NDR : les forces en présence sur ce marché de niche

Pas besoin de couvrir le IaaS, ni le SaaS : Gartner en a décidé ainsi pour son premier Magic Quadrant du NDR.

Ces élements étaient effectivement optionnels. Comme, entre autres, l'enrichissement des métadonnées, l'intégration native d'EDR, la capacité à utiliser la console en alternative à un SIEM... et le maintien d'un faible taux de faux positifs après le paramétrage initial.

Sur le volet fonctionnel, il fallait proposer, dans les grandes lignes :

• Capteurs (physiques ou virtuels) d'analyse de paquets ou de flux, déployables en cloud ou sur site, avec surveillance du trafic nord-sud et est-ouest
• Détection traditionnelle (IDPS, heuristique...) et comportementale
• Agrégation des alertes sous forme d'incidents
• Capacité d'automatisation de la réponse, directement ou par intégration
• Détection de menaces à partir de flux de renseignement internes ou externes

Les fournisseurs devaient par ailleurs avoir à leur catalogue une version "déconnectée" (air-gap) de leur NDR. Tout en étant en mesure de revendiquer au moins 30 déploiements chez les "trois grands" du cloud d'infrastructure (AWS, Azure, GCP). Il fallait aussi respecter au moins deux des trois seuils suivants :

• 30 M$ de CA 2024 sur le produit évalué
• Au 31 octobre 2024, au moins 4 millions d'appareils sous support payant
• À fin 2024, au moins 150 entreprises à 5000 sièges ou plus

11 fournisseurs, 4 "leaders"

L'axe "exécution" du Magic Quadrant traduit la capacité à répondre à la demande (expérience client, performance avant-vente, qualité des produits/services...). Les fournisseurs s'y classent dans l'ordre suivant :

Sur l'axe "vision", qui reflète les stratégies (sectorielles, géographiques, commerciales, marketing, produit...) :

Ils sont quatre à se trouver dans le carré des "leaders". Dans l'ordre alphabétique, Corelight, Darktrace, ExtraHop et Vectra AI. Le français Gatewatcher est classé "visionnaire".

Corelight et son UI "datée"

Gartner crédite Corelight d'un bon point pour sa capacité à livrer fonctionnalités et updates. Et, plus globalement, pour sa transition de l'IDS on-prem au NDR hybride, déployable chez les principaux CSP. Avis favorable également sur la gamme de capteurs disponibles (jusqu'à 100 Gbps) et sur la technologie de capture/stockage de paquets.

On ne peut pas en dire autant concernant l'UI, jugée datée et non intuitive, en particulier pour les analystes novices. Vigilance également quant aux stratégies sectorielle (focus historique sur la verticale gouvernement) et géographique (peu de partenaires pour la commercialisation et le déploiement, a fortiori hors des USA).

Tendance au bundling chez Darktrace...

Chez Darktrace, l'UI est, au contraire, intuitive ; avec, en prime, une grande bibliothèque de modèles de détection. Gartner souligne aussi que tous les contrats incluent un service d'implémentation et que la version air-gap est à parité fonctionnelle avec la version "connectée". Il salue également les capacités de collecte et d'incorporation du feedback client.

Le NDR de Darktrace s'avère en revanche complexe à gérer. Pour réduire les faux positifs, il nécessite un réglage initial... puis par après. Gartner pointe aussi l'absence de SLA hors Union européenne et la tendance à vendre en bundle - ce qui complexifie la tarification.

... comme chez ExtraHop

ExtraHop se distingue sur plusieurs aspects de son produit (recherche, stockage des paquets, capacité de déchiffrement et moteur IDS). Bons points également pour son adéquation à un large éventail de configurations réseau (à l'appui d'un catalogue de capteurs jusqu'à 100 Gbps) et pour son assistant GenAI.

Gartner appelle à la vigilance quant à la croissance du turnover au sein des équipes d'ExtraHop depuis que l'entreprise est redevenue privée en 2021. Attention aussi au channel limité hors Amérique du Nord. Et à la tendance au bundling, ce qui n'aide pas à jauger le prix de briques spécifiques.

NDR ou XDR ? Un risque de "confusion" chez Vectra AI

L'IA pour le tri des menaces vaut un bon point à Vectra AI. Même chose pour l'interface, "solide" et facile d'utilisation. Gartner apprécie aussi le programme de migration depuis des produits concurrents et les ressources "éducatives" mises à disposition sur le sujet du NDR.

Outre le fait qu'il ne vend pas en direct, Vectra AI affiche le plus bas taux de rétention client du Magic Quadrant. Il peut en outre exister un risque de confusion chez les acheteurs, le produit ayant été historiquement marketé comme du XDR.

Gatewatcher manque de résonance au-delà du NDR

Gatewatcher a pour lui une base de clientèle en croissance, une stratégie claire d'investissement R&D et une vision de l'automatisation alignée sur le marché. Il se distingue aussi sur sa capacité à verticaliser la threat intelligence (fourniture de rulesets sectoriels) et à "cibler les bons profils d'acheteurs".

Gartner fait remarquer l'absence de réseau de partenaires sur la plaque Amériques et la localisation linguistique limitée du support (anglais, français), dont les équipes sont exclusivement basées en France. Gatewatcher a par ailleurs, d'après le cabinet américain, du mal à communiquer efficacement son message de manière plus large, au-delà du segment du NDR.

Le NDR reste, au sens de Gartner, un produit de niche, dans la mesure où les acheteurs sont des grandes entreprises qui ont structuré un programme de sécurité. Parmi les marqueurs d'extension des offres, les intégrations avec des solutions tierces (EDR, IdP, SSE...), le NDR managé (allant de la notification d'incidents à la codétection de menaces) et un focus sur les protocoles OT.

Illustration générée par IA