Gestion des accès : des offres plus englobantes sur les identités
Les capacités de détection des menaces sur les identités se développent dans les solutions autonomes de gestion des accès. Qui se distingue sur ce marché ?
La détection des menaces sur les identités, encore peu développée dans les solutions de gestion des accès ?
L'an dernier, Gartner avait fait la remarque dans le Magic Quadrant dédié à ce segment de marché. Autant cet aspect s'incarnait chez la majorité des offreurs, autant c'était souvent sous une forme basique (logs et rapports personnalisés). Peu allaient plus loin, en particulier pour aider à repérer les erreurs de configuration et les vulnérabilités sur les outils.
Désormais, le discours change : ces capacités se sont "nettement" développées. Entre autres sur les alertes automatisées, la vérification personnalisée de la posture de sécurité d'appareils et la détection des attaques par injection. En parallèle, les délais de configuration des solutions de gestion des accès se sont réduits - notamment à renfort d'assistance IA - et les consoles d'administration ont gagné en simplicité. Tandis que la prise en charge des passkeys s'est généralisée. 9 des 10 fournisseurs classés au Magic Quadrant en supportent des versions multidevice dans leur offre B2E (business-to-employee ; identités internes). Ils sont 8 sur 10 à faire de même sur la partie CIAM (customer identity access management ; identités externes). À novembre 2024, RSA était toutefois le seul à proposer sa propre application mobile d'authentification supportant les passkeys liées à l'appareil (Microsoft en avait une en bêta publique sur son offre B2E). Ils ne sont par ailleurs que trois à gérer une séparation complète des différents types de passkeys sur leur offre B2E (et deux sur le CIAM).
Lire aussi : Gestion des accès : une timide convergence IAM
Dix fournisseurs, quatre "leaders"
Pour figurer au Magic Quadrant de la gestion des accès, il fallait proposer, au 8 juillet 2024, une solution autonome de gestion des accès respectant au moins six exigences fonctionnelles. Dans les grandes lignes, les mêmes que l'an dernier, touchant aux services d'annuaire, à l'administration des identités (gestion "basique" de leur cycle de vie), au SSO / gestion des sessions, à l'authentification (accent sur les méthodes MFA robuste et les contrôles pour atténuer l'usage des mots de passe compromis) et à l'autorisation (accès adaptatif basé sur l'évaluation du risque).
L'an dernier, Gartner avait commencé à prendre officiellement en compte les solutions SaaS. Cette fois, elles seules ont été prises en compte.
Les offreurs sont évalués sur deux axes. L'un prospectif ("vision"), centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit...). L'autre centré sur la capacité à répondre effectivement à la demande ("exécution" : expérience client, performance avant-vente, qualité des produits/services...).
Sur l'axe "exécution", la situation est la suivante :
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Rang | Fournisseur | Évolution annuelle |
1 | Microsoft | +1 |
2 | Okta | -1 |
3 | Ping Identity | = |
4 | CyberArk | +1 |
5 | Entrust | +2 |
6 | IBM | = |
7 | Thales | +2 |
8 | OpenText | +3 |
9 | One Identity | -1 |
10 | RSA | nouvel entrant |
Sur l'axe "vision" :
Rang | Fournisseur | Évolution annuelle |
1 | Ping Identity | = |
2 | Okta | +1 |
3 | Microsoft | -1 |
4 | Thales | +2 |
5 | IBM | -1 |
6 | CyberArk | +1 |
7 | Entrust | +1 |
8 | One Identity | +2 |
9 | RSA | nouvel entrant |
10 | OpenText | -1 |
D'une année à l'autre, IBM, Microsoft, Okta et Ping Identity restent dans le carré des "leaders". ForgeRock en disparaît du fait de son acquisition par Ping Identity.
L'offre d'IBM manque toujours de notoriété
En 2023, IBM avait eu des bons points pour sa tarification, sa feuille de route, sa brique de gestion du consentement et sa stratégie géographique (ouverture de régions cloud). Gartner avait également apprécié l'intégration avec l'écosystème Red Hat. Il n'en avait pas dit autant sur le portefeuille de connecteurs (limité par rapport à la concurrence). Ni sur l'offre CIAM B2B ("pas la plus mature") ou sur la notoriété de marque.
Ce dernier élément reste un problème, considère le cabinet américain. Les solutions de gestion des accès d'IBM restent par ailleurs perçues comme adaptées aux plus grandes entreprises. Le groupe américain a, en outre, été "lent" pour obtenir certaines certifications. Et il est le seul à ne pas avoir modifié son business model (tarification, licensing) ces 24 derniers mois.
