Gestion des accès à privilèges (PAM) : ce qui progresse à part les prix
Les trois fournisseurs que Gartner positionne en « leaders » du PAM ont des tarifs au-dessus de la moyenne du marché… comme WALLIX.
Le PAM (gestion des accès à privilèges), théâtre d’une certaine résistance au SaaS ?
Gartner avait pointé le phénomène l’an dernier dans le Magic Quadrant dédié à ce marché. Il avait, plus précisément, indiqué que plusieurs fournisseurs, après avoir abandonné les licences perpétuelles, y étaient revenus, en conséquence d’« opportunités perdues ».
Le cabinet américain n’en dit pas moins cette année. Il souligne toutefois que ce retour en arrière n’est pas incompatible avec l’adoption du PAM SaaS. Celle-ci croît d’autant plus que les offreurs se focalisent sur les PME, vu la maturité des ETI et des grands comptes.
Autre tendance toujours valable d’une année sur l’autre : la cyberassurance comme levier d’une « minorité significative » d’acquisitions. En 2023, Gartner n’avait pas accompagné cette affirmation de chiffres. Il le fait cette fois-ci : 15 à 25 % des premiers achats de PAM sont liés au moins en partie à des exigences d’assureurs.
Un cahier des charges technique plus exigeant
Gartner distingue toujours quatre catégories d’outils PAM :
– PASM (gestion des comptes et des sessions à privilèges)
– PEDM (gestion de l’élévation et de la délégation de privilèges)
– Gestion des secrets
– CIEM (gestion des accès à l’infrastructure cloud)
Voilà deux ans, seule la brique PASM était obligatoire pour figurer au Magic Quadrant. En 2023, les exigences fonctionnelles avaient été relevées, en conséquence de l’étoffement des offres. Il fallait en l’occurrence couvrir au moins trois de ces catégories… sachant que PASM et gestion des accès valaient chacun pour une catégorie.
Cette année, l’évaluation s’est faite sur deux plans.
Il fallait respecter, d’un côté, tous les critères listés comme « must-have » :
– Gestion et mise en œuvre centralisées des accès à privilèges, en contrôlant soit l’accès à des comptes et à des authentifiants, soit l’exécution de commandes, soit les deux
– Gestion et octroi des accès à privilèges aux utilisateurs autorisés sur une base temporaire
– Conservation et gestion des authentifiants pour les comptes à privilèges
De l’autre, au moins 4 des 5 qualifiés de « standards » :
– Découverte de comptes à privilèges
– Contrôle de l’élévation de privilèges par agent sur Windows, UNIX/Linux et macOS
– Gestion, supervision et enregistrement des sessions à privilèges
– Capacités d’audit
– Gestion des privilèges « just-in-time »
La gestion des secrets pour les applications et les services était facultative. Même chose pour le CIEM (gestion de l’infrastructure cloud). Ainsi que pour la gestion du cycle de vie des comptes à privilèges et des accès à privilèges distants.
Le Magic Quadrant du PAM, de plus en plus sélect
Au-delà du cahier des charges technique (évalué au 17 avril 2024), il fallait avoir un niveau minimum de revenus (25 M$ en 2023, maintenance incluse) ou de clientèle (1100 clients payants ayant acquis des outils sur l’ensemble du cœur PAM).
Plusieurs fournisseurs qui ne respectaient pas ce critère bénéficient tout de même d’une « mention honorable ». Nommément, Bravura Security (ex-Hitachi ID), Fortinet, Okta, Saviynt, senhasegura et StrongDM.
D’autres « mentions honorables » échoient à des offreurs qui n’entraient pas dans les clous sur le volet technique. HashiCorp en fait partie, comme Keeper Security… et Microsoft. Ce dernier ne prend pas en charge tous les aspects requis. Entra ID P2 inclut tout de même de la gestion des identités à privilèges axée sur les sessions JIT ; Entra Permissions couvre la partie CIEM ; Intune Endpoint Privilege Management, la partie PEDM.
HashiCorp et Savyint étaient du Magic Quadrant l’an dernier. Avec aucun entrant cette année, on ne compte plus que 9 fournisseurs. Dont toujours les trois mêmes « leaders » : BeyondTrust, CyberArk et Delinea. Le français WALLIX reste dans le carré des « visionnaires ».
Le positionnement au sein du Magic Quadrant résulte d’évaluations sur deux axes. L’un, appelé « vision », est prospectif. Il est centré sur les stratégies (sectorielle, géographique, commerciale, marketing, produit…). L’autre, « exécution », reflète la capacité à répondre effectivement à la demande (expérience client, performance avant-vente, qualité des produits/services…).
