Comparatif des prix des logiciels DAST : Burp Suite, Nessus et autres
Avec plus de 20 outils DAST disponibles sur le marché, choisir le plus adapté peut s'avérer complexe compte tenu de leurs fonctionnalités et tarifs variés. Nous avons compilé les informations publiques sur les stratégies tarifaires des fournisseurs, vous permettant ainsi d'obtenir facilement une vue d'ensemble et d'estimer les coûts probables.
Meilleurs prix des logiciels DAST
Fournisseurs | Essai gratuit | Prix |
|---|---|---|
InsightVM Rapid7 | ✅ (30 jours) | La tarification est basée sur les actifs (au moins 512 actifs). |
Suite PortSwigger Burp | ✅ | Édition communautaire : gratuite Édition professionnelle : 449 $/personne/an. Édition Entreprise : Non partagée publiquement |
Nessus tenable | ✅ (7 jours) | De 4 390 $ à 6 390 $ par an |
NowSecure | ✅ | Non partagé publiquement |
Indusface ÉTAIT | ✅ (14 jours) | Il existe un forfait Avancé, au prix de 59 $ par mois. Les forfaits Premium et MSSP sont facturés annuellement sur mesure. |
Évaluation du contraste | ❌ | Non partagé publiquement |
Checkmarx DAST | ❌ | Non partagé publiquement |
HCL AppScan | ✅ (30 jours) | Non partagé publiquement |
Les éléments suivants sont importants à prendre en compte en matière de tarification :
- Niveau de fonctionnalités : les fournisseurs segmentent généralement leurs produits en niveaux selon leurs capacités. Nessus Pro et Nessus Expert de Tenable partagent le même moteur d’analyse, mais seul Expert propose en plus l’analyse des applications web et l’analyse de la surface d’attaque externe, ce qui explique son prix supérieur d’environ 2 000 $ par an.
- Modèle de licence : Certains outils facturent par utilisateur et par an (Burp Suite Professional), d’autres par ressource (InsightVM). La tarification au nombre de ressources, comme celle de Rapid7, réduit le coût unitaire pour les volumes importants, ce qui avantage les grandes entreprises mais représente un coût minimum élevé pour les petites équipes.
- Niveaux gratuits : Burp Suite Community et Indusface WAS offrent tous deux des points d’entrée gratuits, mais avec des lacunes importantes en matière de fonctionnalités : Community ne propose aucune analyse automatisée, tandis que le niveau gratuit d’Indusface limite la fréquence d’analyse et supprime la prise en charge.
Nessus tenable
Tenable Nessus propose deux outils DAST : Nessus Pro et Nessus Expert. Chacun est disponible par abonnement annuel, mais ils diffèrent en termes de coût et de fonctionnalités. Si Nessus Pro est moins cher, il offre moins de fonctionnalités que la version Expert.
Nessus Professional est proposé au prix de 4 390 $ aux États-Unis. Il inclut un nombre illimité d'évaluations de vulnérabilité informatique, d'audits de configuration, d'analyses de conformité et de notations de vulnérabilité, mais exclut l'analyse des applications web et la découverte de la surface d'attaque externe.
Nessus Expert est proposé au prix de 6 390 $ aux États-Unis. Il ajoute l'analyse des applications web, la découverte de la surface d'attaque externe et l'analyse IaC aux fonctionnalités de la version Pro. Les organisations utilisant déjà la version Pro peuvent tester Expert gratuitement pendant 7 jours avant de s'engager.
Les deux éditions proposent une assistance avancée optionnelle (téléphone et chat 24h/24 et 7j/7) moyennant un supplément. Les licences pluriannuelles bénéficient d'une réduction. Les prix varient selon la région ; veuillez consulter les tarifs en vigueur sur tenable.com/buy avant tout achat.
Envisagez des alternatives à Tenable Nessus si vous recherchez un remplaçant pour Nessus ou si vous êtes indécis.
