Scanners de code – SAST & DAST

ARCAD Software

ARCAD Software est un éditeur français spécialisé dans la modernisation des applications IBM i (AS/400) et l'intégration de pratiques DevSecOps. Ses solutions incluent des outils d'analyse de code pour détecter les vulnérabilités et améliorer la qualité logicielle, ainsi que des outils d'anonymisation des données pour assurer la conformité réglementaire. ARCAD propose également des solutions de gestion des déploiements pour automatiser et sécuriser les processus de mise en production. Ses produits sont utilisés par des entreprises dans divers secteurs pour renforcer la sécurité de leurs applications et infrastructures.​

Continus.io

Continus est une entreprise française spécialisée dans la supervision de la sécurité et de la conformité des infrastructures informatiques, à travers une plateforme unifiée de type Security as Code. Sa solution permet aux équipes DevSecOps de monitorer en continu l’état de conformité de leurs environnements cloud, conteneurisés et hybrides, en s’appuyant sur des normes telles que le CIS Benchmark ou l’ISO 27001. Continus facilite ainsi la détection proactive des écarts de configuration, la gestion des risques et le pilotage de la sécurité dans des environnements complexes. Grâce à une intégration fluide dans les chaînes CI/CD et une interface claire, la plateforme offre une approche automatisée et collaborative de la sécurité, permettant aux entreprises d’accélérer leur transformation tout en assurant une gouvernance robuste et continue.

Escape

Escape propose une plateforme unifiée de sécurité des API, combinant découverte automatisée, tests dynamiques et remédiation intégrée. Elle permet d'identifier et de cartographier en quelques minutes l'ensemble des API exposées, y compris les API Shadow ou Zombie, sans nécessiter de surveillance du trafic ni d'agents. Grâce à un scanner DAST propriétaire, Escape détecte des vulnérabilités complexes telles que les BOLA, IDOR ou les erreurs de contrôle d'accès, souvent ignorées par les outils traditionnels. La solution s'intègre nativement aux environnements modernes (CI/CD, GitHub, GitLab, Jira, Slack) et fournit des correctifs contextualisés adaptés à chaque stack technique. Elle prend également en charge la sécurité des applications GraphQL, des microservices et des Single Page Applications. Fondée en 2020, Escape est soutenue par Y Combinator et Frst.vc, et est utilisée par plus de 2000 équipes de sécurité à travers le monde. La plateforme est conçue pour s'adapter aux environnements DevSecOps modernes, offrant une visibilité complète du code au cloud.

Git Guardian

GitGuardian est une entreprise française de cybersécurité fondée en 2017, spécialisée dans la détection automatisée de secrets exposés dans le code source, tels que les clés API, les identifiants de bases de données et les certificats. Sa plateforme, disponible en mode SaaS ou on-premise, scanne les dépôts Git publics et privés, les pipelines CI/CD et les outils de développement pour identifier les secrets codés en dur, les erreurs de configuration d'infrastructure-as-code et les vulnérabilités de la chaîne d'approvisionnement logicielle. Grâce à son moteur d'analyse entraîné sur des milliards de commits GitHub, GitGuardian offre une détection précise et une remédiation à grande échelle, réduisant ainsi le temps moyen de résolution des incidents. En 2025, l'entreprise est devenue l'application numéro un sur GitHub Marketplace dans la catégorie sécurité. Parmi ses fonctionnalités phares figurent la surveillance publique en temps réel, la détection de secrets internes, l'injection de honeytokens pour piéger les intrus, ainsi que la gouvernance des identités non humaines (NHI) pour sécuriser les comptes de service et les jetons d'accès. GitGuardian est utilisé par des entreprises de divers secteurs, notamment la finance, l'automobile, les télécommunications et le secteur public, pour renforcer leur posture de sécurité et assurer leur conformité réglementaire.

Pradeo

Pradeo est une entreprise française de cybersécurité fondée en 2010 à Montpellier, spécialisée dans la protection des environnements mobiles pour les entreprises et les administrations. Sa solution phare, Mobile Threat Defense (MTD), assure une défense proactive des smartphones et tablettes Android et iOS contre les menaces applicatives, réseau et système, y compris les attaques zero-day, le phishing et les fuites de données. Grâce à une analyse comportementale en temps réel et à une remédiation automatique, MTD s'intègre de manière transparente avec les principales solutions de gestion de flotte mobile (UEM/MDM) telles que Microsoft Intune, VMware Workspace ONE et Samsung Knox Manage, permettant de contrôler l'accès aux ressources en fonction du niveau de risque détecté. Par ailleurs, Pradeo propose une suite d'outils de sécurité applicative, regroupés sous la plateforme Yagaan, incluant des services d'audit de code source, de tests de sécurité des applications mobiles (MAST), de protection du code (obfuscation, chiffrement) et de défense en temps réel (RASP). Reconnue comme l'un des leaders mondiaux de la sécurité mobile par des analystes tels que Gartner, IDC et Frost & Sullivan, Pradeo collabore avec des partenaires technologiques majeurs et distribue ses solutions dans plus de 60 pays. Son offre s'adresse aussi bien aux grandes entreprises qu'aux PME, avec des solutions adaptées aux besoins spécifiques de chaque organisation.

