Checkmarx est une plateforme AppSec commerciale enterprise éditée par Checkmarx Ltd (société israélienne basée à Ramat Gan, ~1 200 employés 2024, rachetée par Hellman & Friedman en 2020 pour 1,15 milliard $), qui regroupe sous la bannière Checkmarx One (SaaS unifié lancé en 2022) six modules de sécurité applicative : CxSAST (Static Application Security Testing, produit historique lancé 2006), CxSCA (Software Composition Analysis), CxIAST (Interactive Application Security Testing), CxDAST (Dynamic Application Security Testing), CxSCS (Supply Chain Security), CxAPI (API Security). C'est l'un des trois leaders du Gartner Magic Quadrant for Application Security Testing 2023-2024, aux côtés de Veracode et Snyk, et il domine historiquement le segment grands comptes régulés — banques (BNP Paribas, Société Générale, Crédit Agricole), télécoms, administrations, défense, pharma — avec des budgets licence typiques de 80 à 600 k€/an selon modules et nombre de développeurs. Cet article détaille les 6 modules, les cas d'usage concrets avec exemples d'intégration IDE et CI/CD, les tarifs 2024-2025 observés en France, le comparatif honnête avec Snyk, Veracode, SonarQube et alternatives open-source (Semgrep, CodeQL, Trivy), les 5 raisons de l'inertie grands comptes sur Checkmarx malgré la concurrence, et les limites documentées à connaître avant achat. Pour le positionnement théorique SAST/DAST/IAST, voir SAST vs DAST vs IAST.
1. Qu'est-ce que Checkmarx
1.1 Contexte et genèse
Checkmarx Ltd est fondée en 2006 en Israël par Maty Siman (CTO actuel) et Emmanuel Benzaquen (ancien CEO). Société rachetée en 2020 par le fonds private equity Hellman & Friedman pour 1,15 milliard de dollars. Effectif 2024 : ~1 200 employés, présence mondiale (Israël, US, UK, Allemagne, France, Inde).
| Année | Événement clé |
|---|---|
| 2006 | Création Checkmarx, lancement CxSAST |
| 2015 | Ajout CxOSA (Open Source Analysis, ancêtre CxSCA) |
| 2018 | Lancement CxIAST |
| 2020 | Rachat Hellman & Friedman — 1,15 Md$ valorisation |
| 2022 | Lancement Checkmarx One SaaS — refonte UX et migration progressive |
| 2023 | Ajout CxSCS (Supply Chain Security) en réponse SolarWinds / Log4Shell |
| 2024 | Ajout CxAPI Security, intégrations IA-assistées |
| 2025 | Pousse migration Checkmarx One, horizon EOL du CxSAST v9 self-hosted estimé 2027-2028 |
1.2 Position Gartner Magic Quadrant AST 2024
Checkmarx est Leader dans le Gartner Magic Quadrant for Application Security Testing 2024 (publié avril 2024), aux côtés de Veracode, Synopsys, Snyk. Les Challengers incluent GitHub Advanced Security et HCL AppScan. Les Visionnaires SonarSource et Qwiet AI. Les Niche Players Invicti et Rapid7.
2. Le catalogue Checkmarx One 2024-2025
Checkmarx One — modules disponibles 2024-2025
───────────────────────────────────────────────
CxSAST ─► Static Application Security Testing
Analyse code source, 35+ langages, taint inter-procédural
CxSCA ─► Software Composition Analysis
Scan dépendances open source (CVE, licences, SBOM)
CxIAST ─► Interactive Application Security Testing
Agent runtime Java/.NET/Node/Python
CxDAST ─► Dynamic Application Security Testing
Scan dynamique web + API (issue du rachat Dustico 2021)
CxSCS ─► Supply Chain Security
Analyse risques chaîne d'approvisionnement (typosquatting,
packages malicieux, contributeurs suspects)
CxAPI ─► API Security Testing
Découverte automatique API + scan OWASP API Top 10 2023
CxCloud ─► Cloud Security (module IaC + CSPM émergent)
Scan Terraform, CloudFormation, Kubernetes manifests2.1 Matrice des classes de vulnérabilités couvertes
| Classe | CxSAST | CxSCA | CxIAST | CxDAST | CxAPI |
|---|---|---|---|---|---|
| Injection SQL / NoSQL | ✓ | - | ✓ | ✓ | ✓ |
| XSS | ✓ | - | ✓ | ✓ | - |
| CSRF | Partiel | - | ✓ | ✓ | ✓ |
| Désérialisation insecure | ✓ | ✓ | ✓ | Partiel | - |
| Hardcoded secrets | ✓ | - | - | - | - |
| Dépendances vulnérables | - | ✓ | - | - | - |
| Licence non-conforme | - | ✓ | - | - | - |
| Config serveur faible | - | - | - | ✓ | ✓ |
| Broken Access Control | Limité | - | ✓ | Limité | ✓ |
| BOLA / BFLA API | - | - | - | Limité | ✓ |
3. CxSAST : le produit historique
CxSAST reste le module de revenus principal de Checkmarx (estimé 55-65 % du chiffre d'affaires 2024). Ses différenciateurs :
3.1 Couverture langages la plus large du marché
35+ langages supportés en 2025, incluant des langages legacy enterprise rarement couverts par la concurrence moderne :
- Web / moderne : JavaScript, TypeScript, Python, Go, Ruby, PHP.
