Meilleures alternatives à Veracode pour la sécurité des applications (Outils Dev-First à considérer)

Introduction

Veracode est une plateforme de sécurité des applications bien connue, appréciée pour sa combinaison d'analyse statique du code, de tests dynamiques et d'analyse de la composition des logiciels en un seul service. Les équipes choisissent Veracode pour détecter les failles de sécurité pendant le développement et se conformer aux exigences de sécurité. Veracode se distingue par sa couverture complète et ses politiques d'entreprise.

Cependant, de nombreux développeurs et ingénieurs en sécurité ont été frustrés par les inconvénients de Veracode, qu'il s'agisse d'une interface utilisateur encombrante, d'un prix élevé, de scans trop longs ou de résultats trop bruyants. Les points négatifs les plus courants sont une interface désuète, une configuration complexe, trop de faux positifs et des analyses qui ralentissent les pipelines de CI. En conséquence, certains utilisateurs ont l'impression que Veracode fournit plus de théatre de sécurité que de sécurité actionnable.

Voici quelques commentaires sincères d'utilisateurs réels :

"Veracode est coûteux et son modèle de tarification peut être déroutant et onéreux, en particulier pour les petites entreprises. Des faux positifs sont fréquemment signalés lors des analyses." - G2 Reviewer

"L'interface utilisateur semble obsolète et parfois encombrante. - Gartner Peer Insights reviewer

"Nous avons installé Veracode Greenlight... il n'a jamais rien détecté, et tout ce qu'il rapportait était incorrect. C'était une perte de temps et cela n'apportait aucune valeur ajoutée à la sécurisation de notre code". - Utilisateur de Reddit

Si cela vous semble familier, vous êtes probablement prêt à explorer des alternatives. Dans cet article, nous allons comparer les meilleures alternatives à Veracode qui offrent une protection réelle sans superflu. Nous examinerons :

• Sécurité de l'aïkido
• Checkmarx
• Sécurité avancée de GitHub
• GitLab Ultimate
• Snyk
• SonarQube

Qu'est-ce que Veracode ?

Veracode est une plateforme de test de sécurité des applications qui propose plusieurs types d'analyses sous un même toit. Son service basé sur le cloud peut effectuer des tests statiques de sécurité des applications (SAST) sur le code compilé, des tests dynamiques de sécurité des applications (DAST ) sur les applications en cours d'exécution et une analyse de la composition du logiciel (SCA ) pour les dépendances open-source.

En pratique, Veracode est utilisé par les entreprises pour rechercher les vulnérabilités dans le code source et les applications web, souvent dans le cadre de programmes de conformité ou de gestion des risques. Il s'intègre aux pipelines CI/CD et aux outils de développement pour intégrer des contrôles de sécurité dans le cycle de vie du développement logiciel.

Dans un modèle AppSec traditionnel, Veracode agit comme un guichet unique pour trouver les failles de codage connues, les dépendances non sécurisées et les vulnérabilités des applications web avant qu'elles n'atteignent la production. Les équipes de sécurité apprécient le fait que Veracode couvre un large éventail de langages et fournit des rapports détaillés sur les failles. La plateforme de Veracode comprend également des fonctions de gouvernance telles que la gestion des politiques et les rapports de conformité, qui intéressent les grandes entreprises ayant des exigences strictes en matière de sécurité.

Pourquoi chercher des alternatives ?

Malgré les capacités de Veracode, de nombreuses équipes commencent à chercher une meilleure solution lorsqu'elles se heurtent à ses frictions. Les raisons les plus courantes de chercher une alternative sont les suivantes :