Les prix restent néanmoins "compétitifs". Ils sont sous la moyenne du marché pour le B2E... et, encore plus nettement, sur le CIAM. Gartner souligne les améliorations apportées sur cette partie CIAM (mapping IoT, administration déléguée multipersonas, avancées sur la gestion de la privacy). Il y ajoute l'efficacité du support et la qualité du portail développeurs.
Microsoft, générateur d'expériences complexes
L'an dernier, Microsoft avait obtenu des scores inégalés sur la fiabilité. Ainsi que sur la tarification - en particulier pour le CIAM. Gartner avait aussi salué sa compréhension du marché (positionnement anticipé sur les identités machine et les identités décentralisées) et ses capacités de détection des menaces. Le cabinet américain avait toutefois noté le manque de maturité du CIAM. Il avait aussi alerté sur le besoin de licences supplémentaires pour des fonctionnalités au public potentiellement large. Et sur le travail nécessaire pour intégrer, dans Entra ID, des flux, des méthodes MFA alternatives ou des outils d'autres écosystèmes.
La tarification reste un élément distinctif : elle est "très compétitive", notamment sur le CIAM. Gartner apprécie aussi la capacité de Microsoft à collaborer avec des fournisseurs tiers pour apporter des fonctionnalités non incluses dans Entra ID. Il salue aussi la centralisation de la console admin entre les briques B2E et CIAM (identités machine comprises). Et l'ancrage d'Entra ID dans la stratégie cybersécurité de Microsoft, comme son étroite intégration avec Microsoft 365.
Microsoft n'a toujours pas consolidé ses deux produits CIAM (Entra External ID et Azure AD B2C), avec les risques de confusion que cela implique, fait remarquer Gartner. Plus globalement, l'expérience de déploiement, de gestion et de support reste complexe, surtout lorsque des intégrations par code sont requises. Azure AD B2C exige d'ailleurs beaucoup de personnalisation, en particulier pour embarquer des méthodes MFA alternatives.
Prix élevés chez Okta...
L'an dernier, Gartner avait distingué Okta sur l'authentification, la détection des menaces et l'intégration des identités tierces. Il avait plus globalement salué la couverture fonctionnelle. Et une croissance "sans égale" sur la partie CIAM. Okta avait aussi eu un bon point pour sa roadmap (autorisation fine, gestion de la posture de sécurité, intégration desktop pour la composante MFA). Gartner avait cependant relevé l'absence de parité fonctionnelle entre B2E et CIAM, l'indisponibilité d'une gestion du consentement et des prix "largement au-dessus de la moyenne" (avec, de surcroît, une licence supplémentaire pour l'accès adaptatif).
Cette fois encore, la qualité de ses produits vaut à Okta un bon point. Comme la stratégie d'offre associée, marketing compris ("exhaustif" et "efficace"). Autre bon point, sur l'innovation : Okta a avancé sur la visibilité de la surface d'attaque, la granularité de la gouvernance et des autorisations, ainsi que le logout universel.
Pas de changement côté prix : Okta reste "parmi les plus chers". Il affiche par ailleurs une concentration géographique de clientèle sans égale (près des trois quarts en Amérique du Nord). Difficile, par ailleurs, d'ignorer l'atteinte sur son image liée aux incidents de sécurité subis cette année.
... comme chez Ping Identity
L'innovation avait valu, l'an dernier, un bon point à Ping Identity (marketplace pour l'orchestrateur, solutions packagées axées sur des cas d'usage). Même chose pour sa capacité de réponse au marché (autorisation fine sur les API, détection d'anomalies dans les tokens OAuth). Et pour la maturité de l'offre B2E. Gartner avait totuefois pointé une implémentation potentiellement complexe, des prix supérieurs à la moyenne sur beaucoup de use cases CIAM... et des coûts supplémentaires pour le contrôle d'accès sur les API, l'autorisation avancée et le moteur d'évaluation de risque.
Cette année, Gartner salue la qualité globale des produits de Ping Identity (meilleurs scores sur l'authentification et la vérification d'identités). Il apprécie aussi les capacités no code (glisser-déplacer) de l'orchestrateur et plusieurs éléments d'innovation (prévention de fraude avec biométrie comportementale, autorisation fine...).
Déjà complexe, le portefeuille l'est devenu encore plus avec l'acquisition de ForgeRock. Quant à la tarification, elle est globalement plus élevée que la moyenne, surtout sur le B2E et la gestion des identités de partenaires. Le support est, lui, moins régionalisé que chez les principaux rivaux (Gartner mentionne les plaques Amérique du Sud et Asie-Pacifique).
Illustration
Sur le même thème
Voir tous les articles Cybersécurité