- Enterprise Java : Java, Groovy, Scala, Kotlin.
- Microsoft : C#, VB.NET, ASP.NET, PowerShell.
- Mobile : Objective-C, Swift, Kotlin (Android).
- Legacy enterprise : COBOL, PL/SQL, Visual Basic 6, Perl, ABAP (SAP), Apex (Salesforce).
- Systèmes : C, C++, C with embedded inline assembly.
Cette couverture explique une part importante de l'inertie marché banques + administrations : un repo COBOL ou Visual Basic 6 n'a quasi aucune alternative.
3.2 Approche d'analyse
CxSAST utilise une représentation de flux de données (taint) inter-procédurale avec un moteur propriétaire qui modélise entry points (sources) et sinks. L'engine est réputé exhaustif mais lent (scan complet d'une application moyenne 30-60 minutes typique) et générateur de faux positifs (20-40 % sans tuning, 10-15 % avec tuning).
3.3 Fonctionnalités clés
- Scan incremental pour re-scan rapide sur PR (durée 3-10 min vs 30-60 pour un full).
- Custom queries via langage propriétaire CxQL — permet d'écrire des règles métier.
- Rapports compliance prêts à livrer : PCI-DSS, HIPAA, SOX, GDPR, OWASP Top 10, SANS Top 25, CWE.
- IDE plugins : IntelliJ, Eclipse, Visual Studio, VS Code (feedback dev in-editor).
- Integrate with Jenkins / GitLab / GitHub / Bitbucket / Azure DevOps.
4. CxSCA : Software Composition Analysis
Lancé en 2019 (anciennement CxOSA, rebranded CxSCA en 2020), scan des dépendances open source contre les bases de vulnérabilités (CVE, GHSA, OSV, Checkmarx Vulnerability Research) + analyse des licences pour compliance (GPL, AGPL, LGPL détection en stack propriétaire).
4.1 Comparaison CxSCA vs Trivy SCA
| Critère | CxSCA | Trivy |
|---|---|---|
| Licence | Commercial | Apache 2.0 OSS |
| Base vuln propriétaire enrichie | Oui (Checkmarx Vulnerability Research) | Non (public sources) |
| Suggestions de remédiation auto | Oui (version safe la plus proche) | Non |
| Analyse licence open-source | Oui, dashboard compliance | Limitée |
| Intégration dashboard GRC | Oui | Non |
| Prix 2025 ETI | 30-80 k€/an | 0 € |
| SBOM CycloneDX / SPDX | Oui | Oui |
Pour la comparaison détaillée des outils SCA et containers, voir Trivy : à quoi ça sert.
5. CxIAST : Interactive Application Security Testing
Agent runtime qui instrumente l'application Java, .NET, Node.js ou Python en cours d'exécution. Pattern identique aux autres IAST (Contrast Security, Synopsys Seeker) — voir le mécanisme détaillé dans SAST vs DAST vs IAST.
Positionnement CxIAST vs concurrents IAST 2025 :
| Outil IAST | Force | Limite |
|---|---|---|
| Checkmarx IAST | Intégré écosystème Checkmarx, reporting unifié | Moins mature que Contrast |
| Contrast Security | Leader marché, RASP inclus | Plus cher |
| Synopsys Seeker | Fort sur Java, intégration Synopsys | Stack Synopsys requise |
6. CxDAST et CxAPI : tests dynamiques
6.1 CxDAST
Module de scan dynamique issu du rachat de Dustico (2021) + intégration progressive de capacités DAST propres. Fonctionnalités 2024-2025 :
- Crawling automatique des applications web.
- Scan OWASP Top 10 2021 avec payloads dynamiques.
- Intégration avec CxSAST pour corrélation findings statiques + dynamiques.
- Support authentification complexe (OAuth, SAML).
Le CxDAST reste le module le plus jeune et le moins mature de la suite. Beaucoup de clients Checkmarx l'abandonnent au profit de Burp Suite Enterprise (plus mature sur le crawl et les scans API) ou OWASP ZAP en complément open-source.
6.2 CxAPI
Module API Security lancé 2023, couvre l'OWASP API Security Top 10 2023 :
- Découverte automatique des endpoints via traffic mirroring ou OpenAPI spec ingestion.
- Tests spécifiques BOLA, BFLA, mass assignment, excessive data exposure.
- Corrélation avec CxSAST pour identifier le code source des endpoints vulnérables.
Concurrents directs : 42Crunch, Salt Security, Traceable.ai, Noname Security (racheté par Akamai 2024).
7. Déploiement : SaaS vs Self-hosted
7.1 Checkmarx One (SaaS)
- Hébergé sur AWS, régions EU Frankfurt et Ireland pour clients EMEA.
- Multi-tenant avec isolation par projet.
- Upgrades automatiques (releases mensuelles).
- Authentification SSO (SAML, OIDC, Azure AD, Okta).
- Conformité SOC 2 Type II, ISO 27001, GDPR.
7.2 Legacy self-hosted (CxSAST v9, CxSCA on-premise)
- Déploiement Windows Server (historique) ou Linux containers (v9.x).
- Base de données SQL Server.
- Upgrade manuel 1-2 fois par an.
- Nécessite équipe infra dédiée pour maintenir le cluster.
- Encore majoritaire chez les clients régulés (défense, souveraineté).
Horizon end-of-life : Checkmarx communique publiquement une roadmap de retrait progressif du legacy self-hosted, avec EOL estimé 2027-2028 pour les versions actuelles. Les clients régulés refusant le SaaS sont pressés de négocier une version self-hosted de Checkmarx One — option en cours de développement commercial en 2025.
8. Intégration IDE et CI/CD
8.1 Plugins IDE (feedback dev in-editor)
Plugins officiels maintenus activement :
- IntelliJ IDEA / Rider — findings inline, quick fix suggestions.
- Visual Studio Code — findings en gutter, popup détails.
- Eclipse — legacy Java, clients enterprise historiques.
- Visual Studio — stack Microsoft.
8.2 Intégration GitLab CI (exemple)
# .gitlab-ci.yml — exemple scan Checkmarx One
stages:
- security
checkmarx-scan:
stage: security
image:
name: checkmarx/ast-cli:latest
entrypoint: [""]
variables:
CX_TENANT: "mon-entreprise"
CX_BASE_URI: "https://eu.ast.checkmarx.net"
script:
- cx scan create
--project-name "$CI_PROJECT_NAME"
--branch "$CI_COMMIT_REF_NAME"
--source .
--scan-types "sast,sca,iac-security,secret-detection"
--threshold "high=0;critical=0"
--agent "gitlab-ci"
--debug
rules:
- if: $CI_PIPELINE_SOURCE == "merge_request_event"8.3 Intégration GitHub Actions (exemple)
# .github/workflows/checkmarx.yml
name: Checkmarx Scan
on:
pull_request:
push:
branches: [main]
jobs:
checkmarx-scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Checkmarx One Action
uses: checkmarx/ast-github-action@main
with:
base_uri: "https://eu.ast.checkmarx.net"
cx_tenant: "mon-entreprise"
cx_client_id: ${{ secrets.CX_CLIENT_ID }}
cx_client_secret: ${{ secrets.CX_CLIENT_SECRET }}
additional_params: >-
--threshold "sast-critical=0;sast-high=0;sca-critical=0"
--scan-types sast,sca,iac-security,secret-detection9. Tarifs 2025 observés en France
Checkmarx impose un passage commercial — pas de prix publics. Fourchettes 2024-2025 observées chez des clients français (ETI et grands comptes) :
| Scope | Tarif annuel typique |
|---|---|
| CxSAST seul, 50-100 dev | 40 000 - 80 000 € |
| CxSAST seul, 200-500 dev | 100 000 - 200 000 € |
| Bundle SAST + SCA, 100-300 dev | 80 000 - 180 000 € |
| Checkmarx One (SAST+SCA+IAST+DAST), 300-500 dev | 150 000 - 300 000 € |
| Enterprise complet + SCS + API, 500+ dev | 250 000 - 600 000 € |
| Support premium + formation + services | +15-30 % du licence |
Négociation commerciale typique : -15 à -30 % vs liste annoncée, selon taille client et engagement pluriannuel (contrat 3 ans = -25 % typique).
