Gestion des accès à privilèges (PAM) : ce qui s'impose au-delà du SaaS
D'une année à l'autre, les écarts entre fournisseurs se sont nettement réduits au Magic Quadrant du PAM. Aperçu des forces en présence.
Pas d'assurance cyber sans stratégie de gestion des accès à privilèges ? Gartner affirme qu'une « minorité significative » d'entreprises à la recherche de solutions PAM lui présentent ainsi leurs motivations d'achat.
Sur le plan fonctionnel, le cabinet américain note un intérêt croissant pour la gestion des accès distants. Les fournisseurs ont, dans l'ensemble, fait évoluer leurs produits en conséquence, y introduisant notamment des fonctionnalités apparentées au ZTNA.
Ce marché ne fait pas exception au développement du modèle SaaS. Au 12 avril 2023, huit des onze sociétés classées au Quadrant proposaient une telle option. En parallèle, néanmoins, certains offeurs passés intégralement sur le modèle de l'abonnement ont relancé des licences perpétuelles.
Gartner distingue quatre catégories d'outils PAM :
- PASM (gestion des comptes et des sessions à privilèges)
- PEDM (gestion de l'élévation et de la délégation de privilèges)
- Gestion des secrets
- CIEM (gestion des accès à l'infrastructure cloud)
L'an dernier, seule la brique PASM était obligatoire pour prétendre figurer au Quadrant. Cette année, la sélection était à la fois plus contraignante et plus flexible. Il fallait en l'occurrence couvrir au moins trois de ces catégories... sachant que PASM et gestion des accès valaient chacun pour une catégorie.
Cet rehaussement des exigences fonctionnelles reflète l'évolution des offres. Tous les fournisseurs classés ont désormais une forme de gestion des secrets. Six ont intégré, à des degrés divers, du CIEM.
WALLIX n'est plus un « leader » du PAM
Le positionnement des fournisseurs dans le Quadrant du PAM résulte de la combinaison d'évaluations sur deux axes. L'un prospectif (« vision »), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit...). L'autre centré sur la capacité à répondre effectivement à la demande (« exécution » : expérience client, performance avant-vente, qualité des produits/services...).
L'an dernier, six fournisseurs se positionnaient en « leaders ». Il ne sont plus que trois : BeyondTrust, CyberArk et Delinea. Seul BeyondTrust progresse sur les deux axes. ARCON rétrograde chez les « challengers ». One Identity, chez les « visionnaires »... comme WALLIX.
Sur l'axe « vision », la situation est la suivante :
Fournisseur | |
1 | CyberArk |
2 | BeyondTrust |
3 | One Identity |
4 | Delinea |
5 | WALLIX |
6 | Netwrix |
7 | ARCON |
8 | HashiCorp |
9 | Saviynt |
10 | ManageEngine |
11 | Broadcom (Symantec) |
Sur l'axe « exécution » :
Fournisseur | |
1 | BeyondTrust |
2 | CyberArk |
3 | ARCON |
4 | ManageEngine |
5 | Delinea |
6 | WALLIX |
7 | Broadcom (Symantec) |
8 | One Identity |
9 | Saviynt |
10 | Netwrix |
11 | HashiCorp |
BeyondTrust : des passerelles DevOps à créer
BeyondTrust couvre la partie PASM avec les offres Password Sage et Privileged Remote Access, disponible en versions SaaS et appliance (physique et virtuelle). Il les propose associées au sein du bundle Total PASM, qui inclut aussi de la gestion des secrets. Le PEDM est couverture avec Privilege Management, en SaaS (Windows, Mac) et software (Windows, Mac, Linux). Le CIEM, avec Cloud Privilege Broker.
BeyondTrust a pour lui les performances de son bundle Total PASM, notamment sur la découverte de comptes à privilèges, la gestion des sessions, l'accès distant... et la facilité d'usage. Il se distingue aussi sur le PEDM, en particulier pour Mac et Linux. Gartner salue aussi les outils mis à disposition des utilisateurs pour évaluer leur niveau de maturité PAM.
Appréciation moins positive sur la gestion des secrets et des identités machine : peu d'innovation et pas d'intégration avec les technos DevOps. Par ailleurs, le processus de mise à jour des solutions est laborieux. Et les prix sont plus élevés que la moyenne du marché, surtout pour les versions logicielles.
CyberArk : peut mieux faire sur la gestion
Chez CyberArk, le PASM s'appelle Privileged Access Manager (SaaS ou software). Le PEDM, Endpoint Privileged Manager (SaaS ou software pour Windows, Mac et Linux). Application Access Manager et Conjur couvrent la partie gestion des secrets. Cloud Entitlements Manager, le CIEM. Vendor Privileged Manager, la gestion des accès distants.
Les produits de CyberArk sont parmi les plus matures, affirme Gartner, qui apprécie la gestion des identités machine, le CIEM et les capacités de journalisation. Les intégrations ITSM et IGA sont un autre point fort. Comme l'intégration du gestionnaire de secrets avec celui d'AWS et le développement du PAM « just-in-time ».
Lire aussi : Gestion des accès : une timide convergence IAM
Comme chez BeyondTrust, la mise à jour des produits est un point noir. Le constat s'étend à la gestion d'ensemble, qu'il s'agisse des passerelles on-prem obligatoires ou des processus manuels liés au DR. La qualité du support technique vaut aussi un mauvais point à CyberArk, comme les prix (parmi les plus élevés) et la contractualisation (produits déclinés en de multiples éditions avec licences séparées).
Delinea : une préférence SaaS
Secret Server est la marque PASM chez Delinea. Privilege Manager l'est pour le PEDM sur Windows et Mac (pour Linux, il faut se tourner vers l'offre Server PAM). La brique de gestion des secrets s'appelle DevOps Secrets Vault. Le CIEM ne fait pas l'objet d'un produit indépendant.
Gartner distingue la qualité du PEDM Linux et la facilité d'usage de Secret Server et Privilege Manager. Il note aussi, d'une part, la récente réorganisation des équipes de Delinea, avec du staffing à la clé. De l'autre, l'intention d'adopter SPIFFE et OPA, qui favoriseront l'interopérabilité.
Delinea a du retard sur les autres « leaders » pour les gestion des sessions RDP (agents locaux requis pour enregistrer frappe et métadonnées) et des secrets (pas de prise en charge de scénarios avancés fondés sur des comptes de service). La facilité d'usage revendiquée de Secret Server ne se traduit pas dans la pratique (personnalisations nécessaires via PowerShell). Et de manière générale, beaucoup de fonctionnalités sont réservées au SaaS.
Le PAM de WALLIX distingué sur l'informatique industrielle
Pas de CIEM pour WALLIX, mais du PASM avec Bastion (logiciel, appliance virtuelle, service managé), du PEDM avec BestSafe (logiciel) et de la gestion des accès distants (SaaS).
Gartner apprécie la qualité des produits de l'éditeur français sur la gestion des sessions et des transferts de fichiers. La gestion de l'informatique industrielle lui vaut aussi un bon point. Même chose pour le support client et la tarification, « très compétitive » sur tous les scénarios évalués.
WALLIX a, en revanche, de la marge de progression sur la découverte de comptes et la rotation des mots de passe pour les comptes de service. Ainsi que sur le développement géographique (empreinte encore limitée hors EMEA).
Illustration © Ruslan Gramble - Shutterstock
Sur le même thème
Voir tous les articles Cybersécurité