La situation sur l’axe « vision » :
| Rang | Fournisseur | Évolution du rang |
| 1 | CyberArk | = |
| 2 | Delinea | + 2 |
| 3 | BeyondTrust | – 1 |
| 4 | WALLIX | + 1 |
| 5 | One Identity | – 2 |
| 6 | ManageEngine | + 4 |
| 7 | ARCON | = |
| 8 | Netwrix | – 2 |
| 9 | Broadcom (Symantec) | + 2 |
Et sur l’axe « exécution » :
| Rang | Fournisseur | Évolution du rang |
| 1 | ARCON | + 2 |
| 2 | Delinea | + 3 |
| 3 | CyberArk | – 1 |
| 4 | BeyondTrust | – 3 |
| 5 | ManageEngine | – 1 |
| 6 | WALLIX | = |
| 7 | One Identity | + 1 |
| 8 | Broadcom (Symantec) | – 1 |
| 9 | Netwrix | + 1 |
Prix élevés chez BeyondTrust…
Dans le cadre de son bundle Total PASM, BeyondTrust propose PASM, gestion des accès distants et gestion des secrets. Ces deux dernières briques sont aussi vendues indépendamment, en SaaS, logiciel ou appliance (physique ou virtuelle). La composante PEDM se trouve dans les produits Privilege Management (SaaS et logiciel ; Windows, UNIX/Linux, Mac). L’acquisition d’Entitle – réalisée début 2024 – a apporté une brique SaaS de CIEM.
Comme l’an dernier, le PEDM Mac et UNIX/Linux vaut un bon point à BeyondTrust. Idem pour la découverte de comptes à privilèges avec le PASM, dont Gartner salue par ailleurs à nouveau la facilité d’usage. S’y ajoutent l’expertise du support, la qualité de la gestion des sessions à privilèges, des améliorations dans le déploiement, la flexibilité pour planifier les mises à jour sur le SaaS et l’exhaustivité des intégrations ITSM.
BeyondTrust, est, en revanche, en retard sur la détection du shadow admin et des clés Secure Shell. Gartner regrette aussi une offre « rudimentaire » pour la gestion des secrets et des identités machine. Ainsi que sur l’audit et le dépannage. Les prix sont, en outre, plus hauts que la moyenne, surtout pour le PAM logiciel. Un constat déjà fait l’an dernier.
… comme chez CyberArk
Pour la partie PASM, CyberArk a Privileged Access Manager (SaaS ou logiciel). Pour le PEDM, Endpoint Privileged Manager (SaaS ; Windows, UNIX/Linux et Mac), On-Demand Privileges Manager (logiciel pour AIX et Solaris). Cojur (SaaS ou logiciel) et Secrets Hub (SaaS) couvrent la gestion de secrets et l’AAPM (gestion des mots de passe entre applications). Il existe aussi des brique de gestion des sessions distantes (SaaS Vendor Privileged Access Manager) et de CIEM (SaaS Secure Cloud Access).
Une fois encore, Gartner salue la maturité des produits CyberArk. Notamment le PASM, le PEDM Windows et la gestion des secrets et des identités machine. Sa présence mondiale lui vaut un autre bon point. Comme l’innovation sur le JIT et l’accès base de données natif.
Une grande partie des points négatifs avancés l’an dernier apparaissent toujours valables. Parmi eux, la charge liée aux mises à jour majeures, les prix « parmi les plus élevés » du marché et la marge de progression du support technique. Vigilance aussi sur le PEDM, limité pour ce qui est de la supervision de l’intégrité des fichiers (UNIX/Linux) et la prise en charge des GPO (UNIX/Linux, Mac).
Le PAM Delinea, pas donné pour les grandes entreprises
L’offre Delinea Platform inclut PASM, PEDM, CIEM et gestion des sessions distantes. Il existe des options autonomes : Secret Server pour le PASM (logiciel ou SaaS), Privilege Manager (SaaS ou logiciel ; Windows et Mac) et Server Suite (UNIX/Linux) pour le PEDM, DevOps Secrets Vault pour la gestion des secrets.
Le PEDM UNIX/Linux reste un point fort de Delinea. La facilité d’usage de ses solutions aussi. Gartner y ajoute une couverture exhaustive sur les métriques de santé et une croissance – de revenus comme de clientèle – notable sur ce marché.
L’enregistrement des métadonnées des sessions RDP implique des agents sur les serveurs cibles ; ce que n’exigent pas la plupart des concurrents. Plusieurs éléments de Secret Server nécessitent des personnalisations via PowerShell (remarque déjà faite en 2023). Le temps de réponse du support peut par ailleurs s’améliorer. Quant aux prix, ils sont au-dessus de la moyenne du marché sur le segment des grandes entreprises.
WALLIX n’a plus l’avantage du prix
Pour le PASM et l’AAPM, il y a WALLIX Bastion (logiciel) et WALLIX One PAM (SaaS). Le PEDM fait partie de WALLIX PAM. L’offre WALLIX One Remote Access (SaaS) couvre la gestion des sessions distantes. Le CIEM est disponible par l’intermédiaire d’un produit IGA annexe.
La gestion des sessions et des transferts de fichiers reste un point fort. WALLIX s’avère également mature sur l’administration des identités. Sa stratégie sectorielle fait aussi mouche auprès de Gartner, à l’appui d’une prise en charge qualitative de l’informatique industrielle. La facilité d’usage de ses solutions valent un autre bon point à WALLIX, comme l’efficacité de son support.
En 2024, le modèle économique a changé… et les prix ont augmenté. Les voilà au-dessus de la moyenne du marché, alors que Gartner les présentait comme « très compétitifs » l’an dernier. Au niveau fonctionnel, il manque toujours des connecteurs pour la rotation des mots de passe des comptes de services. Attention aussi aux capacités limitées de découverte de comptes. Et au PAM JIT encore « relativement immature » (dépendant d’intégrations ITSM).
Illustration © Ruslan Granmble – Shutterstock