InsightVM Rapid 7
Rapid7 a rebaptisé sa gamme de gestion des vulnérabilités sous la plateforme Command en 2024. InsightVM fonctionne désormais comme moteur de gestion des vulnérabilités au sein d'Exposure Command, l'offre phare actuelle de Rapid7 pour l'évaluation et la correction des expositions.
L'offre Exposure Command est facturée par actif (nombre moyen d'actifs surveillés) et fait l'objet d'une facturation annuelle. Elle se décline en deux niveaux, adaptés au niveau de maturité cloud de l'organisation. Les deux niveaux incluent Surface Command sans frais supplémentaires. Les prix spécifiques à chaque niveau ne sont pas publiés ; les organisations reçoivent un devis personnalisé en fonction du nombre d'actifs et de l'étendue du déploiement.
Figure 4. Modèle de tarification InsightVM 1
Suite PortSwigger Burp
Burp Suite propose trois éditions destinées à différents types d'utilisateurs.
Burp Suite Community est gratuit. Il permet de réaliser des tests manuels d'interception HTTP via Burp Proxy, de manipuler les requêtes via Burp Repeater et d'effectuer des analyses de trafic web basiques. L'analyse automatisée n'est pas incluse ; elle nécessite une version payante.
Burp Suite Professional coûte 475 $ par utilisateur et par an. Il inclut l'analyse automatisée des vulnérabilités, Burp Intruder pour l'automatisation des attaques personnalisées et Burp AI, un assistant intelligent qui génère des idées d'attaques et guide les tests en temps réel. Il s'adresse aux testeurs d'intrusion indépendants et aux petites équipes de sécurité applicative.
Burp Suite DAST est un scanner automatisé de niveau entreprise, conçu pour les équipes de sécurité applicative gérant d'importants portefeuilles d'applications. Il prend en charge un nombre illimité d'utilisateurs, l'intégration aux pipelines CI/CD, la planification des analyses, la gestion en masse des applications et le déploiement sur site ou dans le cloud. La tarification est basée sur des devis PortSwigger personnalisés, en fonction du volume d'analyses et de la portée du déploiement.
Figure 5. Tarification de Burp Suite Professional 2
Indusface ÉTAIT
Indusface WAS propose un modèle d'abonnement avec différents niveaux pour s'adapter à divers besoins et budgets. L'offre Advanced est facturée 59 $ par application et par mois ou 599 $ par application et par an. Il existe également les éditions Premium et MSSP, facturées annuellement sur mesure (voir figure 7).
Pour en savoir plus sur les fonctionnalités de ces outils, consultez la section Outils d'analyse des vulnérabilités .
Figure 7. Tarification WAS d'Indusface 3
FAQ
Oui, plusieurs outils DAST open source sont disponibles , tels que OWASP ZAP (Zed Attack Proxy) et Arachni. Bien que ces outils n'offrent pas le même niveau de support ni les mêmes fonctionnalités avancées que les solutions commerciales, ils peuvent constituer une option économique pour les organisations disposant de budgets limités.
Pour maximiser la valeur des outils DAST, les organisations doivent régulièrement mettre à jour leurs méthodologies de test afin de tenir compte des nouvelles menaces et vulnérabilités, intégrer les tests DAST dans le cycle de vie du développement logiciel (SDLC), prioriser et corriger rapidement les vulnérabilités identifiées et investir dans la formation pour s'assurer que les membres de l'équipe maîtrisent l'utilisation efficace de l'outil.
Les organisations doivent prendre en compte des facteurs tels que leur budget, les exigences de sécurité spécifiques de leurs applications, le niveau d'expertise disponible au sein de leur équipe, ainsi que l'évolutivité et la flexibilité de l'outil DAST lors de l'évaluation de leurs options.
Outre les frais de licence de base, les organisations peuvent encourir des coûts supplémentaires pour des services tels que la formation, la mise en œuvre, l'intégration aux systèmes existants, le support continu et la maintenance.
Liens de référence
Soyez le premier à commenter
Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires.