← AI War Room
Cybersécurité

Rapid7 se lance dans la gouvernance cyber

Tech4B2B · · 3 min (mis à jour le )
Illustration : Rapid7 se lance dans la gouvernance cyber
  • Sujet: Rapid7 se lance dans la gouvernance cyber
  • Date:
Rapid7 ouvre un programme d'accès anticipé pour un module de gouvernance et conformité cyber, intégré à sa plateforme Command. L'éditeur de cybersécurité, historiquement positionné sur la détection des vulnérabilités et la réponse aux incidents, tente d'occuper un terrain déjà disputé par des acteurs spécialisés comme ServiceNow, Drata ou Vanta. Le timing n'est pas neutre : la pression réglementaire (NIS2, DORA, SEC disclosure rules) pousse les DSI à consolider leurs outils de conformité, et Rapid7 veut capter ce budget avant qu'il ne soit fléché ailleurs.

Rapid7 a annoncé l'ouverture d'un programme d'accès anticipé — early access, pas beta, la nuance est marketing — pour un module baptisé Governance & Compliance, intégré à la plateforme Command. Le module promet de centraliser le suivi de la posture de conformité, de mapper les contrôles de sécurité existants sur les référentiels réglementaires (ISO 27001, NIST CSF, SOC 2, et les textes européens type NIS2), et de produire des tableaux de bord destinés aux RSSI et aux comités de direction.

Corey Thomas, CEO de Rapid7, parle d'une "extension naturelle" de la plateforme.

"Nos clients nous disent depuis deux ans qu'ils passent autant de temps à prouver qu'ils sont conformes qu'à réellement sécuriser leurs environnements. On veut éliminer ce fossé."

Deux ans, c'est aussi le temps qu'il a fallu à Rapid7 pour restructurer sa stratégie produit autour de Command Platform après des résultats 2023 en demi-teinte : croissance de l'ARR ralentie à 13 % au Q4 2023, contre 20 % un an plus tôt. Le titre a perdu près de 40 % de sa valeur entre le pic de 2023 et le creux de début 2024. Le virage vers la gouvernance ressemble à une tentative de remonter l'ARPU par client existant autant qu'à une réponse à un besoin terrain.

Ce que le module fait — et ce qu'il ne fait pas encore

D'après les éléments communiqués, le module s'appuie sur les données déjà collectées par les agents Rapid7 (vulnérabilités, configurations, logs) pour alimenter automatiquement les contrôles de conformité. L'idée : éviter la double saisie et les tableurs Excel qui servent encore de colonne vertébrale à la conformité dans une majorité de SOC de taille moyenne.

Aucun prix n'a été communiqué. Aucune liste de clients pilotes non plus. Le programme est décrit comme "sur invitation", ce qui en pratique signifie que Rapid7 sélectionne les comptes qui remonteront les meilleurs témoignages au moment du lancement général — probablement au second semestre 2025.

L'intégration avec des outils GRC tiers n'est pas mentionnée. Pour un DSI qui utilise déjà ServiceNow GRC ou OneTrust, la question est immédiate : est-ce un remplacement ou une couche supplémentaire ? Rapid7 ne répond pas.

Un marché GRC à 15 milliards qui attire tout le monde

Le marché de la gouvernance, risque et conformité (GRC) est évalué entre 13 et 15 milliards de dollars en 2024 selon les estimations. Il croît de 12 à 14 % par an. Mais la fragmentation est extrême : les pure players comme Drata ou Vanta automatisent la conformité SOC 2 et ISO 27001 en quelques semaines pour les scale-ups ; ServiceNow et Archer dominent le segment enterprise ; et les éditeurs de cybersécurité — CrowdStrike, Palo Alto Networks, maintenant Rapid7 — tentent d'absorber la fonction depuis leur base installée.

CrowdStrike a pris ce virage il y a plus d'un an. George Kurtz, son CEO, répétait en juin 2024 que "la consolidation des agents de sécurité est le premier levier de réduction du coût de conformité". Rapid7 reprend presque le même argumentaire, avec dix-huit mois de retard et une base installée sensiblement plus petite.

NIS2, DORA, SEC

Le calendrier réglementaire joue en faveur de n'importe quel éditeur qui promet de simplifier la conformité. NIS2 devait être transposé dans les législations nationales européennes en octobre 2024 — la France n'a toujours pas finalisé son texte. DORA est entré en application le 17 janvier 2025 pour le secteur financier. Les règles de divulgation d'incidents de la SEC américaine, en vigueur depuis décembre 2023, créent une pression opérationnelle directe sur les RSSI des filiales américaines de groupes européens.

Un RSSI d'un groupe industriel français du CAC 40, interrogé en marge des Assises de la cybersécurité à Monaco l'an dernier, résumait :

"Le problème n'est pas de mapper nos contrôles sur un référentiel. Ça, n'importe quel stagiaire avec un tableur peut le faire. Le problème, c'est de prouver en continu que le contrôle est effectif, avec des preuves auditables. Et ça, personne ne le fait bien."

Rapid7 affirme que son module fournira cette preuve continue en s'appuyant sur la télémétrie temps réel de ses agents. Sur le papier, l'argument tient. En pratique, cela suppose que le client a déployé les agents Rapid7 sur l'ensemble de son périmètre — serveurs, endpoints, cloud — ce qui est rarement le cas dans les environnements hybrides complexes.

Le programme d'accès anticipé est ouvert depuis la semaine du 9 juin. Les premières démonstrations sont programmées lors de la conférence Take Command de Rapid7, prévue en septembre à Boston.

Il y a un détail dans l'annonce qui ne figure pas dans le communiqué principal mais dans une FAQ technique annexe : le module ne supporte au lancement que quatre frameworks de conformité. ISO 27001, NIST CSF 2.0, SOC 2, et CIS Controls. Ni NIS2, ni DORA, ni PCI-DSS. Pour un produit qui cible aussi le marché européen et financier, c'est une absence notable.

Rapid7 emploie environ 2 600 personnes. L'équipe produit dédiée à Command Platform a été renforcée de 30 % en 2024, d'après les chiffres communiqués lors du dernier earnings call. L'essentiel des recrutements a été fait à Belfast et à Prague.

TL;DR

Rapid7 ouvre un accès anticipé pour un module de gouvernance et conformité cyber intégré à sa plateforme Command, ciblant un marché GRC à 15 milliards de dollars où CrowdStrike et ServiceNow ont déjà pris position.

  • Le module promet de transformer la télémétrie de sécurité existante en preuves de conformité auditables, mais ne supporte au lancement que quatre référentiels — ni NIS2, ni DORA, ni PCI-DSS.
  • Rapid7 cherche à remonter son revenu par client dans un contexte de croissance ralentie (ARR en baisse à 13 % fin 2023), en attaquant un segment déjà occupé par des pure players GRC et des plateformes enterprise.
  • Aucun prix, aucun client pilote nommé, aucune date de disponibilité générale : le programme reste à ce stade une déclaration d'intention adossée à un calendrier réglementaire favorable.

Questions fréquentes

Le module Rapid7 peut-il remplacer un outil GRC existant comme ServiceNow ou Drata?

Pas en l'état. Avec seulement quatre frameworks supportés au lancement et aucune mention d'intégration avec des outils GRC tiers, il s'agit pour l'instant d'un complément pour les clients Rapid7 existants, pas d'une alternative crédible aux plateformes GRC dédiées.

Pourquoi NIS2 et DORA ne sont-ils pas supportés au lancement alors que ce sont les moteurs réglementaires du moment en Europe?

Rapid7 n'a pas communiqué d'explication. Le texte NIS2 n'est pas encore finalisé dans plusieurs pays, ce qui complique le mapping des contrôles. DORA, en revanche, est en vigueur depuis janvier 2025. Son absence suggère que le module a été conçu d'abord pour le marché nord-américain.

Quel est le risque pour un DSI qui attendrait la disponibilité générale plutôt que de rejoindre le programme d'accès anticipé?

Faible. L'accès anticipé permet d'influencer la roadmap produit, mais les engagements de support et de stabilité ne sont pas ceux d'un produit GA. Attendre la version générale — probablement fin 2025 — donne aussi le temps de voir si les frameworks européens seront effectivement intégrés.

Article rédigé par Hamadi Lanouar
Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.