R2Devops

R2Devops est une startup française fondée en 2023, spécialisée dans la sécurisation des chaînes d'approvisionnement logicielles (software supply chains) pour les environnements DevSecOps. Sa plateforme basée sur l'intelligence artificielle automatise l'audit de conformité des pipelines CI/CD GitLab, permettant aux équipes techniques, RSSI et DSI de vérifier rapidement la conformité aux normes telles que ISO 27001, SecNumCloud, NIS2 et OWASP. En quelques heures, R2Devops identifie les vulnérabilités, les mauvaises configurations et les risques liés aux dépendances logicielles, offrant ainsi une visibilité complète sur l'intégrité des processus de développement. L'outil génère également des tableaux de bord interactifs et des rapports détaillés, facilitant la collaboration entre les équipes et la gestion des risques. R2Devops s'intègre aisément aux outils existants, comme GitLab, et est conçu pour être utilisé par des organisations de toutes tailles, des PME aux grands groupes. Elle est reconnue pour sa capacité à renforcer la confiance numérique et à réduire les risques liés aux chaînes d'approvisionnement logicielles.

Rever Sense

Reversense est une entreprise française fondée en 2020, spécialisée dans la cybersécurité offensive, avec un accent particulier sur l'ingénierie inverse et l'analyse des applications mobiles et embarquées. Sa plateforme phare, Dexcalibur, est un outil automatisé de rétro-ingénierie et de tests de pénétration, conçu pour aider les évaluateurs de sécurité, les CERT/SOC et les forces de l'ordre à analyser des applications obfusquées, à contourner des mécanismes de sécurité et à générer des rapports reproductibles. Dexcalibur intègre des fonctionnalités avancées telles que l'instrumentation dynamique, l'analyse statique et l'exécution symbolique, permettant une évaluation approfondie des vulnérabilités. Parallèlement, Reversense propose SenseBox, un banc d'essai clé en main pour les évaluations de sécurité, et offre des formations spécialisées pour maîtriser ses outils. L'entreprise s'adresse principalement aux professionnels de la cybersécurité, aux équipes de développement logiciel et aux délégués à la protection des données (DPO). Basée à Toulouse, Reversense est reconnue pour son approche innovante et sa contribution à la recherche en cybersécurité.

TrustInSoft

TrustInSoft fournit des solutions d'analyse statique exhaustive et de vérification formelle pour les logiciels écrits en C, C++ et Rust, permettant de garantir mathématiquement l'absence de vulnérabilités critiques telles que les débordements de mémoire, les accès hors limites ou les comportements indéfinis. Son outil principal, TrustInSoft Analyzer, utilise des méthodes formelles avancées, notamment l'interprétation abstraite, pour analyser l'ensemble des chemins d'exécution possibles, assurant ainsi une couverture complète du code sans faux positifs ni faux négatifs. La solution est particulièrement adaptée aux logiciels embarqués critiques, tels que les pilotes, micrologiciels, chargeurs de démarrage et systèmes d'exploitation, grâce à sa capacité à émuler fidèlement plus de 24 architectures matérielles, y compris x86, ARM, RISC-V et SPARC. Cette fonctionnalité permet de détecter les erreurs spécifiques aux plateformes cibles dès les premières phases du développement, réduisant ainsi les coûts liés aux tests sur matériel physique. TrustInSoft accompagne également les organisations dans l'obtention de certifications de sûreté et de sécurité logicielle, telles que ISO 26262 (automobile), DO-178C (aéronautique) ou EN 50128 (ferroviaire), en fournissant des preuves formelles de conformité. L'entreprise collabore avec des acteurs majeurs des secteurs de l'aéronautique, de l'automobile, des télécommunications et de l'IoT industriel, et a été reconnue par le NIST pour sa capacité à prouver l'absence de familles entières de bogues. En 2025, TrustInSoft a étendu ses services à l'analyse de code Rust, en partenariat avec Ferrous Systems, afin de sécuriser les bases de code hybrides combinant C/C++ et Rust, répondant ainsi aux directives de la CISA visant à éliminer les vulnérabilités liées à la mémoire dans les logiciels critiques.