9.1 Comparaison budget Checkmarx vs alternatives pour ETI 500 dev
| Stack | Coût annuel typique |
|---|---|
| Checkmarx One complet | 200 - 400 k€ |
| Snyk complet | 150 - 280 k€ |
| Veracode complet | 180 - 350 k€ |
| GitHub Advanced Security | 80 - 150 k€ (sur GitHub Enterprise) |
| SonarQube Enterprise + Dependency-Track | 30 - 80 k€ |
| Semgrep Pro + Trivy + ZAP open-source | 30 - 60 k€ |
| Full open-source (Semgrep CE + Trivy + ZAP + gitleaks) | 0 € licence + 20-50 k€ maintenance interne |
10. Comparatif Checkmarx vs Snyk vs Veracode vs SonarQube
| Critère | Checkmarx | Snyk | Veracode | SonarQube |
|---|---|---|---|---|
| Modules couverts | SAST+SCA+IAST+DAST+SCS+API | SAST+SCA+Container+IaC | SAST+SCA+DAST+MAST | SAST+SCA+Code Quality |
| Langages legacy (COBOL, VB6) | Excellent | Faible | Bon | Faible |
| Langages modernes (TS, Go, Rust) | Bon | Excellent | Bon | Bon |
| Suggestions remédiation IA | Bon | Excellent | Bon | Modéré |
| Intégration IDE | Très bonne | Excellente | Bonne | Excellente |
| Intégration CI/CD | Bonne | Excellente | Bonne | Excellente |
| Rapports compliance auditeurs | Excellent | Bon | Excellent | Modéré |
| SaaS vs on-premise | Les deux (migration en cours) | SaaS uniquement | SaaS uniquement | Les deux |
| Prix (ETI 500 devs) | 200-400 k€ | 150-280 k€ | 180-350 k€ | 30-80 k€ |
| Clients typiques FR | BNP, SocGen, Thales, Orange, défense | Scale-ups, tech modernes | Banques, industries | Mixte, ETI budget contraint |
| Maturité produit | Leader | Leader | Leader | Challenger |
10.1 Quand choisir chaque outil
- Checkmarx : grand compte régulé, codebase legacy (COBOL/PL-SQL), équipe AppSec dédiée 5+ personnes, budget 200+ k€/an, exigences PASSI/homologations.
- Snyk : scale-up tech, stack moderne, devs 100-500, priorité UX dev et suggestions IA.
- Veracode : banque/industrie US-centric, conformité PCI / SOX importante, tolérance à un produit parfois perçu plus lent.
- SonarQube : budget contraint, couverture SAST simple, focus qualité code + sécurité modérée.
- Open-source (Semgrep+Trivy+ZAP) : scale-up early-stage, DevSecOps autonome, budget licence < 60 k€/an.
11. Limites documentées et retours terrain
Retours réguliers des clients Checkmarx 2024-2025 (conférences OWASP, benchmarks internes ESN) :
- Faux positifs élevés sans tuning — 20-40 % out-of-the-box. Nécessite 2-3 mois de tuning par une équipe AppSec dédiée pour descendre à 10-15 %.
- Temps de scan full lent — 30-60 minutes sur applications Java/.NET moyennes, jusqu'à 2-4 heures sur codebases legacy multi-millions de lignes. Mitigé par scan incrémental.
- UX vieillissante du legacy CxSAST v9 — interface perçue complexe, learning curve raide pour juniors. Améliorée fortement dans Checkmarx One SaaS.
- Coût d'entrée élevé — barrière pour PME et scale-ups. Pas d'offre Community / Free tier comme Snyk Free ou Semgrep CE.
- CxDAST moins mature que Burp Suite Enterprise — souvent remplacé par Burp en complément.
- Migration legacy → Checkmarx One complexe — durée typique 6-12 mois pour clients historiques, coût service associé 50-150 k€.
Points clés à retenir
- Définition : Checkmarx = plateforme AppSec commerciale enterprise par Checkmarx Ltd (Israël, rachetée 1,15 Md$ en 2020), 6 modules unifiés dans Checkmarx One SaaS (SAST, SCA, IAST, DAST, Supply Chain, API).
- Position marché : Leader Gartner AST 2024 aux côtés de Veracode, Synopsys, Snyk. Dominant grands comptes régulés (banques, défense, admin).
- Force différenciante CxSAST : couverture 35+ langages, incluant legacy rare (COBOL, VB6, PL/SQL, ABAP, Apex) que Snyk/Semgrep ne couvrent pas.
- Tarifs 2025 France : 40-80 k€/an CxSAST seul (50-100 devs), 200-400 k€/an Checkmarx One complet (300-500 devs), 250-600 k€/an enterprise complet.
- Migration en cours : Checkmarx One SaaS pousse le retrait progressif du legacy self-hosted, EOL estimé 2027-2028.
- Quand choisir : grand compte régulé, codebase legacy, budget 200+ k€/an, équipe AppSec dédiée. Sinon Snyk (scale-up moderne) ou Semgrep+Trivy (budget contraint).
- Vendor lock-in : custom queries CxQL + rapports compliance ne migrent pas ; négocier flexibilité contractuelle dès signature.
Pour la vision d'ensemble des outils AppSec et leur positionnement, voir SAST vs DAST vs IAST. Pour l'alternative open-source complémentaire, Trivy : à quoi ça sert. Pour la place des outils dans un parcours DevSecOps, Étapes pour devenir DevSecOps et Roadmap DevSecOps.