• Lenteur des scans et des flux de travail: Les analyses de Veracode peuvent prendre beaucoup de temps (souvent plus de 30 minutes, même pour des applications modérées), ce qui ralentit le développement. Les utilisateurs signalent des temps de chargement longs et l'attente des résultats, ce qui nuit à la vitesse de CI/CD.
• Nombre élevé de faux positifs: L'outil signale souvent des problèmes qui ne sont pas de vraies vulnérabilités. Les équipes gaspillent leurs efforts à trier le "bruit" ou doivent faire appel au support de Veracode pour marquer les faux positifs. Cela conduit à une lassitude des alertes.
• Mauvaise expérience pour les développeurs: Une interface utilisateur obsolète et encombrante ainsi que des processus compliqués rendent Veracode impopulaire auprès des développeurs. L'intégration de nouveaux projets ou l'atténuation des résultats n'est pas aussi simple qu'elle devrait l'être. La lourdeur de l'entreprise peut frustrer les équipes agiles. (Gartner Peer Insights)
• Prix et licences: Veracode est cher, avec des prix qui varient en fonction des fonctionnalités et du nombre d'applications/utilisateurs. Les petites et moyennes équipes trouvent le coût prohibitif et le modèle de licence déroutant. (PeerSpot Reviews)
• Limites de l'intégration: Bien que Veracode puisse s'intégrer avec des outils de développement, il n'est pas aussi transparent ou centré sur le développeur que les nouvelles alternatives. Par exemple, Veracode nécessite de télécharger des builds (il analyse les binaires), ce qui est moins pratique que d'analyser les sources en temps réel. Ses conseils en matière de remédiation sont également considérés comme plus faibles que certains outils axés sur le développement, tels qu'Aikido.
• Mises à jour lentes: Veracode étant une plateforme ancienne, la prise en charge de nouveaux langages ou frameworks peut être à la traîne. Certains utilisateurs remarquent que le moteur ne suit pas les dernières technologies (par exemple, les nouvelles versions de langage ou les frameworks modernes).
• Assistance et flexibilité: Les utilisateurs ont fait état d'une assistance qui laisse à désirer et de flux de travail rigides. Personnaliser les règles ou obtenir de l'aide pour des cas d'utilisation uniques peut nécessiter des services supplémentaires.

En bref, les équipes veulent "passer à gauche" et permettre aux développeurs de résoudre rapidement les problèmes, mais Veracode les ralentit parfois. La recherche d'une alternative implique généralement de trouver un outil plus rapide, plus précis, plus facile à utiliser et plus rentable.

Top Alternatives to Veracode

Vous trouverez ci-dessous une liste rapide des principales alternatives à Veracode que nous allons couvrir, ainsi qu'un aperçu de la raison pour laquelle chacune d'entre elles figure sur la liste :

• Aikido Security - Plateforme de sécurité code-to-cloud tout-en-un avec un minimum de faux positifs et une expérience de développement en premier. (Notre premier choix pour la protection et la simplicité dans le monde réel).
• Checkmarx - Plate-forme SAST et AppSec de pointe (Checkmarx One) connue pour son large éventail de langues et ses options sur site.
• GitHub Advanced Security - Fonctions de sécurité natives de GitHub (CodeQL code scanning, secret scanning, Dependabot) intégrées de manière transparente dans les pull requests.
• GitLab Ultimate - Le niveau le plus élevé de GitLab avec SAST, DAST, scan de conteneurs et plus encore, le tout automatisé dans CI pour ceux qui utilisent déjà GitLab.
• Snyk - Plate-forme de sécurité open source conviviale pour les développeurs, offrant des fonctions SCA, conteneur, IaC et d'analyse du code, avec des corrections faciles et une intégration solide dans les outils de développement.
• SonarQube - Plate-forme populaire de qualité du code qui signale également les problèmes de sécurité ("odeurs de code" et vulnérabilités) dans de nombreux langages ; excellent pour la santé et la propreté du code.

Examinons maintenant chacun de ces outils en détail et voyons comment ils se situent par rapport à Veracode.

Sécurité de l'aïkido

Présentation :
AikidoSecurity est une plateforme de sécurité des applications tout-en-un qui couvre tout, du code au nuage. Elle est conçue pour les équipes de développement qui veulent une protection réelle sans le bruit. Aikido combine plusieurs scanners -analyse du code statique(SAST), analyse des dépendances open-source (SCA), analyse des conteneurs, analyse de l'infrastructure en tant que code (IaC), tests dynamiques (DAST), tests d'API, et bien plus encore - sous un même toit.

La caractéristique la plus remarquable est l'accent mis sur l'absence de faux positifs et la priorité donnée aux développeurs dans l'interface utilisateur. Aikido contextualise les résultats pour supprimer le bruit et ne mettre en évidence que les vulnérabilités importantes, avec des conseils pratiques et des correctifs automatisés.

