un scan de vulnérabilités. Néanmoins, il s’agit d’une tendance soutenue, et peut-être également d’un danger pour les “pentesters à l’ancienne”, car la tentation sera forte, pour une entreprise, de se reposer sur ces plateformes uniquement et de ne plus faire de test d’intrusion “manuel”.
L’intégration de l’ intelligence artificielle dans les tests d’intrusion
L’intelligence articielle (IA) s’intègre progressivement aussi bien du côté des cybercriminels que des solutions de sécurité. Il s’agit d’une démarche globale d’automatisation, que ce soit des attaques ou des mesures défensives, et la plupart des entreprises pensent désormais que l’IA ou le Machine Learning (ML) sont désormais nécessaires pour contrer les attaques ou réduire les risques de compromission.
L’IoT et les applications web & mobiles
Les objets connectés (Internet of Things ou IoT) sont un nouveau champs de bataille pour les cybercriminels. La sécurité y a été pendant longtemps négligée, mais ils tirent désormais la demande vers le haut du fait de leur généralisation à la vie courante.
Les applications web & mobiles sont également de plus en plus complexes, et nécessitent un haut niveau d’expertise pour être testées. La croissance du marché du test d’intrusion sur les applications mobiles est par exemple attendue à 20.8% par ResearchAndMarkets. En tant que pentester, il peut être bénéfique de se spécialiser dans les applications web et mobiles car la demande sera certainement soutenue ces prochaines années.
Le DevSecOps
Le DevSecOps vise à intégrer la sécurité dans les cycles de développement logiciels (DevOps) en suivant une approche Agile. A chaque itération et avant la mise en production, un test d’intrusion (automatique ou manuel) est effectué pour détecter toute vulnérabilité en amont, et non plus en aval comme un test d’intrusion classique.
Les acteurs globaux du test d’intrusion
D’après les analystes, le marché du test d’intrusion est en phase intermédiaire de concentration. Initialement, le marché était très fragmenté sur de multiples petits acteurs. Désormais, la tendance est à la concentration de manière globale. On l’a vu également en France, avec par exemple le rachat de la société Lexsi par Orange en 2016.
Les acteurs clés les plus cités au niveau global sont les suivants : IBM, Rapid7., FireEye, Veracode, Broadcom (plus connu sous le nom de Symantec), Qualys, Acunetix, Trustwave, WhiteHat Security, Hewlett Packard, Checkmarx, Offensive Security Services, HackerOne, Port Swigger, Secureworks, Vumetric Cybersecurity, Core Security, etc.
Le facteur limitant de la croissance du marché
La plupart des analystes soulignent que le principal facteur limitant du marché du test d’intrusion est le manque de ressources suffisamment qualifiées pour répondre à la demande, ce qui tire les prix de ces prestations vers le haut.
Comme le souligne DataM Intelligence, un test d’intrusion peut aller de US $4000 (pour une infrastructure simple) à plus de US $100.000 pour une infrastructure plus complexe. Ces coûts induisent de facto une limitation du nombre de tests effectués par les entreprises, ce qui limite la croissance du marché.
C’est aussi la raison pour laquelle les entreprises se reposent également sur le scan automatique de vulnérabilités. Ces derniers permettent de réduire les risques – sans toutefois offrir le même niveau d’expertise qu’un vrai test d’intrusion – tout en réduisant les coûts.
