RASP - Runtime Application Self-Protection 2026

Le RASP (Runtime Application Self-Protection) est l'agent runtime in-process déployé dans l'application qui détecte et bloque les attaques en temps réel avec un contexte code complet : il voit la stack trace exacte, les variables tainées, le data flow source → sink, et peut décider d'interrompre l'exécution d'une requête malveillante avant qu'elle n'atteigne le sink dangereux. Le terme est forgé par Gartner en 2012 et formalisé en catégorie marché en 2014, popularisé notamment par Joseph Feiman (Gartner analyst) avec le concept « applications must defend themselves ». Là où le WAF filtre HTTP au reverse proxy (aveugle au code), où SAST/DAST détectent en CI/staging (jamais en prod), où IAST observe en passive seul, le RASP est l'unique couche qui bloque inline en production avec contexte applicatif fin. En 2026, l'écosystème RASP repose sur 5 leaders : Contrast Protect (Contrast Security, leader pure-play, bundle avec Assess IAST), Imperva RASP (Thales depuis 2023), Datadog ASM (Application Security Management, post-acquisition Sqreen 2021), Waratek (Java specialist, Java Virtual Containers), HCL AppScan Runtime Protection. La dépréciation tCell de Rapid7 (EOL 2023) et le pivot Signal Sciences → Fastly Next-Gen WAF (2020+) ont consolidé le marché autour de pure-plays. Comprendre la distinction RASP vs WAF vs IAST, l'arbitrage performance/sécurité, le risque blocage légitime, et l'émergence ASM (Application Security Management) est non-négociable pour tout architecte AppSec en 2026.

Pour le contexte adjacent : voir IAST - Interactive Application Security Testing pour la version detection-only de la même technologie d'agent, et WAF - Web Application Firewall pour la couche complémentaire au périmètre.

1. Définition précise et architecture RASP

Un RASP est défini par trois propriétés combinées :

1. Agent in-process : déployé dans la JVM, .NET runtime, V8 Node, interpreter Python, etc. (pas un proxy externe).
2. Contexte code complet : voit stack traces, variables, paramètres de fonctions, data flow, configuration runtime, pas juste HTTP request.
3. Mode blocking inline : peut interrompre l'exécution d'une requête malveillante avant qu'elle atteigne un sink dangereux.

C'est cette troisième propriété qui distingue RASP de IAST, même architecture d'agent, mais detection only pour IAST vs blocking pour RASP. Beaucoup de vendors (Contrast Security, Datadog) proposent les deux modes dans le même produit avec une simple bascule de configuration.

Architecture typique d'un agent RASP :

Position tranchée 2026 : la couverture multi-langage des RASP commerciaux est inégale. Contrast Protect et Datadog ASM sont les plus complets. Waratek excelle en Java. Pour Go, le RASP mature reste rare en 2026, souvent compensé par WAF + observabilité eBPF (Cilium Tetragon, Falco).

2. Origine et historique RASP 2012-2026

Chronologie marché :

Position tranchée 2026 : le marché RASP a connu une consolidation forte 2020-2024, beaucoup de pure-plays ont été rachetés ou positionnés différemment. Les 5 acteurs encore actifs en pure-play RASP en 2026 sont solides mais moins nombreux qu'en 2018.

3. Leaders du marché RASP 2026

Position tranchée 2026 : pour pure-play RASP avec hybride IAST+RASP, Contrast Security (Assess + Protect) reste le bundle le plus complet, agents matures, multi-langage, intégration CI/CD propre. Pour stack Datadog observability, Datadog ASM est le choix logique avec coût additionnel modeste sur Datadog APM existant. Waratek justifié spécifiquement pour Java legacy banking où la sandbox JVC apporte une garantie supplémentaire.

4. RASP vs WAF - matrice de décision 2026

Le débat RASP vs WAF en 2026 n'est plus « lequel choisir » mais « comment les combiner ». Architecture cible mature :

[Internet]
    │
    ▼
[CDN edge nodes]  ── Anti-DDoS L3/L4 + bot management
    │
    ▼
[WAF cloud / on-prem]  ── Filter 80-90 % attaques génériques (signatures, bruteforce)
    │
    ▼
[API Gateway]  ── Authentication, rate limiting, RBAC
    │
    ▼
[Application + RASP agent in-process]  ── Block 5-10 % attaques sophistiquées qui bypass WAF
    │
    ▼
[Database / backend services]

Position tranchée 2026 : WAF en premier, RASP en complément. Pour 80 % des orgs, WAF cloud (Cloudflare, AWS WAF) suffit. Pour les 20 % avec apps haute valeur (banking, healthcare, e-commerce > 100 M€) ou apps legacy non-modifiables, ajouter RASP couvre le 5-10 % d'attaques sophistiquées qui bypass WAF (encoding multi-niveau, smuggling HTTP/2, JSON parser confusion).