Caractéristiques principales :

• Plusieurs scanners en un - Couvre tout, du code source à l'exécution : SAST, SCA, détection des secrets, conteneurs, IaC, API et gestion de la posture dans le nuage. Plus besoin de jongler avec plusieurs fournisseurs ou outils.
• Réduction du bruit dès la conception - Aikido auto-trie les résultats pour éliminer le bruit. Si un problème n'est pas exploitable ou atteignable, il est automatiquement réduit au silence. Vous obtenez un signal réel, pas seulement des alertes.
• Conçu pour les développeurs - S'intègre parfaitement à GitHub, GitLab, Bitbucket, Jira, Slack et aux pipelines CI/CD. Vous pouvez exécuter des analyses localement, dans des demandes d'extraction ou dans le cadre de votre processus de publication.
• Correction automatique là où c'est important - Sa correction automatique alimentée par l'IA suggère ou applique des mesures correctives en fonction du contexte. Même lorsque des correctifs manuels sont nécessaires, vous obtenez des étapes claires, et pas seulement une liste de vulnérabilités.
• Retour d'information rapide et continu - Les analyses sont effectuées en quelques minutes, et non en quelques heures. Conçu pour s'adapter à votre cycle de développement, et non pour le bloquer.
• Déploiement flexible - Cloud-native par défaut, mais offre également une option d'analyse sur site pour les équipes ayant des exigences de sécurité plus strictes.

Pourquoi le choisir :
Si vous en avez assez des tableaux de bord surchargés, des faux positifs et des outils déconnectés, Aikido est fait pour vous. Il unifie les scanners, simplifie le triage et s'adresse aux développeurs.

Qu'il s'agisse d'une startup ou d'une grande entreprise d'ingénierie, Aikido vous offre une protection complète qui s'adapte à la façon dont les équipes modernes construisent les logiciels. C'est tout ce que Veracode promet, sans les frictions héritées du passé.

Checkmarx

Présentation :
Checkmarx est un nom établi de longue date dans le domaine de la sécurité des applications, surtout connu pour ses capacités de test statique de la sécurité des applications (SAST). Sa plateforme moderne - CheckmarxOne - estune suite AppSec unifiée et cloud-native qui inclut SAST, l'analyse de la composition logicielle (SCA), la sécurité des API, l'analyse de l'infrastructure en tant que code (IaC), l'analyse des conteneurs, et même certaines fonctionnalités DAST.

Alors que Veracode analyse les binaires compilés, Checkmarx analyse directement le code source, ce qui le rend plus flexible et plus facile à intégrer dans les flux de travail des développeurs. Les entreprises le choisissent souvent pour sa couverture approfondie des langues, sa capacité à personnaliser les règles et son déploiement optionnel sur site.

Caractéristiques principales :

• Moteur SAST complet - Checkmarx prend en charge des dizaines de langages et offre une analyse profonde et sensible au chemin sans nécessiter de builds. L'analyse incrémentale améliore les performances dans les grandes bases de code.
• Plate-forme unifiée - Checkmarx One réunit SAST, SCA, IaC, les conteneurs et les API sous une même interface. Comme Aikido, elle vise à éliminer la prolifération des outils.
• Workflow centré sur le développeur - Avec des intégrations pour les IDE les plus populaires (VS Code, IntelliJ, Eclipse), les fournisseurs Git, et les systèmes CI/CD, Checkmarx permet aux développeurs d'obtenir facilement des résultats au sein de leur flux normal.
• Règles personnalisées avec CxQL - Les équipes de sécurité peuvent écrire leurs propres règles de détection en utilisant le langage de requête Checkmarx (CxQL), ce qui facilite l'adaptation des analyses à des pratiques de codage ou à des cadres spécifiques.
• Options de déploiement flexibles - Checkmarx propose des déploiements complets sur site pour les équipes ayant des besoins stricts en matière de conformité ou de résidence des données, ce qui n'est pas le cas de Veracode.

Pourquoi le choisir :
Checkmarx est une alternative solide à Veracode si votre priorité absolue est une analyse de code statique robuste, en particulier pour les bases de code importantes et réglementées. Il est également idéal si vous souhaitez avoir un contrôle total sur l'exécution des analyses ou si vous avez besoin de règles hautement personnalisables.

Bien qu'il ait encore une courbe d'apprentissage et qu'il puisse générer des faux positifs sans réglage, sa flexibilité, sa prise en charge de nombreuses langues et sa préparation à l'entreprise en font un choix solide pour les équipes de sécurité qui préfèrent la profondeur et la configurabilité à la simplicité.

Sécurité avancée de GitHub

Présentation :
GitHubAdvanced Security (GHAS ) est la suite native de fonctions de sécurité de GitHub conçue pour analyser le code directement au sein de l'écosystème GitHub. Elle inclut l'analyse statique basée sur CodeQL, l'analyse secrète et l'analyse des dépendances open-source (via Dependabot). Il ne s'agit pas d'une plateforme autonome, mais plutôt d'une expérience totalement intégrée pour les équipes qui construisent déjà sur GitHub.

Sa force réside dans l'intégration transparente des contrôles de sécurité dans le flux de travail des développeurs - les résultats apparaissent directement dans les demandes d'extraction, sans qu'il soit nécessaire de changer de contexte. Pour les équipes qui utilisent déjà GitHub, il transforme le dépôt lui-même en une plateforme de développement sécurisée.

Caractéristiques principales :

• CodeQL Static Analysis - CodeQL permet des requêtes de sécurité qui traitent le code comme des données. Il détecte les vulnérabilités telles que l'injection SQL ou XSS avec des règles contextuelles. Vous pouvez utiliser des ensembles de requêtes par défaut ou personnaliser les vôtres.
• Analyse des secrets - Le GHAS analyse les informations d'identification exposées telles que les clés d'API et les mots de passe. Il peut même empêcher l'engagement de secrets et travaille avec de nombreux fournisseurs tiers pour révoquer automatiquement les clés.
• Analyse des dépendances et Dependabot - GHAS alerte sur les bibliothèques vulnérables et ouvre automatiquement des demandes de mise à jour pour les mettre à jour, ce qui rend votre pile plus sûre avec un minimum d'effort.
• Intégration Dev native - Les résultats de l'analyse du code apparaissent directement dans les demandes d'extraction, en ligne avec le code. Les développeurs voient les avertissements comme n'importe quelle autre vérification CI, ce qui rend l'adoption sans friction.
• Pas de frais d'installation - Il n'y a pas d'outil séparé à installer. Les contrôles de sécurité sont exécutés via les actions GitHub ou l'infrastructure hébergée. Pour les équipes natives de GitHub, cela signifie que la sécurité est activée avec quelques modifications de configuration.

Pourquoi le choisir :
GHAS est un choix de premier ordre pour les équipes qui construisent déjà sur GitHub. Il ne nécessite pas d'infrastructure ou de licences supplémentaires au-delà de GitHub Enterprise, et les développeurs apprécient la façon dont le retour d'information sur la sécurité s'intègre parfaitement dans leur flux de travail existant.

Le principal inconvénient ? Il ne fonctionne que sur GitHub. Si votre organisation s'étend sur plusieurs plateformes ou a besoin de fonctionnalités plus avancées comme DAST ou l'analyse IaC, le GHAS ne couvrira pas tout. Néanmoins, pour la plupart des cas d'utilisation, il s'agit d'un moyen rapide et convivial pour les développeurs de détecter les vulnérabilités à un stade précoce, sans avoir à acheter un autre produit.

GitLab Ultimate

Présentation :
GitLabUltimate est le plan haut de gamme de GitLab, qui intègre un large éventail de fonctions de sécurité dans sa plateforme DevOps. Il comprend SAST, DAST, l'analyse des conteneurs et des dépendances, la détection des secrets et les vérifications de l'infrastructure en tant que code, toutes déclenchées nativement par les pipelines CI de GitLab.

Plutôt que de construire des intégrations personnalisées ou d'utiliser des scanners distincts, GitLab Ultimate assure la sécurité dès le départ pour les équipes qui utilisent déjà GitLab pour le contrôle de version et le CI/CD.