5. Stack outillage RASP - déploiement Contrast Protect

Exemple de déploiement Contrast Protect (mode blocking) sur stack Java en production :

# 1. Installation Contrast Java agent (même agent que IAST Assess)
curl -L "https://repository.sonatype.org/service/local/artifact/maven/redirect?r=central-proxy&g=com.contrastsecurity&a=contrast-agent&v=LATEST&e=jar" \
  -o /opt/contrast/contrast-agent.jar
 
# 2. Configuration env vars (mode protection / RASP)
export CONTRAST__API__URL="https://app.contrastsecurity.com/Contrast/api/ng/orgs/<ORG_ID>"
export CONTRAST__API__USER_NAME="prod-bot@example.com"
export CONTRAST__API__SERVICE_KEY="<service-key>"
export CONTRAST__API__API_KEY="<api-key>"
 
# 3. Mode protection (blocking) au lieu de assess (detection)
export CONTRAST__AGENT__MODE="protect"
 
# 4. Configuration des règles RASP par catégorie
export CONTRAST__PROTECT__RULES__SQL_INJECTION__MODE="block"
export CONTRAST__PROTECT__RULES__CMD_INJECTION__MODE="block"
export CONTRAST__PROTECT__RULES__PATH_TRAVERSAL__MODE="block"
export CONTRAST__PROTECT__RULES__XXE__MODE="block"
export CONTRAST__PROTECT__RULES__SSRF__MODE="block"
export CONTRAST__PROTECT__RULES__UNTRUSTED_DESERIALIZATION__MODE="block"
 
# Mode monitor-only (FP audit) sur catégories sensibles legacy
export CONTRAST__PROTECT__RULES__REFLECTED_XSS__MODE="monitor"
 
# 5. Fail-open par défaut (si agent crash, app continue)
export CONTRAST__AGENT__FAIL_OPEN="true"
 
# 6. Lancement de l'app avec agent
java -javaagent:/opt/contrast/contrast-agent.jar \
     -Dcontrast.application.name=my-prod-app \
     -Dcontrast.server.environment=production \
     -Dcontrast.server.tag=prod-cluster-eu-west-1 \
     -jar /opt/app/my-app.jar
 
# 7. Monitoring health agent
curl -s http://localhost:9099/agent/status | jq '.'
# {"agent_status": "active", "rules_loaded": 12, "blocks_24h": 47, "monitoring_24h": 3}

Configuration Datadog ASM en alternative (Node.js exemple) :

// app.js - début du fichier, avant tout autre require
require('dd-trace').init({
  appsec: true,           // Enable Datadog ASM (RASP)
  service: 'my-prod-app',
  env: 'production',
  version: process.env.GIT_COMMIT,
  appsec: {
    enabled: true,
    blocking: true,        // Mode blocking (RASP) au lieu de detection only
    rules: '/etc/dd-rules.json',
    rateLimit: 100,        // Max events per second
    obfuscatorKeyRegex: 'password|token|secret|api_key',
    eventTracking: 'extended'  // Track user info pour anti-fraude
  }
});
 
// Reste de l'app
const express = require('express');
const app = express();
// ...

6. Modes RASP et stratégie de déploiement progressif

Roadmap déploiement typique 2026 sur 12 semaines :

7. ASM - Application Security Management 2026

L'évolution 2024-2026 du RASP est l'ASM (Application Security Management), une catégorie élargie qui combine RASP + IAST + observability + threat intel runtime. Vendors :

Position tranchée 2026 : pour stack observability Datadog déjà déployée, l'ajout de Datadog ASM est rarement contestable, coût marginal sur APM existant (~30-50 $/host/mois additionnel), pas de nouveau vendor à intégrer. Pour stack hétérogène ou pure-play AppSec, Contrast Security Platform reste plus complet.