Caractéristiques principales :

• SAST via des modèles - Des modèles intégrés exécutent des analyseurs spécifiques au langage (par exemple Bandit, ESLint, Brakeman) sur votre code. Les résultats de l'analyse apparaissent directement dans les demandes de fusion.
• DAST via ZAP - Les tests dynamiques de GitLab lancent votre application et l'analysent à l'aide de OWASP ZAP, ce qui permet de détecter en temps réel les vulnérabilités Web telles que SQLi ou XSS.
• SCA & Container Scanning - Des outils comme Gemnasium et Trivy recherchent les vulnérabilités connues dans les dépendances open-source et les images Docker, et transmettent les résultats au tableau de bord de sécurité de GitLab.
• Secret Detection & IaC - Analyse le code à la recherche d'informations d'identification et vérifie les configurations Terraform ou CloudFormation à la recherche de modèles non sécurisés, de manière automatique, sans aucune configuration manuelle.
• Tableau de bord de la sécurité - Une vue unique montre toutes les vulnérabilités actives dans tous les projets. Les équipes peuvent créer des problèmes, trier les risques et valider les correctifs à partir de la même interface que celle qu'elles utilisent pour livrer le code.

Pourquoi le choisir :
GitLab Ultimate est un choix solide pour les équipes déjà impliquées dans l'écosystème GitLab. Il automatise la sécurité sans ajouter d'outils ou de complexité de flux de travail. Vous n'obtiendrez pas la même profondeur que les meilleurs scanners, mais pour de nombreuses équipes, "assez bon + intégré" bat "puissant mais externe".

Idéal pour les petites et moyennes équipes d'ingénieurs qui veulent rester en sécurité sans surcharger leur pile ou leur budget de sécurité.

Snyk

Présentation :
Snyk est une plate-forme de sécurité axée sur le développement qui s'est imposée à l'origine grâce à son analyse intuitive des vulnérabilités en code source ouvert et à sa facilité d'utilisation. Au fil du temps, elle s'est développée pour inclure Snyk Code (SAST), Snyk Container et l'analyse IaC. La mission de Snyk est d'aider les développeurs à sécuriser ce qu'ils construisent au fur et à mesure qu'ils le construisent, avec le moins de friction possible.

Il se distingue par son interface simple, ses suggestions de correction intelligentes et ses intégrations profondes dans des outils de développement tels que GitHub, GitLab, Jenkins et les IDE les plus répandus. Comparé aux anciens scanners, Snyk ressemble plus à un copilote qu'à un gardien de la conformité.

Caractéristiques principales :

• Analyse de vulnérabilité Open Source (SCA) : Snyk compare vos bibliothèques (npm, Maven, PyPI, Docker, etc.) à sa base de données de vulnérabilités et vous informe des problèmes, avec des conseils de correction détaillés et des suggestions de correctifs.
• Snyk Code (SAST) : Acquis auprès de DeepCode, cet analyseur statique rapide et doté d'une intelligence artificielle signale des problèmes tels que l'injection de commandes, les API non sécurisées et les secrets codés en dur, avec des exemples concrets.
• Analyse des conteneurs et de l'IaC : Snyk Container analyse les images Docker pour détecter les vulnérabilités au niveau du système d'exploitation. La prise en charge IaC couvre Terraform, Kubernetes et CloudFormation, et détecte les configurations erronées telles que les ports ouverts ou les buckets de cloud public.
• Intégrations CI/CD et outils de développement : Fonctionne nativement avec GitHub, GitLab, Bitbucket et des IDE comme JetBrains et VS Code. Vous pouvez même le configurer pour qu'il crée automatiquement des demandes d'extraction qui corrigent les bibliothèques obsolètes.
• Une sortie conviviale pour les développeurs : Chaque problème comprend une description en langage clair, la gravité, le chemin de mise à niveau et même le contexte d'accessibilité, afin que les développeurs puissent se concentrer sur la correction de ce qui est réellement important.

Pourquoi le choisir :
Snyk est idéal pour les équipes d'ingénieurs qui veulent des outils de sécurité qui s'intègrent à leur flux de travail et ne constituent pas un obstacle à la livraison du code. Si votre pile repose fortement sur des paquets open-source, des conteneurs ou l'infrastructure en tant que code, Snyk la couvre dès le départ.

Bien que le moteur SAST de Snyk soit en retard par rapport à des acteurs comme Checkmarx en termes de profondeur brute, il s'améliore rapidement et sa facilité d'utilisation globale en fait une excellente alternative à Veracode pour la plupart des équipes modernes. Bonus : il offre un niveau gratuit généreux, ce qui le rend particulièrement attrayant pour les startups et les petites équipes qui tâtent le terrain.

SonarQube

Présentation :
SonarQube est surtout connu pour améliorer la qualité et la propreté du code, mais il comprend également un ensemble croissant de règles axées sur la sécurité, en particulier dans ses éditions Developer et Enterprise. Développé par SonarSource, il est souvent utilisé en interne par les équipes de développement pour assurer la cohérence du code, détecter les bogues et repérer rapidement les problèmes de sécurité.

De nombreuses organisations l'utilisent déjà pour les contrôles de qualité et la couverture des tests, de sorte que l'activation de ses fonctions de sécurité est souvent une étape naturelle. Il prend en charge plus de 20 langues et propose des versions de SonarCloud sur site et dans le nuage.

Caractéristiques principales :

• Analyse statique du code pour la sécurité et la qualité : SonarQube analyse le code pour détecter les failles logiques, les odeurs de code et les vulnérabilités de sécurité alignées sur le Top 10 de l'OWASP et le CWE. Il signale les injections SQL, les secrets codés en dur et l'utilisation abusive des API cryptographiques.
• SonarLint pour l'intégration IDE : Les développeurs peuvent détecter les problèmes en temps réel pendant l'écriture du code, grâce à des plugins pour VS Code, JetBrains, Eclipse, etc.
• Détection des secrets : Dans des mises à jour récentes, SonarQube a ajouté la prise en charge de la détection des clés API, des informations d'identification et d'autres données sensibles dans le code afin d'éviter toute exposition accidentelle.
• Portes de qualité du code : Les équipes peuvent appliquer des règles telles que "pas de nouvelles vulnérabilités critiques" ou "maintenir une couverture de test de 80 %", ce qui permet de conserver des bases de code propres et sûres au fil du temps.
• Rapports centralisés : Son tableau de bord affiche les tendances dans le temps, ce qui vous permet de visualiser les améliorations (ou les régressions) de votre posture de sécurité d'une version à l'autre.

Pourquoi le choisir :
SonarQube est parfait pour les équipes qui cherchent à combiner la qualité du code et la sécurité de base en un seul outil. Bien qu'il n'offre pas d'analyse dynamique ou d'analyse approfondie des sources ouvertes, il détecte de manière fiable et précoce la plupart des vulnérabilités les plus courantes et les plus dangereuses, et il est facile à configurer et à gérer.

Si votre équipe utilise déjà SonarQube pour le contrôle qualité, l'activation des contrôles de sécurité n'entraîne qu'une surcharge minime. Et pour les organisations à faible niveau de sécurité ou les équipes souhaitant une alternative économique à Veracode, la Developer Edition offre une grande valeur ajoutée.

Tableau de comparaison

Pour faciliter la décision, voici une comparaison de Veracode et de ces principales alternatives sur des aspects clés :

Note : Tous les outils ci-dessus (à l'exception de SonarQube Community) proposent des plans commerciaux. Les niveaux de faux positifs sont des évaluations relatives ; les résultats réels peuvent varier d'un projet à l'autre.

Utilisez le tableau de comparaison pour identifier l'alternative qui correspond à vos priorités - par exemple, Aikido excelle dans l'étendue et le faible bruit, GHAS gagne sur l'intégration, Snyk sur la couverture open-source, etc. Ensuite, nous aborderons quelques questions courantes lors du choix d'une alternative Veracode.

Conclusion

Veracode a contribué à définir la sécurité des applications, mais pour les équipes modernes, il est souvent trop lent, bruyant et coûteux. Les meilleures alternatives actuelles mettent l'accent sur la rapidité, la clarté et l'expérience des développeurs.

Si vous en avez assez des analyses de sécuritéqui génèrent des alertes mais pas d'action, optez pour des outils qui donnent la priorité aux résultats réels : moins de faux positifs, des corrections plus rapides et une intégration CI/CD transparente.

Aikido Security se distingue par la combinaison d'une couverture complète (de SAST à l'analyse de la configuration du cloud) avec une interface orientée vers le développeur et un bruit quasi nul. Il est conçu pour être utilisé et non pour être évité.

La plupart des outils présentés dans ce guide proposent des essais gratuits ou des plans communautaires. Essayez-en quelques-uns. Voyez ce qui convient à votre flux de travail. La meilleure solution AppSec est celle que votre équipe aime utiliser.

Prêt à abandonner la friction héritée de Veracode ? Planifiez une démonstration ou commencez votre essai gratuit dès aujourd'hui - aucune carte de crédit n'est requise.