8. Erreurs fréquentes RASP et anti-patterns

9. ROI mesurable et tarification 2026

Métriques RASP mature 2026 :

ROI typique pour 50 serveurs en production avec apps moyennes valeur :

Position tranchée : RASP se rentabilise typiquement en 18-36 mois sur des apps haute valeur où les attaques bloquées + le risque réduction breach (1 incident moyen évité = 4.45 M$ Verizon DBIR 2024 médiane) compense le coût licence + ops. Pour apps standard et SOC mature avec WAF + SAST + DAST, RASP n'est pas obligatoire.

10. Mapping RASP vers compliance frameworks 2026

PCI-DSS v4.0 Requirement 6.4.2 mentionne explicitement que les organisations peuvent satisfaire l'exigence de protection web app via soit WAF soit RASP, c'est un driver compliance fort pour les e-commerce et acteurs financiers PCI-soumis.

11. Pour aller plus loin

• IAST - Interactive Application Security Testing, la version detection-only de la même technologie d'agent runtime.
• SAST - Static Application Security Testing, analyse statique CI shift-left.
• DAST - Dynamic Application Security Testing, analyse dynamique runtime sans agent.
• WAF - Web Application Firewall, la couche complémentaire au périmètre.
• CWE - Common Weakness Enumeration, taxonomie des classes de défaut bloquées par RASP.
• Bootcamp DevSecOps, formation 12 semaines couvrant RASP, IAST, runtime protection.
• Hub catégorie Glossaire cyber, autres définitions de référence Zeroday.
• Contrast Protect documentation : https://docs.contrastsecurity.com/en/protect.html.
• Datadog ASM (ex-Sqreen) : https://docs.datadoghq.com/security/application_security/.
• Imperva RASP : https://www.imperva.com/products/runtime-application-self-protection-rasp/.
• Waratek (Java specialist) : https://www.waratek.com/.
• OWASP ASVS v4.0.3 : https://owasp.org/www-project-application-security-verification-standard/.
• Joseph Feiman (Gartner) RASP origin papers (2012-2014).

12. Points clés à retenir

• RASP = Runtime Application Self-Protection = agent in-process inline blocking en production. Distinct de l'IAST detection-only.
• Terme forgé par Gartner / Joseph Feiman en 2012, formalisé en catégorie marché en 2014.
• 3 propriétés clés : agent in-process (pas proxy externe), contexte code complet (stack trace + variables + data flow), mode blocking inline.
• 5 leaders 2026 : Contrast Protect (pure-play, bundle Assess+Protect), Imperva RASP (Thales depuis 2023), Datadog ASM (acquisition Sqreen 2021 ~250 M$), Waratek (Java specialist), HCL AppScan Runtime Protection.
• Marché consolidé : tCell EOL 2023, Signal Sciences pivot WAF (Fastly 2020), Prevoty acquired Imperva 2018. Pure-plays restants 5-7 acteurs majeurs.
• Performance : overhead 5-15 % I/O-bound, 15-25 % CPU-bound. Latence ajoutée 3-15 ms p95 typique.
• RASP vs WAF : complémentaires, pas substituables. WAF rideau 1 (signatures, scale), RASP rideau 2 (contexte applicatif fin).
• Tarification 2026 : Contrast Protect standalone 200-400 $/server/mois ; bundle Assess+Protect 400-800 $/server/mois ; Imperva RASP 150-400 $ ; Datadog ASM 30-50 $/host/mois additionnel ; Waratek 200-500 $/JVM/mois.
• TCO 50 serveurs : Contrast Protect 100-250 k€/an ; bundle Assess+Protect 250-500 k€/an ; Datadog ASM 20-60 k€ additionnel.
• Roadmap déploiement : 4-8 semaines monitor + canary 5 % → 25 % → 100 % à 2 semaines d'écart. Fail-open par défaut.
• PCI-DSS v4.0 Requirement 6.4.2 mentionne explicitement RASP comme option (alternative au WAF), driver compliance fort.
• Anti-pattern n°1 : block strict 100 % d'un coup → app cassée → RASP désactivé permanemment. Mieux vaut monitor mature que block mal tuné.
• Anti-pattern n°2 : confondre IAST (CI/test detection) avec RASP (prod blocking), c'est le même type d'agent mais des modes opposés.
• Position 2026 : RASP justifié uniquement quand (1) latence p95 acceptable < 5 ms, (2) budget 200-500 $/server/mois, (3) apps haute valeur ou legacy non-modifiables. Pas obligatoire pour 80 % des orgs avec WAF + SAST + DAST mature.